Questions? Call (855) 670-8780 or email security@compliancepoint.com   Visit us on LinkedIN  

Violación de Datos Médicos: QUE SOLUCIONES PREVENTIVAS TENEMOS?

 

February 25, 2016

 

 

DataBreach.png

En nuestra última publicación (last blog post), hablamos de la importancia de las violaciones de datos en la industria de la salud.  Gran parte de la atención se presta en las violaciones después de que ocurren; que puede hacer una Entidad Cubierta o Afiliados Comerciales para ayudar a prevenir las violaciones de datos en el primer lugar?

Para muchas organizaciones, en las que han ocurrido violaciones de datos durante el último año, darse cuenta que sus controles de seguridad inadecuados respecto al manejo de la información médica, interna y externamente, ha llegado demasiado tarde. Muchas veces no ocurre hasta después que la  OCR hace entrega del Acuerdo de Resolución de OCR , que revela los hallazgos de sus investigaciones en torno a las ocurrencias y la resolución establecida entre el OCR y la parte vulnerada . Para cuando el acuerdo es entregado / recibido y aceptado por todas las partes afectadas, el daño ya está hecho. Multas monetarias pueden ser impuestas y la reputación de la parte vulnerada puede verse empañada.

La parte vulnerada tiene que implementar las especificaciones emitidas por el OCR en el acuerdo. Estas especificaciones tienen plazos estrictos, que obligan a la organización a entrar en modo activo inmediatamente.  La organización está ahora culpada de dirigir un negocio a pesar de contener y mitigar los efectos de la violación, y al mismo tiempo remediar todas las deficiencias encontradas por la OCR . Con los recursos ya muchas veces limitados para realizar estos esfuerzos de trabajo, la presión sobre la organización violada se vuelve real.

Que pueden hacer las Entidades Cubiertas y los Afiliados Comerciales pare prevenir proactivamente un escenario come el ilustrado anteriormente?

A continuación presentare algunos puntos de partida que pueden conducir cualquier Entidad Cubierta o Afiliados Comerciales en la dirección correcta

 

  • Políticas y Procedimientos: Se debe crear un conjunto integral de políticas y procedimientos, revisado y actualizado al menos cada año (más a menudo si se han realizado cambios significativos en el entorno de la organización). Las políticas y procedimientos oficiales deben ser revisadas ​​por todos los miembros del personal que tienen la autoridad de las áreas publicadas en las políticas y procedimientos. Después que estos han sido revisados ​​y todos los cambios se han actualizado, el Oficial de Seguridad y / o Oficial de Privacidad deben firmar el conjunto de políticas y procedimientos revisados. Todas las políticas y procedimientos deben mantenerse durante un mínimo de 6 años con fines de documentación. 
  • Entrenamiento: Todas las Entidades Cubiertas y Afiliados Comerciales deben tener un programa de entrenamiento que cubra temas de seguridad. Los miembros del personal deben recibir, y reconocer que recibieron la capacitación, al ser contratados y posteriormente cada año. Los registros del entrenamiento conducido deben mantenerse. 
  • BAA: Todas las Entidades Cubiertas y Afiliados Comerciales deben asegurarse que todas las partes que intervienen en un BAA tienen un marco de seguridad adecuado a lugar para salvaguardar toda la información médica. 
  • Evaluación de Riesgos: Entidades Cubiertas y Afiliados Comerciales deben llevar a cabo una evaluación del riesgos integral que incorpore todos los equipos de IT , aplicaciones, sistemas de datos que utilizan ePHI, y todos los procesos que incorporan toda la PHI . Todas las deficiencias encontradas deben ser abordadas y remediadas.

 

Estar verdaderamente en cumplimiento implica una mirada más profunda a todos los procesos dentro de una organización; sin embargo, las sugerencias mencionadas anteriormente son un buen punto de partida para cualquier organización que quiera saber cuál es su posición en lo que se refiere a su estructura de seguridad.

Esta es la última publicación de la serie del blog previo a la Convención HIMSS16 la próxima semana. Verdaderamente disfruté compartir mis pensamientos con la comunidad de seguridad y privacidad y espero que puedan encontrar esta información valiosa. Si va a estar en el evento HIMSS la próxima semana, por favor véanos en puesto 145 para saludar!

Si tiene alguna pregunta respecto a los requisitos de información médica u otras necesidades de información de seguridad, por favor contacte con nosotros en security@compliancepoint.com

 

BLOG IN ENGLISH


Maria-2.jpgMaria Sanchez is a Privacy and Security Professional at CompliancePoint working with Covered Entities and Business Associates in a variety of industries. She is committed to guiding customers through effective assessments covering the Security, Privacy, and Breach Rules from HIPAA/HITECH. Maria has a B.A. in Political Science and Sociology from Georgia State University and a J.D. from Florida Coastal School of Law. As an attorney, Maria concentrated her studies in international and comparative law. As a Privacy and Security Professional, Maria has earned her Healthcare Information Security and Privacy Practitioner (HCISPP) certification and Certified Information Privacy Professional for the US and Europe (CIPP/US and CIPP/EU) certifications.

 

 

 

 

Topics: Protected Health Information, Covered Entities, Business Associates, Privacy, PHI, HIMSS, Data Breach, Security, OCR, Security Framework, Breach, Healthcare Information, Data, ePHI

Subscribe to Our Blog Via Email

Recent Posts