Autor: Robert Agar
La industria de la salud ha sido tradicionalmente más reacia que otros sectores del mercado a dar la bienvenida al cambio. Hasta hace muy poco, muchos consultorios médicos todavía usaban solo gráficos y registros en papel. Además, muchos centros de salud se han resistido a usar la tecnología para proteger la información confidencial del paciente, optando en su lugar por métodos anticuados e inseguros.
Varios factores están causando un cambio en esta mentalidad e influyendo en la adopción de tecnología de vanguardia en muchas áreas de la atención médica. Uno de ellos son los efectos abrumadores de la pandemia de COVID-19. El virus ha resultado en cambios significativos en todos los aspectos de la sociedad y ha ejercido una tremenda presión sobre la industria de la salud. Esta tensión ha estimulado la adopción de algunas de las soluciones tecnológicas disponibles para los profesionales de la salud y las empresas.
La madurez de las soluciones en la nube es otro factor que permite a las empresas de la industria de la salud aprovechar la tecnología de maneras nuevas e innovadoras.
En este artículo, discutiremos cómo las ofertas de los proveedores de nube pública están haciendo posible que las organizaciones de atención médica de cualquier tamaño protejan los registros de sus pacientes y cumplan con los requisitos reglamentarios de HIPAA.
Cumplimiento de las regulaciones de privacidad y seguridad de HIPAA
Todas las empresas que operan en la industria de la salud en los Estados Unidos están sujetas a las pautas de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) con respecto a la privacidad y seguridad de la información médica protegida (PHI). Esto incluye la información de salud protegida electrónicamente (ePHI) almacenada en sistemas informáticos y bases de datos. Phi y ePHI se definen como cualquier pieza de información en el registro médico de un individuo para identificar al paciente de manera única.
En particular, las Reglas de Privacidad y Seguridad de HIPAA definen las salvaguardas que deben existir para proteger phi y ePHI. Además, las directrices de HIPAA definen dos tipos de organizaciones que deben cumplir con estas reglas. Tanto los CE como los BA deben cumplir con los estándares establecidos en las Reglas de Privacidad y Seguridad de HIPAA. A continuación se presenta una descripción general de lo que requieren estas reglas:
Una entidad cubierta (CE) puede ser un proveedor de atención médica, un plan de salud o un centro de intercambio de información de atención médica. Todo, desde pequeños consultorios médicos hasta grandes sistemas hospitalarios metropolitanos, se considera entidades cubiertas.
Un socio comercial (BA) es una persona o entidad que realiza ciertas funciones o actividades para una entidad cubierta que implica el procesamiento de PHI o ePHI. Por ejemplo, los proveedores externos de servicios de tecnología de la información (TI) entran en la categoría de socios comerciales.
Regla de privacidad de HIPAA
La Regla de Privacidad de HIPAA se aplica a todas las formas de PHI, independientemente de cómo se haya creado o almacenado. Se promulgó para proteger la confidencialidad de la información de atención médica de los pacientes y permitir que se acceda a ella cuando sea necesario. Regula quién puede acceder a la PHI y cuándo se puede usar y compartir.
Dieciocho características de la PHI se definen en la Regla de Privacidad que incluye estos identificadores de pacientes:
- Nombres;
- Fechas;
- Números de teléfono;
- Datos geográficos;
- Números de Seguro Social;
- Direcciones de correo electrónico;
- Números de registros médicos;
- Números de cuenta.
Estos identificadores son los que deben mantenerse privados y seguros para garantizar el cumplimiento de HIPAA.
Regla de seguridad HIPAA
La regla de seguridad hipaa solo se aplica a ePHI que se almacena, procesa y transmite electrónicamente. Sus directrices generales de seguridad requieren que los CA y los BA:
- Garantizar la confidencialidad, integridad y disponibilidad de todos los ePHI que crean, reciben, mantienen o transmiten;
- Identificar y proteger contra amenazas a la seguridad o integridad de ePHI;
- Protegerse contra posibles violaciones de seguridad;
- Asegurar el cumplimiento de las normas por parte de sus empleados.
Para garantizar el cumplimiento de los estándares generales de seguridad, la Regla de seguridad describe tres categorías de salvaguardas que deben ser implementadas por el CE o BA responsable del procesamiento de ePHI.
Las salvaguardas administrativas definen cómo las entidades cubiertas evalúan el riesgo e implementan políticas para garantizar que los empleados cumplan con la Regla de Seguridad hipaa. Prevé el análisis de riesgos y el desarrollo de políticas para cerrar las brechas de seguridad. La capacitación de los empleados sobre el cumplimiento de HIPAA es parte de estas salvaguardas.
Las salvaguardas físicas abordan los controles para proteger la seguridad física de las oficinas y dispositivos que almacenan ePHI. Incluye medidas para controlar el acceso a instalaciones como sistemas de alarma y seguridad. Además, deben existir políticas y procedimientos para abordar la seguridad de las estaciones de trabajo y los dispositivos electrónicos que contienen ePHI.
Las salvaguardias técnicas se refieren a los procedimientos establecidos para proteger la ePHI que residen en los sistemas informáticos. Consisten en controles de acceso, auditoría e integridad de datos. Las salvaguardias técnicas también abordan la seguridad de la ePHI transmitida a través de redes electrónicas.
Cómo cumplir con las regulaciones de HIPAA
Muchos aspectos de las reglas HIPAA deben mantenerse para que una CE logre el cumplimiento. Sin embargo, puede llegar a ser extremadamente complicado garantizar rápidamente que se implementen todas las salvaguardas. En muchos casos, no hay recursos de TI dedicados disponibles para realizar estas tareas.
Una estrategia efectiva para las organizaciones que no tienen las capacidades internas para mantener el cumplimiento de HIPAA es contratar a un proveedor de nube de terceros calificado. Al trabajar con un proveedor de nube como socio comercial, las entidades cubiertas pueden beneficiarse de alojar sus aplicaciones en una infraestructura compatible con HIPAA.
Insista en un proveedor que firme un acuerdo de socio comercial que defina sus responsabilidades con respecto al ePHI de la CE. Aquí hay algunas características y características importantes que debe tener en cuenta al seleccionar un proveedor de nube para proporcionar una infraestructura compatible con HIPAA. El socio comercial debe proporcionar:
- Una infraestructura privada y segmentada;
- Cifrado de todos los ePHI mientras están en reposo, en uso y durante la transmisión;
- Protección contra intrusiones para mantener el malware fuera de la infraestructura;
- Redes privadas virtuales cifradas;
- Firewall administrado para limitar el tráfico entrante a entidades autorizadas;
- Almacenamiento compatible con HIPAA;
- Copias de seguridad in situ y externas que están totalmente encriptadas;
- Capacidades de recuperación ante desastres para mantener la disponibilidad de sistemas críticos.
Los proveedores de la nube que pueden proporcionar estas características ofrecen a las empresas de la industria de la salud una hoja de ruta optimizada para una infraestructura compatible con HIPAA. Abordan las salvaguardas técnicas y físicas requeridas para mantener el cumplimiento.
Cómo la nube puede mejorar la atención médica para los pacientes
Además de proporcionar un método viable para mantener una infraestructura compatible con HIPAA, la nube contribuye a múltiples avances en la forma en que se accede y se brinda la atención médica. La infraestructura compatible proporcionada por la nube se puede utilizar para alojar una amplia variedad de aplicaciones centradas en la atención médica. La comunidad de pacientes y la industria de la salud se benefician de estas mejoras.
Telemedicina y consultas remotas de pacientes
La pandemia de COVID-19 ha sido responsable de aumentar la velocidad con la que los pacientes y los profesionales han adoptado la telemedicina y las visitas remotas al médico. Las visitas virtuales a través de computadoras o dispositivos móviles han hecho posible ver a más pacientes mientras se mantienen las pautas de distanciamiento social. Los pacientes y los proveedores han adoptado ampliamente estas nuevas capacidades y prometen ser comúnmente utilizados en la atención médica posterior a la pandemia.
La telemedicina permite a las personas ubicadas en áreas geográficamente remotas reunirse con proveedores de atención médica en tiempo real. Esto amplía el alcance de la atención médica en las zonas rurales y abre la puerta a consultas transnacionales con especialistas de todo el mundo. Además, el tiempo y el costo del viaje para una consulta simple pueden ser eliminados por soluciones de telemedicina.
Portales de pacientes basados en la nube
Los portales basados en la nube hacen que los registros médicos y la información estén más fácilmente disponibles para los pacientes y los profesionales. La computación en la nube democratiza los datos de los pacientes y permite a las personas tomar decisiones informadas con respecto a su diagnóstico y tratamiento.
Colaboración e interoperabilidad
Los datos almacenados en la nube son fácilmente transferibles entre proveedores o instituciones de atención médica, lo que lleva a una mayor colaboración, una mejor interoperabilidad y mejores resultados para los pacientes. Por ejemplo, los médicos pueden ayudar a especialistas ubicados de forma remota e intercambiar rápidamente datos de pacientes para diagnósticos colaborativos para abordar situaciones inusuales.
La colaboración entre los proveedores de atención médica también puede ayudar a identificar tendencias que afectan el bienestar de la sociedad. La disponibilidad de múltiples bases de datos que contienen datos de pacientes ayuda a identificar tendencias que pueden informar a los responsables de la formulación de políticas de salud pública. Este tipo de información se ha vuelto indispensable en la lucha contra el COVID-19.
Capacidades analíticas y de diagnóstico avanzadas
Los proveedores de la nube ponen a disposición de sus clientes tecnologías de vanguardia como la inteligencia artificial y el aprendizaje automático. Muchas empresas no tendrían acceso al poder de análisis y diagnóstico avanzado de estas tecnologías sin la nube. Como resultado, la industria de la salud puede aprovechar al máximo la tecnología disponible en la nube para proporcionar una mejor atención al paciente y desarrollar terapias alternativas.
Los análisis se pueden utilizar para mejorar los planes de atención personalizados y las predicciones a gran escala de las tendencias que pueden indicar nuevas oportunidades para los proveedores de atención médica. Además, el big data y los dispositivos médicos conectados de Internet de las cosas suministran muchas materias primas para las actividades analíticas en la nube.
Costos reducidos
Uno de los atractivos de la nube para cualquier negocio es la posibilidad de reducir los costos mediante el uso de recursos informáticos bajo demanda. Las instalaciones de atención médica pueden escalar rápidamente su infraestructura cuando sea necesario para abordar las demandas fluctuantes sin ningún costo inicial. Combinado con las preocupaciones de la industria de la salud sobre el mantenimiento del cumplimiento de HIPAA, los costos de capital reducidos hacen que la nube sea una opción muy atractiva.
Conclusión
La computación en la nube puede abordar muchas de las necesidades de las empresas que se abren en la industria de la salud. Con el proveedor adecuado, una infraestructura compatible con HIPAA está en el alcance de una organización de cualquier tamaño. La nube también beneficia a los pacientes y profesionales de la salud con un flujo de información más fácilmente disponible, soluciones de telemedicina y acceso a tecnologías innovadoras. A medida que la comunidad de atención médica adopte más soluciones en la nube, las ventajas para los proveedores y los pacientes continuarán floreciendo.
Publicado, en inglés, en: https://www.ispartnersllc.com/blog/protecting-patients-records-compliance-cloud/
