Habrá cambios en la Ley HIPAA para el 2025
Contará con nuevos requerimientos en cuanto al reglamento de ciberseguridad
PUBLICIDAD
Como es de conocimiento general, en el ámbito de la salud, las regulaciones y leyes cambian y se modifican frecuentemente. La Health Insurance Portability and Accountability Act (HIPAA, por sus siglas en inglés), no es una excepción. HIPAA fue un proyecto propuesto por el Congreso de los Estados Unidos en los años noventa y fue firmado como ley por el presidente Bill Clinton en agosto 21 del 1996.
Su propósito principal era impactar la transferencia de información de salud, estipulando unas guías en las cuales la información identificable personal del individuo bajo el poder de las instituciones de salud y seguros médicos debía estar protegida de robo y fraude. Básicamente, prohíbe que los proveedores de salud y entidades cubiertas por esta ley revelen la información protegida a otras personas que no sean el paciente o un representante autorizado de este. Es importante destacar que la ley no prohíbe que el paciente, voluntariamente, comparta su información ni requiere confidencialidad cuando un paciente es el que revela su información a miembros de su familia, amigos u otros individuos que no están empleados por la entidad cubierta.
Habiendo explicado esto, se acercan cambios a dicha ley para el 2025, en cuanto a las reglamentaciones de seguridad. La Oficina para los Derechos Civiles (OCR, por sus siglas en inglés), espera publicar, antes de finalizar el 2024, cambios en las reglamentaciones de dicha ley para actualizar el HIPAA Security Rule con nuevos requerimientos en cuanto al reglamento de ciberseguridad.
Actualmente, la industria de la salud se topa con muchos obstáculos para estar en cumplimiento con las regulaciones actuales, así que se puede prever que los cambios traerán más desafíos. Esta reglamentación requiere que las instituciones de salud inviertan grandes cantidades de recursos para prevenir ataques cibernéticos que resultan en graves multas y, entre muchos otros efectos, el robo de identidad de pacientes.
Con la adopción de la inteligencia artificial, los riesgos son mayores y los ataques mucho más sofisticados. En Puerto Rico, donde muchas instituciones de salud no están lo suficientemente estables financieramente, estar preparados para cumplir con las regulaciones de ciberseguridad se convierte en una carga adicional para su presupuesto.
Si vemos la tasa en que las organizaciones de salud están siendo atacadas, no se puede negar que hay una gran necesidad de mejorar los protocolos de ciberseguridad dentro de la industria, incluyendo a las aseguradoras de salud.
Los ataques cibernéticos más comunes son el ransomware, el cual consiste en la creación de un software diseñado para bloquear accesos en el sistema de computadoras hasta tanto se pague la cantidad de dinero exigida.
El phishing es una práctica fraudulenta en la que se envían correos electrónicos haciendo ver que vienen de parte de una compañía de buena reputación, de forma que el individuo es inducido a revelar información personal, como claves secretas y números de tarjetas de crédito, entre otras.
La divulgación y el uso de información protegida sin la autorización del paciente utilizando algún medio electrónico también cae bajo las regulaciones de ciberseguridad.
Podemos concluir que, en el próximo año, las limitaciones mayores para estar en cumplimiento con las nuevas regulaciones de ciberseguridad bajo la Ley HIPAA son los recursos financieros, los recursos humanos con las destrezas requeridas y los recursos tecnológicos disponibles, entre otras.
La autora es oficial de Cumplimiento y miembro de la Junta de Directores de HRPLabs.
Este contenido comercial fue redactado y/o producido por el equipo de GFR Media.