Ley de Portabilidad y Responsabilidad del Seguro de Salud

Guía de cumplimiento HIPAA

La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) establece estándares nacionales para proteger la Información de Salud Protegida. Ya sea una entidad cubierta, socio comercial o subcontratista, le ayudamos a implementar los requisitos de la Regla de Privacidad, Regla de Seguridad y Notificación de Brechas con procesos claros y documentación lista para auditoría.

Iniciar evaluación HIPAAAgendar consulta de cumplimiento

¿Qué es HIPAA?

La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) es una ley federal que estableció estándares nacionales para proteger la información sensible de salud del paciente de ser divulgada sin el consentimiento o conocimiento del paciente.

Aplicada por: La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS). HIPAA se aplica a entidades cubiertas (proveedores de atención médica, planes de salud, cámaras de compensación), socios comerciales y sus subcontratistas.

Regla de Privacidad

Controla el uso y divulgación de PHI

Regla de Seguridad

Protege la PHI electrónica (ePHI)

Complementa la certificación SOC 2 e ISO 27001 para la seguridad de la información sanitaria.

¿Quién necesita cumplir?

Entidades cubiertas

Proveedores de atención médica, planes de salud, cámaras de compensación de atención médica que transmiten información de salud electrónicamente

Socios comerciales

Terceros que crean, reciben, mantienen o transmiten PHI en nombre de entidades cubiertas

Subcontratistas

Entidades que crean, reciben, mantienen o transmiten PHI en nombre de socios comerciales

Proveedores de atención médica

Hospitales, clínicas, médicos, dentistas, farmacias, residencias geriátricas, agencias de salud domiciliaria

Planes de salud

Compañías de seguros de salud, HMO, planes de salud de empleadores, programas gubernamentales de salud

Proveedores de tecnología sanitaria

Proveedores de EHR, almacenamiento en la nube, análisis de datos, servicios de facturación, soporte de TI, consultores

Cómo VerifyWise apoya el cumplimiento de HIPAA

Capacidades concretas que abordan los requisitos de la Regla de Privacidad, Regla de Seguridad y Notificación de Brechas

Inventario de PHI y mapeo de datos

Identifique y documente todos los sistemas que crean, reciben, mantienen o transmiten Información de Salud Protegida. La plataforma mantiene un mapa completo de flujo de datos de PHI requerido para el cumplimiento de la Regla de Privacidad y la planificación de respuesta ante brechas.

Aborda: Regla de Privacidad: Identificación de PHI, mínimo necesario, documentación de flujo de datos

Implementación de salvaguardas de seguridad

Rastree la implementación de salvaguardas administrativas, físicas y técnicas requeridas por la Regla de Seguridad. La plataforma documenta controles de seguridad, controles de acceso, medidas de cifrado y registros de auditoría en toda su infraestructura de PHI.

Aborda: Regla de Seguridad: Controles de acceso, cifrado, controles de auditoría, controles de integridad

Evaluación y análisis de riesgos

Realice evaluaciones de riesgo alineadas con HIPAA identificando amenazas y vulnerabilidades a la confidencialidad, integridad y disponibilidad de la PHI. La plataforma genera documentación de riesgos y rastrea la remediación requerida por la Regla de Seguridad.

Aborda: Regla de Seguridad: Análisis de riesgos, gestión de riesgos, proceso de gestión de seguridad

Gestión de políticas y procedimientos

Mantenga las políticas, procedimientos y documentación HIPAA requeridos con control de versiones y flujos de aprobación. La plataforma garantiza que las políticas aborden todos los requisitos de la Regla de Privacidad y Seguridad con ciclos de revisión adecuados.

Aborda: Reglas de Privacidad y Seguridad: Políticas, procedimientos, documentación, capacitación del personal

Notificación de brechas y respuesta a incidentes

Gestione investigaciones de brechas HIPAA con flujos de trabajo estructurados que cumplen con el plazo de 60 días de la Regla de Notificación de Brechas. La plataforma rastrea el descubrimiento de brechas, la evaluación de daños, las obligaciones de notificación y los informes a la OCR.

