Ninguna empresa es inmune a las filtraciones de datos… y eso incluye al sector sanitario, que ha experimentado un aumento del 18% en filtraciones desde 2015, cuando la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE.UU. empezó a publicar las principales filtraciones que estaba investigando.
El creciente número de violaciones, junto con el anuncio a mediados de 2017 de una actualización de la Herramienta de Notificación de Infracciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)-han impulsado a muchas organizaciones sanitarias a plantearse si es necesario mejorar y modernizar sus esfuerzos en materia de ciberseguridad y cumplimiento de la privacidad. Y en su mayor parte, la respuesta es sí.
Esto se debe principalmente a que las organizaciones proveedoras luchan por cumplir el requisito de notificar a las partes afectadas por una violación en un plazo de 60 días. Los retrasos -y, por tanto, el incumplimiento- suelen deberse a procesos manuales e ineficaces para la notificación inicial de sucesos, la evaluación de riesgos y la determinación de la violación, así como el propio proceso de notificación.
Dicho esto, las organizaciones proveedoras pueden plantearse normalmente las dos preguntas siguientes a sus empresas para determinar si están en buena forma para cumplir la normativa sobre ciberseguridad y privacidad o si existe margen de mejora:
- ¿Está integrado nuestro proceso de notificación de infracciones con otras actividades de notificación de incidentes?
- ¿Qué pasos del proceso, actualmente manuales, pueden automatizarse?
Si has respondido «no» a la primera pregunta o tal vez no eres consciente de que determinados procesos pueden automatizarse, como se indica en la segunda pregunta, existe margen de mejora. Pero la buena noticia es que también existe tecnología de gestión de riesgos que ayuda a automatizar el proceso de gestión de riesgos en toda la empresa, incluidos los riesgos que pueden afectar a tus esfuerzos de ciberseguridad y privacidad del paciente.
La tecnología de gestión de riesgos adecuada te permitirá
- Informa fácilmente de las violaciones de la privacidad que afecten de uno a más de 500 pacientes
- Realizar evaluaciones de riesgos basadas en normas
- Gestionar las notificaciones de infracción para afectados individuales y múltiples
- Controla el cumplimiento de los plazos de notificación
- Realizar investigaciones y análisis de la causa raíz
- Seguimiento y tendencia de los datos con análisis avanzados para impulsar la mejora
Las ventajas de estas funciones incluirán probablemente: un mejor cumplimiento de la HIPAA con el análisis del retraso en la notificación de infracciones; una reducción del tiempo necesario para cumplir los requisitos de información de la OCR; y una notificación más sencilla a las partes afectadas.
Cuando se trata de notificar a las partes afectadas, en concreto, la tecnología de gestión de riesgos adecuada automatizará todo el proceso con funciones de combinación de correspondencia que pueden integrarse con los datos de contacto de las partes afectadas y otros datos. Las plantillas de cartas de notificación prediseñadas y personalizadas también simplifican el proceso. Todo esto hace que sea menos oneroso generar las notificaciones necesarias, sobre todo cuando puede haber cientos o miles de afectados.
Además, la automatización también puede documentar estas actividades por ti, añadiendo sellos de fecha y hora a la generación de cartas e incluso adjuntando automáticamente copias de las cartas generadas a los registros de contacto de los pacientes en tu sistema, lo que facilita demostrar el cumplimiento si la OCR las investiga.
Aunque los recientes cambios en la Herramienta de Notificación de Infracciones de la HIPAA de la OCR son mejoras organizativas y cosméticas bastante menores, otras agencias federales, como la Administración de Salud y Seguridad en el Trabajo, han introducido mejoras más significativas en la notificación del cumplimiento con el lanzamiento de portales de presentación electrónica. Lo más probable es que sólo sea cuestión de tiempo que la OCR del HHS siga su ejemplo. Así pues, mientras la OCR del HHS se esfuerza por adaptar los informes de la HIPAA al siglo XXI, los proveedores sanitarios deben asegurarse de seguir su ejemplo.
