Ninguna empresa es inmune a las filtraciones de datos... y eso incluye al sector sanitario, que ha visto un aumento del 18% en las filtraciones desde 2015, cuando la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de Estados Unidos comenzó a publicar las principales filtraciones que estaba investigando.

El creciente número de infracciones, junto con el anuncio de mediados de 2017 de actualización de la herramienta de notificación de infracciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)-han impulsado a muchas organizaciones sanitarias a contemplar si sus esfuerzos en materia de ciberseguridad y cumplimiento de la privacidad deben ser mejorados y modernizados. Y en su mayor parte, la respuesta es sí.

Esto se debe principalmente a que las organizaciones proveedoras tienen dificultades para cumplir el requisito de notificar a las partes afectadas por una violación en un plazo de 60 días. Los retrasos -y, por tanto, el incumplimiento- suelen deberse a procesos manuales e ineficientes para la notificación inicial de eventos, la evaluación de riesgos y la determinación de la infracción, así como el propio proceso de notificación.

Dicho esto, las organizaciones proveedoras pueden plantearse normalmente las dos preguntas siguientes a sus empresas para determinar si están en buena forma para cumplir con la normativa de ciberseguridad y privacidad o si existe margen de mejora:

  1. ¿Está nuestro proceso de notificación de infracciones integrado con otras actividades de notificación de incidentes?
  2. ¿Qué pasos del proceso, actualmente manuales, pueden automatizarse?

Si ha respondido "no" a la primera pregunta o quizás no es consciente de que ciertos procesos pueden automatizarse, como se indica en la segunda pregunta, existe margen de mejora. Pero la buena noticia es que también existe tecnología de gestión de riesgos que ayuda a automatizar el proceso de gestión de riesgos en toda la empresa, incluidos los riesgos que pueden afectar a sus esfuerzos de ciberseguridad y privacidad de los pacientes.

La tecnología de gestión de riesgos adecuada le permitirá:

  • Informar fácilmente de las violaciones de la privacidad que afectan a entre uno y más de 500 pacientes
  • Realización de evaluaciones de riesgo basadas en normas
  • Gestionar las notificaciones de infracción para las partes individuales y múltiples afectadas
  • Seguimiento del cumplimiento de los plazos de notificación
  • Realizar investigaciones y análisis de la causa raíz
  • Seguimiento y tendencia de los datos con análisis avanzados para impulsar la mejora

Entre las ventajas de estas funciones se encuentran probablemente: la mejora del cumplimiento de la HIPAA con el análisis de rendimiento del retraso en la notificación de infracciones; la reducción del tiempo necesario para cumplir con los requisitos de notificación de la OCR; y una notificación más sencilla a las partes afectadas.

Cuando se trata de notificar a las partes afectadas, en concreto, la tecnología de gestión de riesgos adecuada automatizará todo el proceso con capacidades de combinación de correo que pueden integrarse con los datos de contacto de las partes afectadas y otros datos. Las plantillas de cartas de notificación personalizadas y preconstruidas también simplifican el proceso. Todo esto hace que sea menos oneroso generar las notificaciones requeridas, especialmente cuando pueden estar involucrados cientos o miles de afectados.

Además, la automatización también puede documentar estas actividades por usted, añadiendo sellos de fecha y hora a la generación de cartas e incluso adjuntando automáticamente copias de las cartas generadas a los registros de contacto de los pacientes en su sistema, lo que facilita la demostración del cumplimiento si la OCR lo investiga.

Aunque los recientes cambios en la herramienta de notificación de infracciones de la HIPAA de la OCR son mejoras organizativas y cosméticas de poca importancia, otras agencias federales, como la Administración de Salud y Seguridad en el Trabajo, han introducido mejoras más significativas en la notificación del cumplimiento con el lanzamiento de portales de presentación electrónica. Lo más probable es que sólo sea cuestión de tiempo que la OCR del HHS siga su ejemplo. Por lo tanto, a medida que la OCR del HHS trabaja para actualizar los informes de la HIPAA al siglo XXI, los proveedores de atención médica deben asegurarse de seguir su ejemplo.

Lea un artículo en Cumplimiento de la normativa hoy en día de Jay Lechtman, de Riskonnect, para más información sobre este tema.