Aborda: Regla de Notificación de Brechas: Descubrimiento, evaluación, notificación, documentación

Gestión de socios comerciales

Rastree todos los socios comerciales y subcontratistas con estado de BAA, evaluaciones de riesgo y monitoreo continuo. La plataforma mantiene la supervisión de terceros requerida por las Reglas de Privacidad y Seguridad.

Aborda: Reglas de Privacidad y Seguridad: Seguimiento de BAA, riesgo de proveedores, gestión de subcontratistas

Todas las actividades relacionadas con PHI se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobación. Esta pista de auditoría demuestra el cumplimiento sistemático y apoya las investigaciones o auditorías de la OCR.

Cobertura completa de requisitos HIPAA

VerifyWise proporciona herramientas dedicadas para todos los requisitos de las reglas HIPAA

34

Requisitos HIPAA

34

Requisitos con herramientas dedicadas

100%

Cobertura en todas las reglas

Regla de privacidad8/8

Uso de PHI, divulgación, derechos, mínimo necesario

Regla de seguridad18/18

Salvaguardas administrativas, físicas, técnicas

Notificación de brechas4/4

Descubrimiento, notificación, documentación, mitigación

Cumplimiento4/4

Investigaciones, sanciones, cumplimiento, auditorías

Construido desde cero para el cumplimiento sanitario

Preparación para auditoría OCR

Paquetes de evidencia para investigaciones y revisiones de cumplimiento de la OCR

Seguimiento de brechas de 60 días

Flujos de trabajo automatizados de notificación de brechas que cumplen con los plazos de la OCR

Gestión de BAA

Rastree socios comerciales y subcontratistas con estado de BAA

IA en salud

Combine HIPAA con marcos de gobernanza de IA para sistemas de IA clínica

Reglas clave de HIPAA

Comprender los componentes principales del cumplimiento HIPAA

Regla de Privacidad

Controla el uso y la divulgación de Información de Salud Protegida y establece los derechos individuales.

  • Estándar de mínimo necesario para el uso de PHI
  • Derechos individuales (acceso, enmienda, contabilidad)
  • Aviso de prácticas de privacidad
  • Oficial de privacidad designado
  • Capacitación y sanciones del personal

Regla de Seguridad

Establece estándares nacionales para proteger la Información de Salud Protegida electrónica (ePHI).

  • Salvaguardas administrativas (9 estándares)
  • Salvaguardas físicas (4 estándares)
  • Salvaguardas técnicas (5 estándares)
  • Requisitos organizacionales
  • Documentación de políticas y procedimientos

Regla de Notificación de Brechas

Requiere notificación a individuos, HHS y en algunos casos a los medios cuando se viola la PHI.

  • Descubrimiento y evaluación de brechas
  • Notificación individual (60 días)
  • Notificación al HHS (anual o inmediata)
  • Notificación a medios (500+ individuos)
  • Documentación y mitigación

Regla de Cumplimiento

Establece procedimientos para investigaciones, audiencias e imposición de sanciones monetarias civiles.

  • Investigaciones de cumplimiento de la OCR
  • Niveles de sanciones monetarias civiles
  • Referencias de enjuiciamiento penal
  • Planes de acción correctiva
  • Acuerdos de resolución

Regla Omnibus

Fortaleció HIPAA con la responsabilidad directa de socios comerciales, expansión de notificación de brechas e implementación de la Ley HITECH.

  • Responsabilidad directa del socio comercial
  • Requisitos de BAA para subcontratistas
  • Cumplimiento fortalecido
  • Derechos individuales ampliados
  • Protecciones de información genética

Desglose de salvaguardas de la Regla de Seguridad

Salvaguardas administrativas, físicas y técnicas requeridas para la protección de ePHI

Salvaguardas administrativas

Políticas, procedimientos y procesos documentados para gestionar la seguridad de la PHI

Proceso de gestión de seguridad

Análisis de riesgos, gestión de riesgos, política de sanciones, revisión de actividad del sistema de información

Responsabilidad de seguridad asignada

Oficial de seguridad designado responsable de la seguridad HIPAA

Seguridad del personal

Procedimientos de autorización, supervisión, verificación de antecedentes y terminación

