El cumplimiento de HIPAA para aplicaciones y software de atención médica móvil puede ser un tema complicado de entender. Las partes interesadas pueden tener dificultades para comprender cuándo las aplicaciones de atención médica están sujetas a las regulaciones de HIPAA y deben garantizar su cumplimiento. Este malentendido puede causar problemas de incumplimiento y costosas multas.
La demanda de servicios médicos y de prestación de atención más rápidos y eficientes se ha disparado desde hace algunos años. Afortunadamente, este crecimiento de la demanda se ha cumplido con una proliferación de soluciones de salud móviles. Esto ha ayudado a aumentar el tamaño del mercado de la atención médica móvil y ha brindado una atención médica remota a pedido mejor y más rápida. De hecho, el mercado de la salud móvil representó $35.1 billones en 2020 y se espera que alcance un valor asombroso de $ 145,7 mil millones para 2027. Ese crecimiento significa una Tasa de Crecimiento Anual Compuesto (CAGR) del 22,5% en siete años. Gracias a este crecimiento, las modernas soluciones de atención médica móviles han ayudado a los sistemas de atención médica y a las partes interesadas de todo el mundo a aliviar la presión de la creciente demanda de atención médica. Sin embargo, a medida que nos acostumbramos a los beneficios de la atención médica remota y el uso de aplicaciones y dispositivos de atención médica se vuelve algo común, cantidades más significativas de datos altamente sensibles comienzan a fluir a través de estas aplicaciones.
Estos datos incluyen una variedad de información personal que es relevante para la atención médica, pero que también puede ser valiosa para los piratas informáticos. Por lo tanto, los desarrolladores de apps para la salud innovadores deben garantizar la privacidad y protección de dichos datos confidenciales del paciente a toda costa cumpliendo con las leyes gubernamentales de protección de datos. La recopilación y el almacenamiento de estos datos de salud se incluyen en una ley reguladora federal conocida como Ley de Responsabilidad y Portabilidad de Seguros de Salud (HIPAA).
Si bien es inevitable que las aplicaciones de atención médica recopilen y almacenen datos de pacientes, los desarrolladores no pueden descuidar la protección de esta información y deben hacer de su protección una prioridad. Debemos vigilar qué datos del paciente se almacenan, recopilan y comparten nuestras aplicaciones y con qué fines, para garantizar el cumplimiento de la HIPAA, si corresponde. No hacerlo resultará en costosas multas y sanciones que pueden afectar significativamente a nuestras empresas de desarrollo y poner en peligro nuestra reputación como desarrolladores de aplicaciones de atención médica competitivos. Por lo tanto, veamos cómo se ve el incumplimiento normativo y el costo de violar las normas HIPAA para los desarrolladores de apps de salud.
¿Qué es HIPAA?
La Ley de Responsabilidad y Portabilidad del Seguro de Salud de 1996 es una ley promulgada por el gobierno de los Estados Unidos que se aplica a las organizaciones de atención médica y los empleados de atención médica. Fue creado para proteger la información de salud sensible contra fugas y piratería, garantizar la cobertura de atención médica y garantizar estándares en toda la industria para los procesos y sistemas electrónicos relacionados con la gestión de la atención médica. La ley HIPAA contiene cinco secciones que desglosan todos los requisitos de cumplimiento, desde la cobertura del seguro y los procesos tributarios hasta las condiciones preexistentes y los problemas de ciudadanía. Sin embargo, dado que nuestro enfoque principal en este artículo se relaciona con las regulaciones de atención médica móvil, solo tocaremos las secciones de la HIPAA que se ocupan del cumplimiento de las aplicaciones y los desarrolladores de atención médica.
La ley HIPAA requiere que las organizaciones de atención médica desarrollen políticas que protejan la privacidad de sus pacientes e implementen las salvaguardas necesarias para garantizar la confidencialidad, integridad y disponibilidad de toda la información médica protegida (PHI) y la información médica electrónica (ePHI). En el contexto de HIPAA, ePHI es cualquier información identificable relacionada con la salud de un paciente que es recopilada, almacenada o transmitida por una entidad cubierta por HIPAA. Una entidad cubierta por HIPAA puede ser un proveedor de atención médica, una aseguradora de salud, una cámara de compensación, o un socio comercial, o un tercero, de cualquiera de las entidades antes mencionadas que requieran acceso a la PHI para realizar sus deberes contractuales. ePHI también incluye registros médicos electrónicos, historiales médicos de pacientes, resultados de pruebas de laboratorio y facturas médicas. La información demográfica, como el seguro social y los números de licencia de conducir, la dirección, el número de teléfono, la edad, la información financiera, los detalles del seguro e incluso las fechas de nacimiento, también se consideran PHI. Las calorías quemadas, los diarios de alimentos, los pasos dados o la distancia recorrida, por ejemplo, no se consideran ePHI.
Las reglas de la HIPAA imponen restricciones sobre el uso de datos relacionados con la salud, limitan quién puede acceder a copias de dicha información y otorgan a los pacientes el derecho a obtener copias de su información médica. Además, el cumplimiento de la HIPAA significa que una aplicación en particular cumple con todas las garantías técnicas y físicas de las normas de privacidad y seguridad de la HIPAA sobre software médico y aplicaciones sanitarias. Estas reglas estipulan que una aplicación o software de atención médica tiene todas las salvaguardas administrativas, físicas y técnicas para garantizar la integridad y protección del ePHI que la entidad, en este caso, la aplicación, crea, recibe, mantiene, mantiene y transmite.
El cumplimiento de HIPAA para software médico y aplicaciones de atención médica puede ser un tema complicado de entender. Algunas aplicaciones de atención médica están sujetas a las reglas de HIPAA, mientras que otras no. Por lo tanto, para comprender los costos y las sanciones del incumplimiento y cómo se aplican a nuestra industria, queremos establecer cuándo una aplicación de atención médica está sujeta al cumplimiento de HIPAA.
¿Cuándo se aplica el cumplimiento de HIPAA a las aplicaciones de salud?
¿Cómo entran en juego las aplicaciones de atención médica en la conversación sobre el cumplimiento de HIPAA para software médico? Esta pregunta es crucial para los desarrolladores y proveedores de atención médica a la hora de determinar qué tipo de aplicación desean desarrollar. Su respuesta radica en el propósito de la recopilación de datos y su fuente. Si una aplicación de atención médica contiene, gestiona, almacena y comparte ePHI y se encuentra bajo el paraguas de entidades cubiertas o socios comerciales, debe cumplir con la HIPAA. Sin embargo, si una aplicación de atención médica requiere que sus usuarios ingresen su información personal, pero esa información no se comparte con una entidad cubierta, la aplicación no tiene que ser compatible con HIPAA. En el primer escenario, el desarrollador de la aplicación de atención médica se convierte en un socio comercial porque sus actividades implican el uso y la divulgación de ePHI con una entidad cubierta; por lo tanto, la aplicación que desarrollen debe ser compatible con HIPAA.
En pocas palabras, determinar cuándo se aplica la HIPAA a una aplicación de atención médica depende de comprender cómo se recopilan, almacenan y administran los datos de un socio comercial y se comparten con una entidad cubierta. Para ilustrar mejor este punto, echemos un vistazo a un par de situaciones:
- Escenario uno: App para doctores
Un hospital lo contrata para crear una aplicación que brinde servicios de administración de pacientes. Estos servicios incluyen monitoreo de alimentos y ejercicio, presión arterial, azúcar en sangre y otra información general de signos vitales. La aplicación también tiene servicios de mensajería entre el paciente y el proveedor de atención médica. Además, la información personal del paciente se almacena en la aplicación y se comparte entre el sistema del proveedor de atención médica y el paciente.
En este escenario, el cumplimiento de HIPAA se aplica a usted, el desarrollador. Según los estándares de la HIPAA, se lo considera un socio comercial del proveedor de atención médica porque es responsable de recibir, transmitir y mantener la ePHI en nombre del proveedor de atención médica, que, en este caso, es una entidad cubierta. Por lo tanto, le corresponde a usted garantizar la protección de la información que su aplicación almacena y comparte.
- Escenario dos: App de fitness
Desarrolla una aplicación de salud física que un usuario descarga en su teléfono inteligente. El usuario ingresa su información personal, como altura, peso, edad, hábitos alimenticios y lecturas de presión arterial, en la aplicación. La aplicación registra la actividad diaria del usuario y se conecta con los equipos y dispositivos de salud en el hogar del usuario para uso personal. Los datos no se comparten con nadie más.
En este caso, HIPAA no sería aplicable ya que usted, el desarrollador, no está recibiendo, manteniendo ni transmitiendo ePHI. En cambio, el usuario simplemente usa la aplicación para registrar su información diaria y realizar un seguimiento de su progreso físico.
Suponga que determina que la HIPAA se aplica a usted y a su aplicación de atención médica. En ese caso, debe asegurarse de que sus protocolos de seguridad y salvaguardas estén implementados durante todo su proceso de desarrollo para asegurar el cumplimiento de HIPAA y mantener seguros los datos de sus usuarios. Estamos seguros de que esto es evidente, pero debe implementar protocolos de autenticación y autorización para limitar el acceso a su aplicación, cifrar los datos transferidos y almacenados, notificar a los usuarios sobre infracciones, realizar registros de auditoría y eliminar los registros de manera adecuada. Además, debe asegurarse de que los acuerdos y contratos que firmó con las entidades cubiertas estén actualizados y aborden las responsabilidades y obligaciones de cada parte con respecto a la administración de ePHI.
Entonces, ahora que hemos establecido un marco contextual para lo que implica el cumplimiento de HIPAA, profundicemos en las multas por incumplimiento.
¿Cuánto cuestan las infracciones de HIPAA?
El incumplimiento de la HIPAA puede costar miles de millones a las organizaciones de atención médica cada año, y los impactos financieros continúan aumentando. En promedio, una violación de datos de atención médica tiene un precio de aproximadamente $7.13 millones, una parte de esta cifra proviene de multas y sanciones de HIPAA que pueden sumar hasta $1.5 millones por evento de incumplimiento por año. Sin embargo, eso es solo la punta del iceberg. Aparte de las multas de HIPAA, la mayoría de esos $ 7 millones se derivan del costo de la interrupción del negocio, la reputación, el control de daños y la pérdida de productividad.
Además de estas sanciones financieras, los desarrolladores que violen las regulaciones de HIPAA también deben adoptar un plan de acción correctiva para garantizar que sus políticas y procedimientos de desarrollo cumplan con los estándares exigidos por las reglas de HIPAA. Además de eso, las sanciones por incumplimiento intencional también pueden conllevar cargos penales junto con las costosas multas antes mencionadas. Estas sanciones y multas por infracciones de la HIPAA en la aplicación de atención médica son emitidas por la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (OCR) y el fiscal general.
Las sanciones financieras para HIPAA actúan como un disuasivo para garantizar que las entidades cubiertas y los socios comerciales sean responsables del incumplimiento. Estas sanciones protegen la privacidad del paciente y la confidencialidad de los datos personales y de salud. También tienen una estructura de sanciones por niveles para las infracciones basadas en el conocimiento que tenía una entidad cubierta o un socio comercial en el momento de la infracción. Las multas y sanciones de HIPAA se aplican por categoría de infracción y consideran la cantidad de registros expuestos en un solo evento de infracción. También consideran el nivel de riesgo para los pacientes que se deriva del incumplimiento, la gravedad de la violación, el nivel de conocimiento del incumplimiento y, finalmente, los medios económicos de la entidad cubierta para pagar la multa impuesta.
Las categorías o niveles que se utilizan para la estructura de sanciones de HIPAA son las siguientes:
Tier 1: La entidad cubierta no estaba al tanto de la violación de HIPAA y no podría haberla evitado de manera realista. La entidad cubierta también hizo un esfuerzo razonable para cumplir con las Reglas de HIPAA. Las sanciones van desde $100 a $50,000 por violación con un máximo de $ 25,000 por año.
Tier 2: La entidad debería haber tenido conocimiento de la infracción. Sin embargo, la entidad no pudo evitarlo. Las sanciones oscilan entre $ 1,000 y $ 50,000 por infracción con un máximo de $ 100,000 por año.
Tier 3: La violación fue el resultado de una negligencia intencional de las Reglas de HIPAA. Sin embargo, la entidad cubierta intentó corregir la infracción. Las sanciones oscilan entre $ 10,000 y $ 150,000 por infracción con un máximo de $ 250,000 por año.
Tier 4: La entidad incurrió en una violación que resultó de negligencia intencional y la entidad cubierta no intentó corregir la violación. La multa es de $ 50,000 por infracción con un máximo de $ 1.5 millones por año.
Una violación de datos resultante de una violación de HIPAA podría poner fin a las multas emitidas por diferentes aspectos de la violación. La OCR también puede aplicarlo diariamente por la cantidad de tiempo que la entidad cubierta ha violado la ley. Las multas también aumentarán dependiendo del número de pacientes afectados y la gravedad del daño que la infracción causó a los pacientes.
Como puede ver, el incumplimiento puede resultar muy costoso. Sin embargo, además de las costosas multas, su empresa de desarrollo puede sufrir daños en la reputación y alteraciones comerciales que pueden afectar el futuro de su empresa. Por esta razón, debe informarse a sí mismo y a sus empleados sobre el cumplimiento de HIPAA y asegurarse de que sus procesos de desarrollo estén siempre a la altura de los estándares regulatorios. Ahora, echemos un vistazo a algunos de los casos más importantes en los que las empresas no cumplieron con la HIPAA para que pueda presenciar las consecuencias reales del incumplimiento.
Casos más importantes de violación de HIPAA
1. Anthem Inc.
Anthem Inc. es una compañía de seguros médicos con sede en Indiana que sufrió un ciberataque masivo en 2014. Los piratas informáticos penetraron silenciosamente en el sistema de la compañía con correos electrónicos de phishing que abrió un empleado. Los piratas informáticos pasaron varios meses explorando su red, aumentando los privilegios y finalmente robando datos de pacientes de su almacén de datos. Estos datos robados incluían nombres e información personal de pacientes y empleados, identificaciones de seguro médico, ePHI y números de seguro social. Anthem anunció la violación en febrero de 2015 y, debido a su carácter masivo, fue inmediatamente investigada por la OCR. Como resultado de la investigación, se descubrieron múltiples violaciones de HIPAA y la compañía resolvió el caso con la OCR por $16 millones en Octubre de 2018.
Aparte del costo del acuerdo, la compañía gastó más de $ 260 millones en resolver demandas y hacer cumplir las medidas relacionadas con la seguridad como parte del acuerdo para tomar acciones correctivas. Estas acciones incluyeron la implementación de un programa de seguridad de la información basado en arquitectura de cero confianza , autenticación multifactor, controles de acceso, segmentación de red y cifrado de datos. Ahora también están monitoreando la actividad del sistema, realizando pruebas de penetración regulares y enviando informes de seguridad regulares a la junta directiva. Además, tuvieron que someterse a auditorías de seguridad de terceros durante tres años y entregar los resultados de esas auditorías a un evaluador externo.
La sanción por infracción de Anthem Inc. es la sanción económica más importante impuesta a una entidad cubierta en la historia de la ley HIPAA y afectó a 78,8 millones de personas. La compañía nunca admitió su culpa en el incidente y emitió un comunicado diciendo que no violaron ninguna ley con respecto a la seguridad y privacidad de los datos. La investigación sigue en curso.
2. Premera Blue Cross
Premera Blue Cross es la aseguradora de salud más grande del noroeste del Pacífico de EE. UU. Opera en Washington y Alaska y sirve como proveedor de planes de atención médica para más de 2 millones de personas. Premera sufrió un ciberataque descubierto por la empresa el 29 de enero de 2015, un año después del atentado. Los piratas informáticos podían acceder a los sistemas de Premera y acceder a los datos personales de los empleados y pacientes, incluida la información de contacto y personal, los números de Seguro Social, ePHI e información de reclamaciones. El ataque no solo afectó a Premera, sino que también a algunas de sus afiliadas, incluidas Premera Blue Cross Blue Shield de Alaska y Vivacity and Connexion Insurance Solutions.
Después de que se anunció la violación, la OCR inició una investigación que encontró múltiples violaciones de HIPAA. Estas violaciones afectaron a 10,4 millones de pacientes e incluyeron:
- No implementar medidas de seguridad sólidas para proteger los datos del paciente.
- Falta de implementación de hardware requerida por HIPAA.
- No realizar un análisis de riesgos en toda la empresa de posibles riesgos y vulnerabilidades.
La OCR resolvió el caso con Premera Blue Cross por $6.85 millones, convirtiéndolo en el segundo asentamiento más grande en la historia de HIPAA. La aseguradora también tuvo que gastar más de $ 78 millones en acuerdos de demandas e implementar un plan de acción correctiva que les exigía realizar un análisis de riesgo exhaustivo para garantizar la disponibilidad, integridad y confidencialidad de todos sus ePHI. Además, tenían que implementar un plan de análisis de riesgos para toda la empresa y abordar de inmediato cualquier riesgo de seguridad identificado en ese análisis.
Antes de la violación, el estado de Washington dijo que los expertos en ciberseguridad y los auditores de la empresa advirtieron repetidamente a la empresa sobre vulnerabilidades graves en su sistema. Sin embargo, la empresa no resolvió los problemas.
3. Excellus Health Plan
Excellus Health Plan es un licenciatario independiente sin fines de lucro con sede en Nueva York de la Blue Cross Blue Shield Association que brinda servicios de seguro médico en los EE. UU. En 2013, la empresa sufrió un ciberataque en el que los piratas informáticos instalaron malware en sus sistemas y realizaron actividades de reconocimiento durante casi dos años. El ataque resultó en la divulgación ilegal del ePHI de más de 9,3 millones de pacientes. Los datos filtrados incluían nombres, información personal, direcciones de correo electrónico, números de seguro social, información de cuentas bancarias, reclamaciones de seguros e información sobre tratamientos. El ataque fue descubierto luego de que la empresa contratara la firma de ciberseguridad FireEye Mandiant para realizar una evaluación de sus sistemas de TI. Excellus notificó a la OCR sobre el ciberataque el 9 de septiembre de 2015 y pagó una suma de $5.1 millones por sus violaciones a las normas HIPAA.
La investigación de la OCR concluyó que la empresa violó varias reglas de HIPAA, incluidas las siguientes:
- No realizar un análisis de riesgos en toda la empresa que garantice la confidencialidad, integridad y disponibilidad de todos los ePHI.
- No implementar medidas de seguridad eficientes suficientes para reducir o evitar riesgos de seguridad.
- No implementar el monitoreo de la actividad del sistema.
- No implementar protocolos de gestión de acceso.
Además de pagar las multas financieras de $ 5.1 millones, Excellus tuvo que adoptar un plan de acción correctiva que aborde todos los problemas de incumplimiento identificados por la OCR. La compañía fue monitoreada de cerca durante dos años para garantizar el cumplimiento de las Reglas de HIPAA.
