Contenido

¿Qué es la información sanitaria protegida (PHI)?

Contenido

La información sanitaria protegida (PHI) es cualquier información que deba asegurarse para salvaguardar la privacidad sanitaria de un paciente. La normativa exige que las entidades cubiertas -personas u organizaciones que prestan asistencia sanitaria- protejan la información relacionada con la salud física o mental pasada, presente o futura de un paciente. El plan sanitario de un paciente debe garantizar una protección fiable y coherente de la PHI de ese paciente.

Tal y como se define en la Ley de Portabilidad y Contabilidad de los Seguros Médicos (HIPAA) y su Regla de Privacidad, la PHI es "información identificable individualmente transmitida por medios electrónicos, mantenida en medios electrónicos o transmitida en cualquier otra forma de soporte".

Las formas de información cubiertas por las disposiciones de la IPS se han ido ampliando constantemente en los últimos 20 años. La escala y el alcance de la PHI seguirán aumentando a medida que avance la tecnología para capturar, almacenar y compartir la PHI, y a medida que evolucione el entorno normativo de cumplimiento de la confidencialidad del paciente.

 

¿Por qué es importante la información sanitaria protegida (PHI)?

La información sanitaria protegida es importante porque los proveedores sanitarios deben proteger la confidencialidad de los datos sanitarios de un paciente. Dado que gran parte de la PHI es muy personal, los proveedores hacen todo lo posible para garantizar que la información esté segura en todo momento.

Existe una confianza profunda e implícita entre los profesionales sanitarios, las organizaciones para el mantenimiento de la salud (HMO) y sus pacientes, que tienen derecho a suponer que las organizaciones sanitarias protegerán adecuadamente su PHI.

Esta protección debe tener lugar a lo largo de toda la experiencia del paciente y en cualquier lugar en el que se preste la atención, como la consulta de un médico, un hospital, una clínica a distancia o una visita de telemedicina.

HIPAA y PHI

Existen numerosas directrices de cumplimiento normativo que conllevan sanciones en caso de violación de la PHI. El mayor marco normativo que cubre la PHI es la HIPAA. Según el Departamento de Salud y Servicios Humanos de EE.UU. (HHS), la Regla de Privacidad de la HIPAA "proporciona protecciones federales para la información sanitaria personal en poder de las entidades cubiertas y otorga a los pacientes una serie de derechos con respecto a dicha información".

La Regla de Privacidad también garantiza un equilibrio de derechos y privilegios para asegurar que la PHI se divulga adecuadamente para proporcionar atención al paciente y los requisitos relacionados.

 

Ejemplos de información sanitaria protegida

1. Información personal identificable (IPI)

La información personal identificable (IPI) abarca cualquier dato que vincule a un paciente con identificadores personales, como sus datos demográficos, su carné de conducir y los datos de su seguro médico.

2. Información sanitaria personal (PHI)

La IPS es un subconjunto de la IIP que se refiere a la información compartida específicamente con las entidades de la HIPAA. Esto puede incluir la correspondencia entre un paciente y su proveedor, los registros de facturación, las exploraciones digitales de los equipos de diagnóstico y los resultados de las pruebas.

Ejemplos de identificadores PHI

El HHS enumera 18 identificadores específicos de PHI:

  1. Nombres de los pacientes
  2. Elementos geográficos (direcciones, municipios, código postal)
  3. Fechas relacionadas con la salud o la identidad de las personas (fecha de nacimiento, fecha de ingreso, fecha de alta, fecha de defunción)
  4. Números de teléfono
  5. Números de fax
  6. Direcciones de correo electrónico
  7. Números de la Seguridad Social
  8. Números de historia clínica
  9. Números de beneficiarios del seguro de enfermedad
  10. Números de cuenta
  11. Números de certificado/licencia
  12. Identificadores de vehículos
  13. Atributos del dispositivo o números de serie
  14. Identificadores digitales, como las URL de los sitios web
  15. Direcciones IP
  16. Elementos biométricos, incluidas huellas dactilares, retinales y de voz
  17. Imágenes fotográficas de todo el rostro
  18. Otros números o códigos de identificación

 

¿Qué es la ePHI?

La PHI electrónica (ePHI) es simplemente PHI en formatos electrónicos/digitales. Puede tratarse del PDF de un informe médico o de una base de datos en línea con el historial médico de un paciente. La ePHI se menciona específicamente en la Regla de seguridad de laHIPAA. Dentro de la norma, hay una subsección dedicada a los datos sanitarios electrónicos.

Hoy en día se crea, almacena y comparte más información sobre los pacientes en formatos electrónicos que nunca. Los proveedores sanitarios deben prestar mucha atención a la seguridad de esos registros digitales de extremo a extremo en el ecosistema sanitario.

La Regla de Seguridad de la HIPAA detalla los requisitos para proteger la confidencialidad, integridad y disponibilidad (conocida como la tríada CIA) de toda la ePHI. Esto incluye la identificación y protección contra las amenazas previstas a la seguridad y protección de la información sanitaria digital. También permite a las entidades cubiertas implantar sistemas, procedimientos y políticas diseñados para garantizar el cumplimiento de las directrices de la HIPAA establecidas en la Norma de Seguridad.

 

Asegurar la información sanitaria protegida

La Regla de Seguridad de la HIPAA obliga a las entidades cubiertas a tomar medidas específicas para demostrar su cumplimiento, garantizando así la confianza entre pacientes y proveedores a la hora de proteger la PHI y la ePHI. Esos pasos se dividen en tres categorías:

  • Salvaguardias administrativas
  • Salvaguardias físicas
  • Salvaguardias técnicas

1. Garantías administrativas

Las salvaguardas administrativas tienen por objeto señalar y determinar los riesgos potenciales para la PHI, y poner en marcha medidas que reduzcan los riesgos y vulnerabilidades de seguridad. También exigen que un responsable de seguridad desarrolle e implemente las normas y procedimientos de seguridad de la entidad cubierta.

Los proveedores también están obligados a evaluar periódicamente en qué medida sus políticas de seguridad cumplen los requisitos de la norma de seguridad de la HIPAA.

2. Salvaguardias físicas

Las salvaguardias físicas abarcan cuestiones como la limitación del acceso físico no autorizado a las instalaciones, permitiendo al mismo tiempo el acceso autorizado. Las entidades cubiertas también están obligadas a implementar políticas y procedimientos que cubran el manejo adecuado de los datos almacenados electrónicamente y los soportes electrónicos que contengan PII y PHI.

3. Salvaguardias técnicas

Las salvaguardas técnicas están diseñadas para garantizar que sólo las personas debidamente autorizadas puedan acceder a los registros digitales y a otra información electrónica. Esto abarca no sólo el hardware, el software y los servicios necesarios para capturar, almacenar y gestionar los historiales médicos y sanitarios, sino también las credenciales de seguridad y los procedimientos de autenticación que rigen el acceso.

También incluyen el cifrado y otras tecnologías diseñadas para proteger contra el acceso indebido a la PHI y la ePHI a través de una red digital.

 

¿Qué es una violación de la PHI?

En los últimos años, el sector sanitario ha sido testigo de un aumento de los ciberataques dirigidos contra la información personal de los pacientes. Los actores maliciosos utilizan tácticas como el ransomware y la extorsión para conseguir pagos exorbitantes de los proveedores; algunos incluso venden los historiales de los pacientes al mejor postor.

Las organizaciones sanitarias pagan una media de 1,41 millones de dólares por rescate, según el Informe de Respuesta a Incidentes 2022de Unit 42. Y una violación de datos puede costar hasta 10,10 millones de dólares, según el informe de IBM Cost of a data breach 2022 .

¿Qué se considera una violación de la PHI?

El HHS define en términos generales una violación de la PHI como "un uso o divulgación no permitidos por la Regla de Privacidad que compromete la seguridad o la privacidad de la información sanitaria protegida." En un entorno real, esto puede incluir una amplia gama de acciones que resulten en la exposición de la PHI.

Por ejemplo, los piratas informáticos que cometen fraudes a Medicare u otras estafas a las aseguradoras suelen dar rienda suelta a una serie de técnicas diseñadas para obtener la PHI. El ransomware, el robo de identidad, la ingeniería social, el robo de credenciales, el phishing y el malware se utilizan para poner en peligro los dispositivos personales no cifrados o insuficientemente protegidos.

Según la HIPAA, existen cuatro elementos clave en una violación de la PHI:

  1. La naturaleza y el alcance de la PHI implicada, incluidos los tipos de identificadores y la probabilidad de reidentificación.
  2. La persona no autorizada que utilizó la información sanitaria protegida o a la que se divulgó.
  3. Si la información sanitaria protegida fue realmente adquirida o visualizada.
  4. La medida en que se ha mitigado el riesgo para la información sanitaria protegida.

En la mayoría de los casos, las violaciones de la PHI resultantes de acciones no intencionadas, y no malintencionadas, no se consideran violaciones de la HIPAA. Se recomienda encarecidamente a las entidades cubiertas que consulten con sus abogados y equipos de cumplimiento para asegurarse de si una divulgación de la PHI constituye una violación de la HIPAA o de otras directrices de privacidad.

 

Paisaje en evolución: Tecnologías emergentes y seguridad de la PHI

El sector sanitario está experimentando una drástica transformación en muchos frentes, incluyendo cómo, cuándo, dónde y por qué tiene lugar el aprovisionamiento sanitario. Tendencias como el auge de la teleasistencia, el aumento del número de dispositivos médicos inteligentes (internet de las cosas médicas) y un entorno informático cada vez más complejo e interconectado se han combinado para crear un panorama que cambia rápidamente.

Para mantener la seguridad de la información sanitaria protegida, las organizaciones sanitarias y sus socios o asociados comerciales necesitan un socio experimentado en ciberseguridad que diseñe, construya, confíe y supervise las operaciones de ciberseguridad en toda la empresa.

A la hora de evaluar posibles socios de ciberseguridad, los responsables de la seguridad de la información y sus colegas deben exigir varias capacidades clave:

  • Experiencia en Cero Confianza, que previene las infracciones eliminando la confianza implícita.
  • Experiencia en una gama completa de herramientas de ciberseguridad, desde la seguridad de red hasta los SOC de nueva generación.
  • Conocimiento de los procedimientos y marcos de seguridad en la nube , especialmente para entornos de nube híbrida y multicloud.
  • Acceso a los últimos y más completos servicios de inteligencia de amenazas.

Descubra cómo Palo Alto Networks es el líder en ciberseguridad elegido por hospitales y sistemas sanitarios de todo el mundo. Visite www.paloaltonetworks.com/healthcare.

 

Preguntas frecuentes sobre la información sanitaria protegida (PHI)

Los ciberataques a organizaciones sanitarias se presentan de múltiples formas: ataques de phishing, pérdida de datos, ingeniería social, robo físico, etc. En las manos equivocadas, estos ataques pueden causar estragos en la calidad asistencial de un hospital y costar millones en rescates y sanciones.

Las violaciones de la PHI pueden producirse desde múltiples endpoints, incluidos los dispositivos de IoT no seguros y los ataques de phishing basados en el correo electrónico. Y esas amenazas evolucionan rápidamente, especialmente con los ataques emergentes que utilizan el aprendizaje automático y la inteligencia artificial.

Una solución de ciberseguridad sólida protege los datos de los pacientes en todos los frentes: seguridad de red, seguridad en la nube y seguridad endpoint. Las organizaciones deben contar con un cortafuegos de nueva generación que proteja de intrusiones no deseadas y de la pérdida de datos, al tiempo que tenga la capacidad de automatizar la respuesta a incidentes en caso de ataque. Y para las organizaciones con crecientes cargas de trabajo en la nube, herramientas como la gestión de identidades y el control de acceso mantienen seguros a los trabajadores y sus dispositivos mientras se conectan a su red interna.

Los equipos de TI y SOC de los hospitales y otros sistemas sanitarios se ven a menudo desbordados por la enorme cantidad de alertas que tienen que procesar manualmente. La automatización de la seguridad trabaja junto a los analistas para prevenir, detectar y responder automáticamente a las amenazas con una intervención humana mínima, lo que permite a los analistas disponer de más tiempo para centrarse en otras tareas.
Contenido relacionado
¿Qué es la ciberseguridad sanitaria?
El panorama de las amenazas está cambiando, y la atención sanitaria es especialmente vulnerable. Aquí tiene todo lo que necesita saber sobre la ciberseguridad en la sanidad.
Ciberseguridad sanitaria: 3 tendencias a seguir en 2024
Desde la atención a distancia a los dispositivos conectados, estas tendencias de ciberseguridad están dando forma a la transformación digital en la atención sanitaria.
3 prioridades para la ciberseguridad sanitaria en 2024
Los CISO del sector sanitario tienen la oportunidad de transformar su ciberseguridad y hacer posible la ciberresiliencia en 2024. He aquí cómo hacerlo.
Transformación digital segura en la sanidad
La industria sanitaria está evolucionando, y los ciberataques también. Proteja los datos de los pacientes y anticípese a las amenazas.

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas