Tabla de contenidos.
Una de las preguntas más frecuentes que escuchamos es "¿Qué es el cumplimiento de HIPAA?"
HIPAA se define como la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996, que es una lista de estándares regulatorios que describen el uso legal y la divulgación de información de salud protegidadesarrollo (FI). El cumplimiento de HIPAA se rige por el Departamento de salud y Servicios Humanos (HHS), es impuesta por el Oficina de Derechos Civiles (LOC). El papel de la OCR en el mantenimiento del cumplimiento médico de la HIPAA aparece en forma de supervisión de rutina y orientación sobre nuevos problemas relacionados con la atención médica y en la investigación de violaciones e infracciones comunes de la HIPAA.
ProteínaInformación de salud citada (PHI)
Cualquier información demográfica que pueda utilizarse para reconocer a un paciente o cliente de una entidad sujeta a HIPAA se conoce como Información de salud protegida (PHI). HIPAA hace obligatorio que la PHI en el cuidado de la salud deba estar segura y protegida. Como tales, las organizaciones de atención médica deben conocer lo que se considera PHI.
Reglas de HIPAA
La regulación HIPAA se compone de varias Reglas HIPAA distintas. Todas las Reglas de HIPAA se aprobaron durante los más de 20 años que han ido y venido desde que se estableció por primera vez la HIPAA en 1996.
Las Reglas de HIPAA que debe conocer incluyen:
a) Regla de privacidad de HIPAA: Esta regla de privacidad de HIPAA establece estándares nacionales para los derechos de los pacientes a la PHI. La regla de privacidad de HIPAA simplemente se aplica a las entidades cubiertas, no a los socios comerciales. Estos estándares regulatorios deben documentarse en las Políticas y Procedimientos de HIPAA de la organización. Todos los empleados deben recibir capacitación sobre estos Procedimientos y Políticas anualmente, junto con la certificación documentada.
b) Regla de seguridad de HIPAA: Esta Regla de seguridad de HIPAA presenta estándares y medidas nacionales para el mantenimiento, la transmisión y el manejo seguros y protegidos de ePHI. Estas Reglas de seguridad de HIPAA se aplican tanto a los socios comerciales como a las entidades cubiertas debido al posible intercambio de ePHI.
c) Regla de cumplimiento de HIPAA: La regla de aplicación de HIPAA simplifica las disposiciones de investigación y las sanciones financieras en condiciones de violación de datos. Sin embargo, el costo de la penalización difiere con la cantidad de registros médicos que se muestran y la frecuencia de las violaciones de datos en una organización.
d) Regla de notificación de incumplimiento de HIPAA: La Regla de notificación de incumplimiento de HIPAA es un grupo de leyes que los socios comerciales y las entidades cubiertas deben seguir en caso de cualquier incumplimiento de datos que contenga ePHI o PHI. Esta regla distingue entre dos tipos de infracciones según el tamaño y el alcance, denominadas infracciones significativas y infracciones menores.
e) Regla Ómnibus de HIPAA: La Regla Ómnibus de HIPAA es un complemento de la regulación de HIPAA que se estableció para implementar la HIPAA a los socios comerciales, en extensión a las entidades cubiertas. Esta Regla Ómnibus de HIPAA hace obligatorio que los socios comerciales cumplan con la HIPAA y, además, describe las reglas que rodean los Acuerdos de socios comerciales (BAA). Los acuerdos de socios comerciales son contratos que deben celebrarse entre un socio comercial y la entidad cubierta, o entre dos socios comerciales, antes de que se pueda compartir o transferir CUALQUIER ePHI o PHI.
¿Qué cumple con HIPAA?¿Qué significa para los desarrolladores de aplicaciones?
Para verificar si su aplicación móvil requiere ser compatible con HIPAA, analice tres cosas:
a) ¿Quién es el usuario de la aplicación (entidad)?
b) ¿Qué tipo de información habrá en la aplicación?
c) ¿Cuál es el tipo de software (cifrado)?
Si la entidad es de una de las Entidades cubiertas y también la información aparece bajo PHI, se aplica la HIPAA. Para desarrollar aplicaciones compatibles con HIPAA, debe tener en cuenta los siguientes requisitos:
d) Desarrollo de aplicaciones móviles según las pautas de cumplimiento de HIPAA es un proceso complejo. Antes de comenzar un proyecto de este tipo, los desarrolladores deben estar seguros del proceso completo. Esto implica definir el alcance del uso de su aplicación.
Esto implica que los desarrolladores deben comprender cómo desarrollar una aplicación para el cuidado de la salud y qué datos e información pertenecen al ámbito de la PHI. Hace que el producto sea compatible con HIPAA. Parte de la información incluye nombres, ID de correo electrónico y números de teléfono.
Además, el SSN y los registros médicos también se incluyen en la PHI. El Departamento de Salud y Servicios Humanos de EE. UU. Ha descrito 18 tipos de información bajo PHI.