4. CHS/Community Health Systems, Inc.
CHS / Community Health Systems, Inc. es una compañía con sede en Tennessee que brinda servicios de administración de información de salud y de TI a hospitales y otras compañías de atención médica. El 10 de abril de 2014, los piratas informáticos utilizaron credenciales de administrador comprometidas para sumergir a la empresa en un ciberataque que filtró el ePHI y los datos personales de más de seis millones de pacientes. Los piratas informáticos accedieron al sistema de gestión de información sanitaria de la empresa a través de su red privada virtual (VPN). CHS / Sistemas de salud comunitarios no pudo detectar el ataque y fue notificado por el FBI. Sin embargo, a pesar de que se le informó del incidente en abril de 2014, la empresa no tomó medidas reactivas y los piratas informáticos permanecieron activos durante cuatro meses.
La investigación de la OCR descubrió un incumplimiento sistémico de la regla de seguridad HIPAA y determinó que la empresa sabía sobre el ataque, pero no tomó medidas a tiempo. La compañía aceptó la multa y las responsabilidades y resolvió el caso por $ 5,1 millones. Como parte del acuerdo, la empresa tuvo que adoptar un sólido plan de acción correctiva para abordar las áreas de incumplimiento. La OCR los siguió de cerca durante dos años.
5. New York-Presbyterian Hospital y Columbia University
El Hospital Presbiteriano de Nueva York y la Universidad de Columbia estuvieron involucrados en un incidente conjunto que involucró a un médico que había desarrollado aplicaciones para ambas instalaciones. La violación ocurrió cuando el médico intentó desactivar un servidor informático de propiedad personal en la red que contenía el ePHI de los pacientes del hospital de NYP. Debido a la falta de salvaguardias técnicas, la desactivación del servidor dio como resultado que se pudiera acceder a la ePHI a través de los motores de búsqueda. Ambas entidades se enteraron de la violación después de que un individuo se quejara de encontrar información en Google sobre un amigo fallecido que había sido paciente en el hospital de NYP. Las entidades presentaron un informe conjunto de incumplimiento el 27 de septiembre de 2010, explicando el incumplimiento que resultó en 6,800 ePHI que contienen el estado del paciente, números de seguro social, signos vitales, datos personales, medicamentos y resultados de pruebas de laboratorio.
La investigación de la OCR encontró que, antes de la violación, ninguna institución hizo esfuerzos para asegurarse de que el servidor fuera seguro y tuviera los protocolos de seguridad adecuados. Además, la OCR determinó que ninguna entidad realizó un análisis de riesgo cuidadoso en sus sistemas ni tomó las medidas de protección necesarias para asegurar los ePHI de sus pacientes. Además, el hospital de NYP había fallado constantemente en implementar políticas y procedimientos sólidos para controlar el acceso a sus bases de datos y no podía cumplir con las políticas de administración de acceso a la información. El incumplimiento de estos requisitos de la HIPAA resultó en la falta de protección para el ePHI de los pacientes y las filtraciones posteriores. Las violaciones resultaron en que NYP pagara $3.3 millones y CU pagando $ 1.5 millones. Ambas entidades acordaron hacer cumplir las medidas correctoras que aseguren el desarrollo de un plan de gestión de riesgos y protección de los datos del paciente.
Multas de HIPAA: Reflexiones finales
Aunque cumplir con la HIPAA o contratar a un desarrollador experto en HIPAA puede parecer caro, la verdad es que el cumplimiento de la HIPAA tiene considerables ventajas de costo. Claro, el cumplimiento de HIPAA puede implicar costos iniciales sustanciales. Sin embargo, esos costos palidecen en comparación con los costos asociados con las multas que se derivan de las filtraciones de datos y las infracciones reglamentarias. Además, el incumplimiento de HIPAA significa que no está protegiendo la información médica y personal de sus usuarios, lo que podría ser realmente perjudicial para los desarrolladores de servicios de salud. Además de eso, está arriesgando la reputación de su empresa, la estabilidad de su negocio y la retención de sus empleados, lo que puede sumar gastos importantes que van más allá de las multas reglamentarias.
Si tiene alguna pregunta sobre el cumplimiento de HIPAA, el desarrollo de aplicaciones o desea que seamos su socio de desarrollo de aplicaciones, ¡hablemos!