Mejores prácticas para evitar violaciones de HIPAA en el cuidado de la salud

Nosotros cubierto recientemente una lista de algunas funciones de seguridad estándar integradas en la mayoría historia clínica electrónica (EHR) sistemas Estas características ayudan a los usuarios a evitar violaciones dañinas de HIPAA y filtraciones de datos que podrían llevar a los pacientes a otras prácticas, e incluyen lo siguiente:

  • Certificación ONC-ATCB
  • Pistas de auditoría
  • Protección de contraseña
  • Cifrado de datos

Si ya tiene un sistema EHR, probablemente ya sepa qué tipo de características ofrecen estos sistemas de software.

Lo que quizás no sepa es que simplemente comprar y usar un sistema EHR certificado por HIPAA no significa que esté al tanto de las posibles violaciones de HIPAA en el campo de la salud.

La mayoría de las infracciones de HIPAA (41 %) informadas a una aseguradora en 2017 fueron causadas por errores humanos, es decir, divulgación involuntaria, en lugar de fallas de software o piratas informáticos.

Causas de la filtración de datos de atención médica entre los clientes de Beazley

Estos números son de reclamos de seguros con un proveedor de seguros de violación de datos Grupo Beazley. Esto nos dice que demasiadas prácticas no logran capacitar adecuadamente al personal sobre cómo usar los EHR de una manera que garantice la confidencialidad del paciente.

Un EHR certificado por HIPPA no garantiza el cumplimiento. medicos a tener que adoptar los estándares de seguridad de HIPAA para el uso de sistemas EHR y capacitar efectivamente a su personal si esperan minimizar la amenaza de una violación de seguridad.

Seguir las mejores prácticas descritas en este artículo ayudará a su empresa a prevenir todo tipo de violaciones de HIPAA, incluidas Los más comunes:

  • Uso o divulgación no autorizados
  • Falta de garantías para proteger la información escrita y electrónica del paciente
  • Falta de acceso del paciente a su propia información.
  • Uso o divulgación de más de la información mínima necesaria del paciente

De acuerdo a Departamento de Salud y Servicios Humanos de EE. UU.

En este artículo, cubriremos cinco mejores prácticas de usuario para proteger la privacidad del paciente, prevenir violaciones de datos y garantizar el cumplimiento total de HIPAA.

Esto es lo que cubriremos:


Mantenga sus dispositivos seguros y actualizados
Proteja sus sistemas con software antivirus y una configuración adecuada
Restringir el acceso a los datos
Entrene a su equipo en las prácticas de seguridad de HIPAA
Los beneficios de estas mejores prácticas

Mantenga sus dispositivos seguros y actualizados

PARA TOMAR RÁPIDAMENTE: Muchas revelaciones accidentales ocurren debido a la forma en que se manejan los dispositivos, o mejor dicho, se manejan mal. La buena noticia es que puede evitar mucho de esto actualizando su software y asegurando sus dispositivos.

Mantén todo actualizado

Ya sea que esté trabajando con software con licencia, local o basado en la nube, es esencial que se mantenga actualizado con todas las actualizaciones de software en su sistema. Aunque muchos sistemas son capaces de realizar actualizaciones automáticas, siempre es aconsejable verificar al menos una vez a la semana para asegurarse de que no se pierda ninguna actualización importante de seguridad.

Lo mismo ocurre con su sistema operativo.

Y dedique tiempo regularmente para revisar sus cuentas de usuario y archivos antiguos para asegurarse de eliminar todo lo que ya no necesite o use.

Proteja sus dispositivos móviles

Gracias a las maravillas de la tecnología moderna, el software EHR se puede implementar en casi cualquier lugar, en computadoras portátiles, tabletas e incluso teléfonos celulares. Esto es excelente para los usuarios que desean acceder a su sistema sobre la marcha, pero esta flexibilidad conlleva riesgos.

Los usuarios deben tomar precauciones para asegurar cada dispositivo que tenga acceso a la información del paciente.

En primer lugar, querrá cifrar cualquier dato que pueda compartirse de forma remota para asegurarse de que solo los usuarios autorizados puedan verlo. A partir de ahí, todo depende de los hábitos de los usuarios. Asegúrese de que cualquier persona con acceso remoto a los datos del paciente siga estas pautas:

Si pierde o le roban un dispositivo móvil, repórtelo de inmediato.

No acceda a datos privados de pacientes en áreas públicas donde otros puedan verlos fácilmente en su pantalla.

No se conecte a redes Wi-Fi públicas cuando trabaje con datos privados de pacientes.

También debe tener una política de oficina clara y sólida con respecto a quién puede acceder a los datos de forma remota y cómo deben comportarse esos usuarios cuando trabajan con datos seguros fuera de su oficina.


Proteja sus sistemas con software antivirus y una configuración adecuada

PARA TOMAR RÁPIDAMENTE: Dado que se puede acceder al software EHR de diferentes maneras, es importante equipar su sistema con un software antivirus y luego verificar las vulnerabilidades del software para evitar violaciones de HIPAA.

Instale un software antivirus confiable

Si retrocede y observa las causas principales de las filtraciones de datos en 2017, verá que la piratería de sistemas fue la segunda causa principal de las filtraciones de HIPAA, y la forma más común en que los piratas informáticos ingresan a los sistemas EHR es a través de virus u otros. programa malicioso

Las computadoras pueden infectarse con estos virus de varias maneras, que incluyen:

  • CD
  • unidades flash USB
  • Correos electrónicos
  • Descargas web

Es fundamental instalar un software antivirus confiable y confiable y mantenerlo actualizado para evitar virus que puedan comprometer o corromper los datos del paciente.

Comprará software antivirus independientemente de su sistema EHR, así que asegúrese de dedicar recursos a investigaciones adicionales para encontrar el mejor producto para proteger su práctica y sus pacientes.

Ya que estamos en el tema de la protección, considere instalar un firewall para evitar que los piratas informáticos u otros intrusos no autorizados accedan a su red. Los cortafuegos funcionan bien con el software antivirus para crear una defensa doble que hará que su sistema EHR sea aún más seguro.

Comprobar vulnerabilidades

Una vez que haya instalado su sistema EHR, deberá tomar decisiones estratégicas sobre cómo se instalará el software en su computadora.

Se llama gestión de la configuracióny eso significa deshabilitar las aplicaciones que no usará (por ejemplo, si su práctica no necesita mensajería instantánea con los pacientes, pero el sistema EHR viene con esta característica incorporada).

PCC EHR permite a los usuarios controlar las preferencias de la aplicación

Historia clínica electrónica del PCC permite a los usuarios controlar las preferencias de la aplicación

Al minimizar la cantidad de aplicaciones y eliminar aquellas que no usará, reduce la cantidad total de vulnerabilidades potenciales dentro de su sistema.

Tome el ejemplo de la mensajería instantánea: si no la usa para comunicarse con sus pacientes, pero la deja habilitada en su sistema, un empleado no capacitado podría confundirla con una herramienta utilizable y filtrar accidentalmente información sobre el paciente.

También deberá verificar si el proveedor de EHR retiene o no el acceso a su software una vez que está instalado, a través de lo que se llama un puerta trasera—con el propósito de automatizar actualizaciones u ofrecer apoyo técnico.

Si es así, debe asegurarse de que la conexión sea segura o esté deshabilitada. Al seguir estos pasos, evitará que suceda algo en su sistema EHR sin su conocimiento para evitar la divulgación accidental.


Restringir el acceso a los datos

PARA TOMAR RÁPIDAMENTE: Una gran parte de la prevención de la divulgación inadvertida de datos y otros errores humanos que conducen a filtraciones de datos es ser estratégico y cuidadoso con respecto a quién permite el acceso a su información segura y cómo se almacenan sus contraseñas.

Implementar controles de acceso basados ​​en el usuario

Muchos sistemas EHR permiten a los usuarios con acceso de administración crear listas de control de acceso. Básicamente, puede designar niveles de permisos y asignarlos a nombres de usuario específicos. Esto otorga a las personas de su oficina permiso para ver los datos que necesitan para cumplir con sus responsabilidades, y nada más.

Controles de permisos de usuario en estudio de práctica

Adopte protocolos estrictos de contraseñas

Este es otro enfoque de dos partes para asegurar su sistema, porque querrá:

  1. Asegúrese de que las contraseñas creadas sean complejas y difíciles de adivinar.
  2. Asegúrese de que los usuarios tomen precauciones al almacenar contraseñas.