Gestión de acceso a información

Autorización de acceso, establecimiento de acceso, modificación de acceso

Concienciación y capacitación en seguridad

Recordatorios de seguridad, protección contra malware, monitoreo de inicio de sesión, gestión de contraseñas

Procedimientos de incidentes de seguridad

Respuesta y reporte de incidentes de seguridad

Plan de contingencia

Respaldo de datos, recuperación ante desastres, modo de emergencia, pruebas, criticidad de aplicaciones y datos

Evaluación

Evaluación periódica técnica y no técnica de las medidas de seguridad

Contratos con socios comerciales

Contratos escritos con garantías satisfactorias sobre la protección de la PHI

Salvaguardas físicas

Medidas físicas para proteger sistemas de información electrónica y edificios

Controles de acceso a instalaciones

Operaciones de contingencia, plan de seguridad de instalaciones, control y validación de acceso, registros de mantenimiento

Uso de estaciones de trabajo

Políticas y procedimientos para funciones y seguridad de estaciones de trabajo

Seguridad de estaciones de trabajo

Salvaguardas físicas para restringir el acceso a estaciones de trabajo a usuarios autorizados

Controles de dispositivos y medios

Eliminación, reutilización de medios, responsabilidad, respaldo y almacenamiento de datos

Salvaguardas técnicas

Tecnología y políticas para proteger ePHI y controlar el acceso

Control de acceso

Identificación única de usuario, acceso de emergencia, cierre de sesión automático, cifrado y descifrado

Controles de auditoría

Mecanismos de hardware, software y procedimientos para registrar y examinar el acceso a ePHI

Integridad

Políticas para garantizar que la ePHI no sea alterada o destruida indebidamente

Autenticación de persona o entidad

Procedimientos para verificar la persona o entidad que busca acceso a ePHI

Seguridad de transmisión

Controles de integridad y cifrado para la transmisión de ePHI a través de redes

Hoja de ruta de implementación de 24 semanas

Un camino práctico hacia el cumplimiento de HIPAA con hitos claros

Fase 1Semanas 1-4

Fundación y análisis de brechas

  • Designar oficiales de privacidad y seguridad
  • Realizar evaluación inicial de brechas HIPAA
  • Crear inventario de PHI y mapas de flujo de datos
  • Revisar políticas y procedimientos existentes
Fase 2Semanas 5-10

Evaluación de riesgos y planificación

  • Completar análisis de riesgo integral
  • Identificar amenazas y vulnerabilidades a ePHI
  • Priorizar actividades de remediación
  • Desarrollar plan de gestión de seguridad
Fase 3Semanas 11-20

Implementación de salvaguardas

  • Implementar salvaguardas administrativas
  • Desplegar controles de seguridad física
  • Configurar salvaguardas técnicas
  • Establecer acuerdos con socios comerciales
Fase 4Semanas 21-24

Capacitación y validación

  • Realizar capacitación de privacidad y seguridad al personal
  • Probar procedimientos de respuesta a incidentes
  • Validar controles técnicos
  • Documentar evidencia de cumplimiento

Sanciones y cumplimiento de HIPAA

Comprender las consecuencias financieras y penales del incumplimiento

Niveles de sanciones monetarias civiles

Nivel 1Por violación

No sabía (y ejerciendo la diligencia razonable no habría sabido)

Rango

$100 - $50,000

Máx. anual

$25,000

Nivel 2Por violación

Causa razonable (violación debida a circunstancias fuera del control razonable)

Rango

$1,000 - $50,000

Máx. anual

$100,000

Nivel 3Por violación

Negligencia deliberada (pero corregida dentro de 30 días)

Rango

$10,000 - $50,000

Máx. anual

$250,000

Nivel 4Por violación

Negligencia deliberada (no corregida dentro de 30 días)

Rango

$50,000 - $50,000

Máx. anual

$1,500,000

Sanciones penales

Nivel 1 Penal

Obtener o divulgar PHI a sabiendas

Hasta $50,000 y hasta 1 año de prisión

Nivel 2 Penal

Obtener PHI bajo pretextos falsos

Hasta $100,000 y hasta 5 años de prisión

Nivel 3 Penal

Obtener o divulgar PHI con intención de vender, transferir o usar para ventaja comercial, ganancia personal o daño malicioso

Hasta $250,000 y hasta 10 años de prisión

Nota: Las sanciones se evalúan por violación. Múltiples violaciones pueden resultar en sanciones que excedan los máximos anuales. El Departamento de Justicia maneja las acciones penales por violaciones de HIPAA.

Plantillas de políticas

Biblioteca de plantillas de políticas HIPAA

Acceda a plantillas de políticas HIPAA listas para usar que cubren los requisitos de la Regla de Privacidad, Regla de Seguridad y Notificación de Brechas

Políticas de Regla de Privacidad

  • Aviso de Prácticas de Privacidad
  • Política de Mínimo Necesario
  • Política de Derechos Individuales
  • Designación de Oficial de Privacidad
  • Uso y Divulgación de PHI
  • Contabilidad de Divulgaciones
  • Proceso de Solicitud de Enmienda

Políticas de Regla de Seguridad

  • Proceso de Gestión de Seguridad
  • Política de Control de Acceso
  • Política de Controles de Auditoría
  • Cifrado y Descifrado
  • Plan de Respuesta a Incidentes
  • Plan de Contingencia
  • Política de Seguridad del Personal

Brechas y cumplimiento

  • Política de Notificación de Brechas
  • Evaluación de Riesgo de Brechas
  • Acuerdo de Socio Comercial
  • Política de Sanciones
  • Capacitación y Concienciación
  • Monitoreo de Cumplimiento
  • Política de Evaluación de Riesgos
Explorar todas las plantillas de políticas

Preguntas frecuentes

Preguntas comunes sobre el cumplimiento de HIPAA

HIPAA es aplicada por la Oficina de Derechos Civiles (OCR) dentro del Departamento de Salud y Servicios Humanos de EE. UU. (HHS). La OCR realiza revisiones de cumplimiento, investiga quejas, realiza auditorías e impone sanciones monetarias civiles por violaciones. La aplicación penal es manejada por el Departamento de Justicia (DOJ). Visite el sitio web oficial de HHS HIPAA para orientación sobre cumplimiento.
La PHI es información de salud identificable individualmente que posee o transmite una entidad cubierta o socio comercial en cualquier forma (electrónica, papel, oral). Incluye 18 identificadores como nombres, fechas, información de contacto, números de registro médico, números de plan de salud e identificadores biométricos cuando están vinculados a información de salud. La PHI electrónica (ePHI) está sujeta a requisitos adicionales de la Regla de Seguridad.
Las entidades cubiertas son proveedores de atención médica, planes de salud y cámaras de compensación de atención médica que manejan directamente la PHI. Los socios comerciales son terceros que realizan servicios que involucran PHI en nombre de las entidades cubiertas (proveedores de EHR, empresas de facturación, consultores). Desde la Regla Omnibus (2013), los socios comerciales tienen responsabilidad directa bajo HIPAA y deben cumplir con la Regla de Seguridad y la Regla de Notificación de Brechas.
Sí, las entidades cubiertas deben tener un BAA firmado con cada socio comercial antes de compartir PHI. Los socios comerciales deben tener BAA con sus subcontratistas. El BAA debe incluir disposiciones específicas requeridas sobre la protección de PHI, notificación de brechas, devolución o destrucción de PHI y responsabilidad. No se puede compartir PHI sin un BAA conforme en vigor.
Una brecha es la adquisición, acceso, uso o divulgación de PHI que compromete la seguridad o privacidad de la información. Debe realizar una evaluación de riesgo utilizando la prueba de 4 factores. Si la brecha no está excluida y la evaluación de riesgo muestra más de una baja probabilidad de compromiso, se requiere notificación dentro de 60 días a los individuos afectados, al HHS y potencialmente a los medios (para 500+ individuos).
Las sanciones civiles van desde $100 hasta $50,000 por violación dependiendo del nivel de culpabilidad, con máximos anuales de $25,000 a $1.5 millones por tipo de violación. Nivel 1 (desconocimiento): $100-$50K por violación, $25K máximo anual. Nivel 2 (causa razonable): $1K-$50K, $100K máximo. Nivel 3 (negligencia deliberada, corregida): $10K-$50K, $250K máximo. Nivel 4 (negligencia deliberada, no corregida): $50K por violación, $1.5M máximo. Las sanciones penales pueden alcanzar $250,000 y 10 años de prisión.
Un programa típico de cumplimiento HIPAA tarda de 6 a 9 meses en implementarse dependiendo del tamaño organizacional, la infraestructura existente y la complejidad del manejo de PHI. Las prácticas pequeñas pueden avanzar más rápido con un alcance enfocado, mientras que los grandes sistemas de salud requieren una implementación más extensa. La Regla de Seguridad requiere evaluaciones de riesgo anuales y monitoreo continuo.
La Regla de Seguridad exige un análisis de riesgo integral que identifique amenazas y vulnerabilidades a la confidencialidad, integridad y disponibilidad de la ePHI. Esto debe documentarse e incluir la evaluación de: dónde se almacena, crea, recibe y transmite la ePHI; amenazas potenciales (humanas, naturales, ambientales); medidas de seguridad actuales; probabilidad e impacto de amenazas; niveles de riesgo y prioridades de remediación. El análisis de riesgo debe revisarse y actualizarse regularmente.
El cifrado es abordable (no requerido) bajo la Regla de Seguridad, pero se recomienda encarecidamente como puerto seguro. Si la PHI está cifrada usando algoritmos validados por NIST y gestión de claves adecuada, una brecha de esos datos no requiere notificación. Debe documentar por qué eligió implementar o no implementar el cifrado, y si no cifra, qué medidas alternativas equivalentes están en vigor.
Los proveedores de servicios en la nube y proveedores SaaS que almacenan, procesan o transmiten ePHI son socios comerciales y deben firmar un BAA. La entidad cubierta sigue siendo responsable de garantizar que el proveedor tenga salvaguardas apropiadas. Los proveedores deben cumplir con las salvaguardas administrativas, físicas y técnicas de la Regla de Seguridad. Revise las prácticas de seguridad, certificaciones (HITRUST, SOC 2) y capacidades de respuesta a incidentes del proveedor antes de contratar.
HIPAA requiere capacitación del personal sobre políticas de privacidad y seguridad, pero no especifica frecuencia o formato. La mejor práctica es capacitación anual para todos los miembros del personal (empleados, voluntarios, aprendices, contratistas) con capacitación adicional para aquellos con acceso elevado a PHI. La capacitación debe cubrir: Reglas de Privacidad y Seguridad, notificación de brechas, sanciones, derechos individuales, mínimo necesario, requisitos de socios comerciales. Documente toda la capacitación con registros de asistencia y contenido.
HIPAA establece un piso federal para la protección de información de salud. Las leyes estatales pueden ser más estrictas. Donde la ley estatal proporciona mayores protecciones de privacidad o derechos individuales, se aplica la ley estatal. Las organizaciones deben cumplir tanto con HIPAA como con las leyes estatales de privacidad de salud aplicables. Algunos estados tienen plazos o requisitos adicionales de notificación de brechas. A diferencia de SOC 2, que es voluntario, el cumplimiento de HIPAA es obligatorio para las entidades cubiertas.
Sí, VerifyWise proporciona flujos de trabajo específicos para HIPAA para evaluaciones de riesgo, inventario de PHI, seguimiento de implementación de salvaguardas, gestión de notificación de brechas y documentación de políticas. Nuestra plataforma mapea controles a los requisitos de la Regla de Privacidad, Regla de Seguridad y Regla de Notificación de Brechas. También proporcionamos correlaciones con SOC 2, ISO 27001 y NIST AI RMF para organizaciones que implementan múltiples marcos.

¿Listo para lograr el cumplimiento de HIPAA?

Comience su camino de cumplimiento con nuestra evaluación guiada de HIPAA y herramientas de implementación diseñadas para organizaciones de salud.

Iniciar evaluación HIPAAAgendar consulta
HIPAA compliance: Privacy Rule, Security Rule, and PHI protection