Por lo tanto, si la aplicación funciona con dicha información, siga los procesos de desarrollo de aplicaciones compatibles con HIPAA.
a) Establezca protecciones físicas adecuadas. Para ello, consulte los sistemas de soporte backend y las redes de transferencia de datos. Además, analice las integraciones de dispositivos en este proceso, ya que estas aplicaciones tienen transmisión de datos. Una aplicación debe tener todas las garantías para la protección de datos. Es un punto importante a considerar antes de desarrollar una aplicación.
HIPAA compatible desarrollo de aplicaciones móviles requiere mirar las salvaguardas administrativas. Estas salvaguardas se centran esencialmente en la protección de ePHI. Comparta solo la PHI necesaria en diferentes plataformas. Además, preste atención a la Gestión de acceso a la información.
En cuanto al acceso a la información, solo la persona interesada debe tener acceso a ella. Tome nota de los niveles de espacio libre antes de comenzar a crear una plataforma. Elija medidas como la autenticación de huellas dactilares. Sin embargo, es muy importante preservar la facilidad de uso de la aplicación compatible con HIPAA.
b) El cifrado de datos implica la configuración de una identificación de usuario única. Además, tome nota de los procedimientos de acceso de emergencia a las aplicaciones y las secuencias de cierre de sesión. Además, asegúrese de que no haya notificaciones de datos PHI en dispositivos móviles.
c) Limite la acumulación de datos al mínimo. No permita que los usuarios almacenen o reciban más datos de los necesarios. Esto también es necesario para la seguridad de los datos.
Según la orientación de la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS). A continuación, hay una lista de 18 tipos de información que califican como identificadores de información médica protegida (PHI) por HIPAA. Los ejemplos de PHI incluyen:
- Nombre
- Dirección (incluidas las subdivisiones más pequeñas que los estados, como la dirección postal, la ciudad, el condado o el código postal)
- Cualquier fecha (excepto los años) que esté directamente relacionada con una persona, incluido el cumpleaños, la fecha de admisión o alta, la fecha de fallecimiento o la edad exacta de las personas mayores de 89 años.
- Número de fax
- Número de teléfono
- Dirección de correo electrónico
- Numero de historia CLINICA
- Número de Seguro Social
- Número de beneficiario del plan de salud
- Número de cuenta
- Número de certificado / licencia
- Identificadores de vehículos, números de serie o números de matrícula
- Identificadores de dispositivo o números de serie
- URL web
- Dirección IP
- Identificadores biométricos como huellas dactilares o impresiones de voz
- Fotos de rostro completo
- Cualquier otro código, características o números de identificación únicos
Estudio de caso para comprobar si su aplicación debe cumplir o no con la HIPAA
Cuando necesita crear una aplicación compatible con HIPAA
Suponga que un proveedor de atención médica se ha puesto en contacto con usted para desarrollar una aplicación móvil. Con esto, pretenden llevar un registro de los pacientes. Esta aplicación permite al proveedor de atención médica guardar información personal sobre el paciente. ¿Debería cumplir con la HIPAA?
Además de esto, también ayuda a realizar un seguimiento de la dieta y los hábitos de ejercicio de los pacientes. El paciente y la organización matriz pueden intercambiar información entre sí. Esto puede ser a través de mensajes o notificaciones generadas automáticamente.
Cuando no necesita crear una aplicación compatible con HIPAA
Supongamos otro caso. Suponga que una organización se acerca a usted para crear una aplicación de acondicionamiento físico basada en la salud.
Esta aplicación serviría al usuario para ingresar datos como nombre, peso, altura y edad, etc. Además, estas lecturas son de un dispositivo médico domiciliario.
Si desea desarrollar una aplicación con tal conjunto de datos, no necesita seguir cumpliendo con HIPAA. Esto se debe a que ninguna entidad cubierta tiene acceso a dicha información. Estas lecturas son simplemente para referencia del usuario.
Además, lea: Cómo hacer crecer su negocio con aplicaciones móviles
Conclusión
Las sanciones y castigos por eludir las leyes de cumplimiento de HIPAA son enormes. Puede alcanzar entre $ 1000 y $ 1.5 millones por año, dependiendo del tamaño de la infracción.
Desde la ejecución de los BAA precisos hasta la realización proactiva del desarrollo de aplicaciones y auditorías de terceros. El desarrollo de aplicaciones que cumplen con HIPAA es más fácil de plantear que de hacer.
En este proceso intervienen varios factores. Como desarrollador o incluso como proveedor, debe seguir todos estos procesos y procedimientos para el desarrollo de aplicaciones móviles. Con el cumplimiento de HIPAA, obtener y guardar información es un aspecto crucial.
Es por eso que debe recuperar solo los conjuntos de información y datos necesarios que se requieren y se pueden proteger. Puede desarrollar aplicaciones compatibles con HIPAA, solo después de obtener la información completa.
Servicios de desarrollo de aplicaciones móviles
¿Quiere aprovechar la tecnología móvil para su negocio? Cynoteck es un proveedor integral de servicios de desarrollo de aplicaciones móviles. Brindamos servicios de desarrollo de aplicaciones para iOS y Android para que pueda llegar a su público objetivo en cualquier dispositivo.
Los hospitales, las compañías de seguros y los proveedores de atención médica deben seguir una lista de verificación de cumplimiento de HIPAA para proteger los datos privados y confidenciales de los pacientes.