Evite las violaciones más frecuentes a la HIPAA aplicando las mejores prácticas y con capacitación

Hasta las organizaciones de atención médica más preparadas pueden violar sin intención las disposiciones de la ley HIPAA, pero conocer los fallos más frecuentes puede mejorar sus probabilidades de mantenerse dentro de la norma de la Oficina de Derechos Civiles (OCR).

Las organizaciones suelen tener una falsa sensación de preparación, porque implementan políticas y suponen que es suficiente, dice Lucie F. Huger, JD, funcionaria, abogada e integrante de la oficina de Asesoramiento de Organizaciones de Atención Médica de Greensfelder, Hemker & Gale en St. Louis. «Veo mucha adhesión normativa técnica, pero algo que observo es que las organizaciones pasan por alto de manera rutinaria el componente humano», dice Huger. «Incluso con las mejores políticas implementadas, son esos errores los que propician que igual se violen las normas de la HIPAA. Las personas sienten curiosidad y hacen clic en enlaces de emails destinados a robar identidades, lo que puede resultar muy peligroso para una organización. También lo observo cuando las personas trabajan con mucha velocidad y comparten información acerca de un paciente con la persona equivocada».

La gestión de los datos y el acceso restringido permiten abordar algunas de las fallas humanas inevitables que desencadenan violaciones a la normativa de HIPAA, dice Jorge Rey, CISA, CISM, socio de Servicios de Asesoría de Riesgos de Kaufman Rossin en Boca Raton, FL, que presta servicios de consultoría y normativa comercial. Si los empleados tienen acceso limitado o ningún acceso a la información de salud protegida (PHI), no pueden divulgarla ni siquiera por accidente, explica. «Hemos observado que muchas instituciones de atención médica están intentando limitar el acceso de todos», dice. «Están empezando a entender mejor dónde están los datos para así evitar el acceso no autorizado. Las laptops fueron un problema grande durante un par de años, porque lo datos no estaban codificados y algunos datos se perdían, pero los últimos años hemos observado que esto es cada vez menos frecuente».

Al capacitar al personal y a los médicos sobre la normativa de HIPAA, las organizaciones de atención médica deben adaptar el contenido de manera de que explique qué significa la adhesión normativa a HIPAA en el entorno laboral diario para esa organización, dice Melissa Soliz, JD, abogada de Coppersmith Brockelman de Phoenix. Los directivos deben ofrecer orientación práctica sobre cómo proteger la privacidad y seguridad de la información de salud, dice. «Los capacitadores de HIPAA suelen olvidar cubrir algunas de las medidas básicas de adhesión a la normativa de HIPAA que resultan más eficaces para proteger la privacidad y la seguridad de la información de salud», dice Soliz.
Cita los siguientes ejemplos de puntos importantes que se suelen pasar por alto:

• Recordar al personal que no lleve ningún tipo de información de salud fuera de la organización, excepto que sea necesario hacerlo y las políticas y procedimientos de la organización lo autoricen;
• Prohibir al personal que accedan a los sistemas con información de salud a través de dispositivos como teléfonos celulares o tablets, o que guarden la información de salud en dichos dispositivos que no estén normalizados de conformidad con HIPAA o que no estén aprobados para usar por la organización;
• Prohibir al personal que publique detalles o fotos de pacientes en sus redes sociales;
• Recordar al personal que los registros en papel que contienen información de salud no se pueden desechar con la basura común ni en cubos de reciclaje;
• Instruir al personal sobre cómo evitar ataques informáticos, como emails de robo de identidad;
• Informar al personal a quiénes contactar si tienen dudas relacionadas con HIPAA o si sospechan un uso o divulgación no autorizados de información de salud, además de dónde buscar las políticas y procedimientos relacionados con HIPAA de la organización.

Es importante que la organización implemente políticas de privacidad y seguridad sólidas, dice Soliz. Incluso, la organización debería implementar esas políticas y procedimientos a través de capacitaciones, auditorías y mecanismos que garanticen su cumplimiento de manera constante. Los errores más frecuentes que cometen los empleados son descuidos individuales, como dejar la historia clínica impresa de un paciente en un auto abierto, hacer clic en enlaces maliciosos en emails o divulgar sin intención la información de salud de un paciente en una publicación en redes sociales sobre su día de trabajo, dice Soliz. «Los esfuerzos de capacitación suelen centrarse en conceptos abstractos de privacidad y seguridad, sin aportar al personal suficiente contexto para que puedan entender cómo adherir a HIPAA en su entorno laboral», dice Soliz. «Ofrecer ejemplos concretos al personal sobre casos de adhesión y no adhesión a la normativa de HIPAA permite a las organizaciones evitar los errores más comunes».

Soliz cita un ejemplo reciente en el que un pequeño consultorio dental pagó a OCR $10,000 como parte de un plan de medidas correctivas como consecuencia de la respuesta del consultorio a un comentario de un paciente en redes sociales, en la que el consultorio divulgó el apellido del paciente y los detalles de su afección. (Puede leer más sobre este caso en http://bit.ly/2pPYg30). «OCR impuso una multa monetaria civil de $2.15 millones a un sistema de salud que extravió historias clínicas impresas de más de 1,400 pacientes, permitió que un periodista compartiera una fotografía de un quirófano donde se podía ver información de salud de pacientes en redes sociales y tenía un empleado que había estado ingresando de manera inapropiada a los registros de los pacientes y vendiendo su información desde 2011», dice Soliz acerca de otro caso. (Puede leer más sobre este caso en http://bit.ly/2Pii0qI).

La capacitación debe estar en línea con las políticas y procedimientos de la organización y debe ser práctica, dice Erin S. Whaley, JD, socia de Troutman Sanders de Richmond, VA. Con demasiada frecuencia, la capacitación sobre HIPAA de las organizaciones es genérica, dice. «En el mejor de los casos, las capacitaciones genéricas no están basadas en las políticas y procedimientos de la organización, y en el peor, son inconsistentes con respecto a dichas políticas y procedimientos. Adaptar las capacitaciones genéricas ayuda a garantizar la consistencia y que estén en línea con las políticas y procedimientos de la organización», dice. «Otra desventaja es capacitar sobre conceptos, en lugar de sobre la aplicación práctica de dichos conceptos. Al ofrecer ejemplos de la vida real e historias de malas experiencias, las organizaciones pueden ayudar a su personal y médicos a reconocer y evitar los comportamientos riesgosos o que no siguen las normas».

Una de las cosas que más frecuentemente se pasan por alto en los sistemas es una evaluación de riesgo completa al año, dice Whaley. Teniendo en cuenta la cantidad de soluciones en la nube, algunas organizaciones suponen que pueden apoyarse en sus proveedores para realizar estas evaluaciones. Sin embargo, estas organizaciones están obligadas a llevar adelante una evaluación minuciosa de todos sus sistemas, explica. «Estas evaluaciones pueden apoyarse en información de proveedores, pero no se deben delegar en los proveedores», dice Whaley.

En términos de personas, los errores que más prevalecen por lo general son el error humano sencillo, como perder una laptop, enviar un email a la persona equivocada o descartar la PHI en el bote equivocado, explica Whaley. «Todavía hay una cantidad sorprendente de PHI impresa en los consultorios. La PHI impresa se debe desechar de manera correcta para garantizar su destrucción», dice Whaley. «Las organizaciones deben tener un bote seguro para descartar la PHI impresa, pero deben ser solo unas pocas unidades protegidas en todo el edificio. Para lograr mayor eficiencia, las personas a veces tienen una trituradora de papel en sus escritorios, para no tener que caminar hasta el cubo seguro cada vez que deben descartar un documento, aunque esto puede no estar en línea con las políticas y procedimientos de la organización».

La persona podría vaciar el depósito de la trituradora solo ocasionalmente, cuando está lleno, explica. Si el personal de limpieza tira esta caja sin intención a la basura o cubo de reciclaje, en lugar del bote seguro, podría considerarse una violación de la norma. Investigar y reportar este tipo de incidente es difícil y se puede evitar completamente, añade Whaley. Al capacitar sobre HIPAA, es importante garantizar que el personal note la convicción de los directivos en relación con la adhesión normativa, dice Brad Rostolsky, JD, asociado de Reed Smith en Filadelfia. La capacitación no debe considerarse «algo que uno tiene que hacer», dice. «Más allá de eso, es importante hacer más que capacitar sobre los aspectos básicos de HIPAA», recomienda. «La capacitación debe dedicar algo de tiempo a analizar las políticas y procedimientos reales de la organización».

Desde el punto de vista de un sistema, una de las dificultades más frecuentes es la logística, dice Rostolsky. Cuanto más grande la entidad, más difícil es comunicar la información en toda su extensión de manera oportuna y eficiente, dice. «Es importante garantizar que haya un proceso para que el personal comprenda qué integrantes de la oficina de privacidad deben conocer qué información y en qué momento», dice. «Un ejemplo básico de esto sería designar de manera prospectiva a una persona en particular para que reciba citaciones, o incluso solo solicitudes de PHI, para que dichas solicitudes se procesen de manera adecuada».

Por otro lado, las personas suelen violar las normas de HIPAA simplemente porque no tienen clara conciencia de que la acción o inacción de una persona a la hora de acogerse a lo que podría parecer una norma molesta, puede afectar de manera sustancial a una gran empresa, dice Rostolsky.

«En este sentido, parte de la capacitación debería incluir ejemplos en los que hubo medidas correctivas muy costosas porque una persona no se acogió a las normas», sugiere.

La capacitación también se debe ofrecer en diferentes formatos, dice Michele P. Madison, JD, socia de Morris Manning & Martin, de Atlanta. Por ejemplo, se debería ofrecer capacitación durante la orientación, recordatorios sobre los resguardos de HIPAA durante las reuniones de personal y capacitación acerca de los ataques maliciosos de ransomware. Las organizaciones de atención médica también pueden llevar adelante ejercicios de robo de identidad para evaluar la respuesta de sus empleados, y compartir los resultados con una frecuencia anual durante las revisiones de desempeño anuales con el personal, sugiere Madison.

«Un error común es ofrecer un foro de capacitación inicial durante la orientación y exigir el repaso anual de un programa de capacitación en línea que no aborda de manera correcta las funciones o roles específicos de cada persona», dice. «Es posible que la falta de capacitación específica y continua no prepare de manera adecuada a un empleado para su trabajo y esto puede desencadenar un error que ocasione una violación».

Otro error común es no ofrecer capacitación continua de concientización sobre la seguridad, dice. Dicha capacitación es una exigencia de HIPAA, destaca Madison, y la tecnología cambia de manera constante. Por consiguiente, es importante repasar los resguardos de seguridad de la organización de manera regular. Se debe capacitar al personal sobre las nuevas protecciones de seguridad y sus actualizaciones, así como acerca de las vulnerabilidades y riesgos asociados al acceso, almacenamiento y transmisión en formato electrónico de PHI, dice. «Las multas y penalidades de [OCR] se han centrado en las organizaciones que no implementaron un análisis integral de su riesgo de seguridad. No evaluar en su totalidad los dispositivos móviles y los diferentes puntos de acceso a la infraestructura de tecnología de la información de una organización es un riesgo importante para la organización», explica Madison. «Además, cuando la infraestructura tecnológica cambia, incluso para poder resolver un problema, se debe realizar una evaluación de riesgo para identificar si es necesario implementar un resguardo como parte del cambio al sistema».

Las redes sociales siguen suponiendo un riesgo importante de violación a las normas de HIPAA, dice Susan Tellem, RN, BSN, APR, socia de Tellem Grody Public Relations de Los Ángeles, que asiste a proveedores en sus respuestas a violaciones de HIPAA. Instagram y Facebook son medios que facilitan que las personas violen las normas de HIPAA, dice Tellem. Pero más allá de esos canales, existen muchas formas en las que un empleado de una empresa de atención médica puede divulgar sin intención PHI sin siquiera darse cuenta, añade.

«Está permitido enviar por fax alguna PHI, pero un fax puede caer fácilmente en las manos equivocadas», dice. «¿Qué pasa si un profesional de atención médica se toma un descanso y decide compartir una foto de lo que está comiendo, con el historial médico de un paciente de fondo? Compartir fotos entre médicos y pacientes es cada vez más frecuentes, y puede suceder por accidente».