Mientras que la HIPAA recibe toda la atención en el industria de la salud, es importante comprender qué es lo que HITECH exige específicamente, especialmente considerando que HITECH requiere que no solo proteja la Información de salud protegida (PHI), sino que la digitalice y la comparta electrónicamente con pacientes y médicos también. Las empresas también necesitan comprender la forma en que HITECH cambia y amplifica los requisitos de HIPAA, y proponer soluciones de cumplimiento de correo electrónico y cifrado de archivos que puedan abordar ambos conjuntos de requisitos.

Conceptos básicos de cumplimiento de HITECH

HITECH , o la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica, es una ley de 2009 creada para alentar a las organizaciones a «promover la adopción y el uso significativo» de los registros médicos electrónicos (EHR). HITECH impone incentivos para digitalizar los registros médicos y usarlos para mejorar la calidad de la atención médica, así como las sanciones por no hacer un uso suficiente de EHR.

La Ley HITECH también endureció las sanciones y alteró la aplicación de las infracciones de la HIPAA, creando cuatro niveles de infracciones con penas crecientes, hasta un multa máxima de $ 1.5 millones. Debido a HITECH, las entidades están sujetas a sanciones incluso si no sabían que ocurrió una violación, aunque esas violaciones están en la categoría más baja. HITECH también permite organizar iones para escapar de las sanciones si las violaciones no se deben a negligencia, y se corrigen en un plazo de 30 días.

Objetivos de cumplimiento de HITECH

El objetivo final de HITECH es promover el uso de sistemas seguros e interoperables EHR en los EE. UU. Para hacer eso, tiene tres fases de uso significativo, que requieren una mayor implementación de EHR, junto con salvaguardas de calidad y seguridad.

Las reglas de la etapa 1 varían algo según el profesional u organización; Los profesionales de la salud cubiertos deben cumplir con 15 objetivos básicos, 5 de cada 10 objetivos de «menú» y 6 medidas de calidad clínica (CQM). Los hospitales tienen 15 CQM principales, 5 menús y 15 CQM. Los proveedores no podrán cumplir con estándares inaplicables, por ejemplo, quiroprácticos no tienen que usar recetas electrónicas, ya que no escriben recetas.

Los objetivos principales incluyen medidas para aumentar la calidad médica, como verificar las interacciones de los medicamentos y registrar y registrar los signos vitales, así como objetivos de uso significativo, como implementar y asegurar EHR.

HITECH Stage 2 requiere que los proveedores comiencen a usar EHR de formas sofisticadas. Para el cumplimiento de HITECH, los proveedores deben usar EHR o recursos informáticos para:

• Respaldar al menos cinco decisiones clínicas
• Registrar más del 60% de las recetas y el 30% de las órdenes de laboratorio y radiológicas
• Transmitir más del 50% de las recetas
• Transmitir registros de atención cuando los pacientes son transferidos
• Proporcionar educación específica para el paciente n a más del 10% de los pacientes
• Recopile y verifique una lista precisa de medicamentos cuando los pacientes sean transferidos
• Brinde a los pacientes acceso en línea a sus registros médicos
• Proporcione a los pacientes una forma de comunicarse de forma segura en línea y
• Hacer un seguimiento de las vacunas y otros datos de salud pública.

La seguridad electrónica es el primer objetivo para el cumplimiento de la fase 2 de HITECH. El cifrado, el análisis de riesgos de seguridad y las actualizaciones de seguridad tienen un mandato específico para «proteger la información de salud del paciente».

La fase 3 de HITECH aún se está resolviendo y el programa en su conjunto continúa evolucionando. Sin embargo, el cambio es la necesidad de usar EHR para mejorar la atención médica y una buena seguridad para proteger los registros de los pacientes.

Cumplimiento de HITECH y HIPAA

HITECH requiere que los proveedores pasen por la certificación HIPAA bajo la estándares de la Regla Ómnibus. Como se mencionó anteriormente, las reglas de cumplimiento de HITECH han fortalecido las sanciones por violación de HIPAA, y es probable que la etapa 3 fortalezca aún más los requisitos de seguridad y evaluación de riesgos ya impuestos por HIPAA.

HITECH también ha fortalecido la HIPAA regla de notificación de incumplimiento. Los requisitos de cumplimiento de HIPAA anteriores solo requerían notificación cuando la entidad cubierta vio un riesgo de daño a la parte cuya Información de salud protegida (PHI) había sido violada. Ahora, cualquier PHI no segura requiere una notificación a afectó a las partes, al HHS y, en algunos casos, a los medios de comunicación.

HITECH también amplió los requisitos de cumplimiento de HIPAA para cubrir a cualquier socio comercial que use, almacene o procese PHI. Eso significa que las empresas de facturación, los consultores y los técnicos de TI que trabajan en las computadoras que almacenan EHR están comprometidos por mantener los mismos estándares de seguridad y privacidad.

Agregue las reglas de cumplimiento de PCI que enfrentan las organizaciones de atención médica y se vuelve imposible para manejar la seguridad de forma fragmentada: hay demasiadas cosas que tener en cuenta y demasiadas áreas superpuestas. Las organizaciones deben adoptar una estrategia de seguridad general que aborde todos sus requisitos de cumplimiento en conjunto.

Asegurar un uso significativo

Cada etapa de requisitos de uso significativo presenta nuevos retos y riesgos tecnológicos. Sin embargo, los proveedores de atención médica deben asegurarse de que su seguridad satisfaga sus necesidades tecnológicas, no solo sus requisitos de cumplimiento de HITECH. Para la mayoría de las organizaciones, eso significa ir más allá de lo que requiere HITECH.

Aunque el cumplimiento de la etapa 1 de HITECH no exige específicamente el cifrado, como organización que cumple con HIPAA, ya debería utilizarlo para toda la PHI electrónica (ePHI ), incluyendo HCE y comunicaciones con el paciente. El cifrado codifica archivos con una clave digital larga, haciéndolos ilegibles para cualquier persona que no tenga acceso a ella.

El uso de cifrado de archivos y correo electrónico también lo protege de los requisitos de notificación de incumplimiento, ya que los archivos correctamente cifrados cuentan como seguros ; Si una empresa infringe la ePHI pero no las claves necesarias para leerla, generalmente no se considerará una infracción, ya que los archivos no se pueden leer. Instalar programas como el correo electrónico seguro Virtru Pro y el cifrado Virtru Pro Google Apps (ahora conocido como G Suite) y dedicar unos minutos a enseñar al personal a usarlos podría salvarlo de la mala prensa y las fuertes multas de una infracción.

La Etapa 1 también requiere que las organizaciones revisen su seguridad y corrijan cualquier deficiencia, como se define en 41 CFR.308. No es suficiente escribir algunas políticas nuevas; Las organizaciones también necesitan corregir a los trabajadores que comprometen la seguridad y rastrear el acceso a HCE y otros datos de atención médica. Su sistema debe registrar cada vez que alguien accede a la PHI u otros datos protegidos, realizar un seguimiento de los cambios y almacenar copias de seguridad, y debe tener personal de seguridad dedicado para monitorear las violaciones de seguridad.

A medida que su organización se vuelve más dependiente de EHR Para mejorar los resultados de salud en la Etapa 2, necesitará herramientas para compartir datos de manera segura y conveniente y comunicarse con los pacientes y otros proveedores de atención médica. Muchos proveedores optan por usar portales de atención médica para comunicarse con los pacientes y compartir la HCE. Son bastante seguros, pero lejos de ser convenientes. Requieren nuevos nombres de usuario y contraseñas, tienden a tener interfaces torpes y no pueden comunicarse entre sí.

Si un paciente necesita ir a otro hospital o proveedor que usa un portal diferente, es posible que no tenga forma establecida de intercambiar registros, y el paciente tendrá que aprender varios sistemas. Este tipo de inconveniente es lo que hace que la gente se dé por vencida y simplemente envíe un archivo adjunto de correo electrónico no cifrado, rompiendo el cumplimiento de HITECH y frustrando el propósito de tener un portal en primer lugar.

El cifrado de correo electrónico Virtru Pro proporciona una mejor solución, agregando un cifrado sólido centrado en datos a su cuenta de correo electrónico estándar. Los pacientes y los proveedores de atención médica pueden enviar archivos y adjuntos encriptados con un solo clic, incluso a los destinatarios que no tienen Virtru instalado. Al agregar Virtru Pro para G Suite, también podrá encriptar archivos en la nube, lo que brinda una manera fácil de almacenar y compartir EHR de manera segura.

En cuanto a la etapa 3, es difícil saber lo que viene próximo. Las reglas de cumplimiento de HIPAA y HITECH probablemente se dirijan a un gran cambio, que puede simplificar las regulaciones y reemplazar el uso significativo con un estándar diferente. Sin embargo, lo que no va a cambiar es la necesidad de herramientas seguras para cifrar la HCE y el correo electrónico, y las mejores prácticas de seguridad para prevenir y mitigar las fugas.

Cumplimiento y seguridad continuos de HITECH

Hay muchos problemas que la tecnología por sí sola no puede resolver. Por ejemplo, el cifrado no puede evitar que sus empleados elijan contraseñas débiles, y los cierres de sesión automáticos no pueden evitar que los pacientes echen un vistazo a una estación de trabajo mientras está conectada. Las organizaciones médicas deben combinar auditorías sólidas, políticas de tecnología inteligente y monitoreo frecuente y comentarios para mantener una cultura de seguridad.

Las mejores prácticas de cumplimiento de HIPAA, en particular las salvaguardas físicas y administrativas, describen cuánto hay que hacer fuera de la seguridad de TI. Físicamente, las organizaciones necesitan controlar el acceso a cualquier área donde se almacena EHR u otra PHI; en el consultorio de un médico pequeño, eso podría ser tan simple como mantener a los pacientes fuera de algunas áreas donde se usan computadoras o se almacenan registros antiguos, pero en un hospital grande, controlar el acceso puede requerir guardias, tarjetas de seguridad y monitoreo de las instalaciones.

Las salvaguardas administrativas bajo las reglas de cumplimiento de HIPAA hacen que las organizaciones sean responsables de una buena seguridad entre sus empleados y socios. Sus reglas de seguridad deben estar detalladas, tanto internamente como en los Acuerdos de socios comerciales (BAA) que firma con los socios, y deben estar respaldadas por capacitación frecuente.

Sin embargo, el cumplimiento de HITECH no se limita a su organización y socios. También debe proteger la ePHI enviada a otro hospital o compartida con el paciente.Solo puede lograr esto con herramientas y políticas de seguridad que sean lo suficientemente fáciles de usar para cualquier paciente.

El cumplimiento de HITECH requiere herramientas que cualquiera puede usar

Dado que la Ley HITECH impulsa el uso de EHR , más pacientes y profesionales sanitarios acceden a información sanitaria confidencial en la nube. Desafortunadamente, no todas estas personas se preocupan por la seguridad, ni siquiera la entienden. Más que nunca, las organizaciones necesitan herramientas de seguridad que cualquiera pueda usar.

Virtru Pro proporciona soluciones de correo electrónico seguro y fáciles de usar y cifrado de archivos. A diferencia de los portales, no requiere un proceso complejo de instalación y aprendizaje, ni nuevos ID de inicio de sesión para recordar. Virtru Pro proporciona correo electrónico compatible con HIPAA y HITECH para proveedores de atención médica, que protege mensajes y archivos con solo presionar un botón. Dado que cualquiera puede usar el correo electrónico puede usarlo, obtendrá una mayor adopción, un menor riesgo de infracciones y un mejor cumplimiento de los estándares de cumplimiento de HITECH.