La primera tarea es bastante fácil de lograr. Defina los requisitos: longitud mínima de caracteres, un cierto número de dígitos, una combinación específica de letras mayúsculas y minúsculas y el uso de caracteres especiales. Rechazar contraseñas que no cumplan estos requisitos.

La segunda tarea es un poco más difícil porque obliga a los usuarios a adoptar sus propios hábitos aceptables para recordar sus contraseñas únicas, lo que no siempre es fácil.

Una forma de evitar esto es forzar el cambio regular de contraseñas (la mayoría de las prácticas funcionan una vez cada dos trimestres). Cualquier cosa que pueda hacer para dificultar el acceso de los piratas informáticos a su sistema es buena, y cambiar las contraseñas regularmente es un paso hacia ese objetivo.


Entrene a su equipo en las prácticas de seguridad de HIPAA

PARA TOMAR RÁPIDAMENTE: Hay una cosa que puede anular por completo todo el tiempo y el dinero que invierte en seguridad: los usuarios. La mayor amenaza para la privacidad de sus pacientes son sus propios empleados y, por este motivo, debe recalcar en su equipo la importancia de seguir estas mejores prácticas de seguridad.

Crear un programa de capacitación en seguridad para los nuevos empleados.

Independientemente de la experiencia o el nivel de habilidad de los nuevos empleados, su programa de capacitación debe poner a cada nuevo empleado al día con las prácticas y protocolos únicos de su equipo.

Esta capacitación debe incluir la revisión de la documentación de mejores prácticas cubierta anteriormente, así como cualquier guía de referencia adicional que cree para prácticas específicas.

Por ejemplo: un documento de proceso paso a paso que explique cómo su equipo envía correos electrónicos de recordatorio de citas, donde los miembros nuevos (y existentes) del equipo pueden verificar dos veces para asegurarse de que siguen todas las reglas correctamente.

Fomente la hipervigilancia dentro de su equipo

Cuando se trata de proteger a sus pacientes y su práctica, no puede darse el lujo de ser complaciente. Para evitar que el error humano se infiltre en la ecuación, debe encontrar una manera de inculcar un sentido de seriedad dentro de su equipo cuando se trata de todo lo relacionado con HIPAA.

Aquí hay algunas ideas para lograrlo:

  • Cree y use listas de verificación para todas las tareas relacionadas con la seguridad (como cambiar contraseñas, trabajar de forma remota, etc.).
  • Publique pautas en las áreas de personal para que su equipo pueda consultarlas en cualquier momento.
  • Envío de boletines con infracciones de HIPPA en las noticias, estadísticas actualizadas de filtración de datos o cualquier otro hecho o historia relacionada con la seguridad que pueda alentar a los lectores a tomar precauciones.
  • Proporcione capacitación continua en seguridad para tener en cuenta sus mejores prácticas para todos los miembros del equipo.
  • Designe a un miembro del equipo como Oficial de Privacidad del Paciente para que sea el referente en todo lo relacionado con la seguridad de EHR y HIPAA.

La clave es encontrar métodos que funcionen y motiven a su equipo único. Después de todo, todos están preocupados por proteger a sus pacientes y la reputación de su práctica.


Los beneficios de estas mejores prácticas

Las sanciones por infracciones de HIPAA pueden incluir multas que van desde $ 100 a $ 1,5 millones y posible tiempo en la cárcel por ciertos cargos clasificados como negligencia intencional.

Las violaciones de HIPAA que afectan al menos a 500 pacientes son compartidas públicamente por la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos, publicadas en lo que se conoce como «muro de la verguenza.”

Todo esto para decir que los beneficios de implementar las mejores prácticas estrictas para el manejo de la información del paciente y el uso de EHR incluyen evitar:

  • Costosas multas y acuerdos
  • vergüenza pública
  • Pérdida de pacientes

Por lo tanto, ya sea que su práctica haya tratado o no una violación de seguridad de HIPAA, lo mejor para usted y el de sus pacientes es dar un paso adelante y adoptar estas mejores prácticas para evitar posibles violaciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada.