Los desarrolladores de aplicaciones sanitarias son los guardianes responsables de establecer las salvaguardias que garantizan la protección de los datos sanitarios. La protección de la información personal de sus usuarios no es negociable en las aplicaciones de atención médica.
Con el nacimiento de las aplicaciones móviles y las tecnologías modernas abriéndose paso en nuestras vidas, los datos se han convertido en el nuevo oro. Cuando se dé cuenta de lo vital que es esta información, también debe reconocer el riesgo que corre cuando cae en las manos equivocadas. Como usuarios de estas tecnologías, queremos y necesitamos aplicaciones convenientes que brinden conectividad y resuelvan nuestros problemas diarios al tiempo que mantienen nuestra información segura.
Sin embargo, el crecimiento exponencial de las soluciones móviles que nos brindan la conectividad que tanto anhelamos también ha llevado al aumento de la ciberdelincuencia. No nos ayuda a tranquilizarnos el hecho de que todos nuestros datos estén flotando por ahí cuando sabemos que ocurre un ataque de piratas informáticos cada 39 segundos. Como resultado, este uso cada vez mayor de redes y dispositivos que recopilan nuestra información personal debe enfrentarse con una preocupación creciente para mantener toda esa información segura, especialmente en industrias de alto riesgo como la atención médica.
Sin lugar a dudas, la pandemia de COVID aceleró la vía rápida de la atención médica hacia el mundo móvil. Desafortunadamente, esta urgencia de las soluciones de atención médica móviles no ha cumplido con las medidas de seguridad para proteger los datos del paciente. Y aunque la mayoría de la gente puede preguntarse por qué un pirata informático querría el historial de salud de alguien, es importante tener en cuenta que la información médica es realmente valiosa. Un estudio de IBM destaca este hecho al afirmar que el sector de la salud tiene los costos promedio de incumplimiento más altos de cualquier industria, en $7.13 millones, un aumento del 10,5% con respecto al estudio de 2019. Este fenómeno ocurre porque los registros médicos electrónicos (EHR) y otros datos de salud personales tienen una gran cantidad de información confidencial específica que se puede usar para el robo de identidad y, a veces, incluso pueden tener información financiera.
Si bien los desarrolladores se apresuran a crear rápidamente soluciones de atención médica móviles, la mayoría de las salvaguardias se dejan de lado en nombre de la eficiencia. Después de todo, ¿no sería más fácil crear una aplicación médica y enviarla volando a los hogares de los pacientes, sin hacer preguntas? Afortunadamente, no funciona así. La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) se creó para mantener la confidencialidad de la información médica personal y, al mismo tiempo, estandarizar la facturación y otras necesidades de atención médica electrónica. Desafortunadamente, muchos desarrolladores aún no implementan correctamente los requisitos de HIPAA.
¿Qué es el cumplimiento de normas HIPAA?
Las normas HIPAA fueron implementadas por primera vez en 1996 por el Departamento de Salud y Servicios Humanos de EE. UU. HIPAA establece estándares para toda la industria que protegen los registros médicos físicos y electrónicos, la información de salud personal y la información de facturación. En términos de aplicaciones y software de atención médica, el cumplimiento de HIPAA significa que la aplicación cumple con todas las salvaguardas técnicas y físicas para proteger a sus usuarios contra el robo de datos. Las garantías técnicas se refieren a la seguridad de los datos cuando se transfieren, almacenan o comparten. Las salvaguardas físicas se refieren a medidas, políticas y procedimientos físicos para proteger los equipos y sistemas de información electrónicos de intrusiones no autorizadas.
Las cuatro medidas de seguridad de la HIPAA para garantizar la seguridad de la PHI (Información de salud protegida por sus siglas en inglés) almacenada electrónicamente que los desarrolladores de aplicaciones deben cumplir son:
- Privacidad
- Seguridad
- Aplicación
- Notificación de Datos Filtrados
Para cualquier desarrollador de aplicaciones que trate datos médicos, mantener la privacidad de la información médica de los pacientes es fundamental. Las violaciones de HIPAA pueden ser costosas y pueden variar desde $100 hasta $50,000 dólares por infracción. Por esta razón, y para la tranquilidad de sus usuarios, cumplir con el cumplimiento de HIPAA es fundamental para el éxito de las prácticas de desarrollo de aplicaciones de atención médica.
Nuestra experiencia de más de diez años desarrollando soluciones de atención médica nos ha hecho muy conscientes de lo que implica el cumplimiento de HIPAA. Echemos un vistazo a algunas de las infracciones de cumplimiento de HIPAA y cómo evitarlas.
No tener los controles de autenticación y acceso adecuados
Controlar el acceso a la aplicación parece una medida obvia, pero la cantidad de datos que se roban anualmente debido a la falta de control de acceso es asombrosa. Un estudio encontró que el 58% de las violaciones de seguridad a la salud móvil en 2019 fue el resultado de incidentes de piratería, que afectaron a 36,9 millones de registros de pacientes. Por lo tanto, no restringir o controlar el acceso a su aplicación y la información que contiene tiene consecuencias catastróficas, no solo para su empresa sino también para sus usuarios. Retrasarse en la primera capa de seguridad de su aplicación pondrá en peligro el cumplimiento de HIPAA, pondrá en peligro la protección de la PHI y dañará la reputación de su empresa, lo que puede ser costoso y perjudicial para usted y sus empleados.
Los estándares de HIPAA exigen que cualquier sistema que almacene PHI debe limitar quién puede acceder, usar y modificar los datos médicos confidenciales. Las medidas de autenticación y autorización de alto nivel no son opcionales y son la primera y más fundamental barrera para proteger su aplicación de los piratas informáticos. En cuanto a la autenticación, hacer cumplir contraseñas complejas, credenciales, tokens u otras formas personales de identificar a los usuarios es una manera fácil de establecer algunos bloqueos.
Aún asi, el 81% de las violaciones de seguridad se deben a contraseñas comprometidas, débiles o reutilizadas, por lo que siempre debe hacer cumplir la autenticación de dos o varios factores. Dichos sistemas combinan una contraseña compleja con un segundo o tercer método de verificación que puede ser biométrico, una OTP, un correo electrónico o una llamada, por nombrar algunos. Estos métodos se pueden codificar y programar de forma independiente en su aplicación. Puedes usar (IAM) herramientas de manejo de identidad cómo Okta y Azure Ad, que a menudo utilizamos y proporcionan servicios de autenticación y autorización al mismo tiempo que cumplimos con la HIPAA.
Además, estas herramientas de manejo de identidad también ayudan en la autorización al administrar el acceso para garantizar que los usuarios correctos accedan a los datos correctos por las razones correctas. Además, ayudaría a establecer roles dentro de su aplicación para otorgar acceso basado en esos roles. Dependiendo del nivel de acceso del usuario, se le permitirá, o no, acceder y modificar información específica. Esta medida es fundamental para las aplicaciones de atención médica porque establece límites de accesibilidad según la necesidad de conocerlos. Los datos confidenciales del paciente solo son accesibles para los médicos, por ejemplo, en lugar de las enfermeras o la familia del paciente en escenarios de dispositivos compartidos.
Nuevamente, puede programar e implementar estos métodos internamente, o puede usar las mismas herramientas de manejo de identidad que se enumeran anteriormente. El beneficio de emplear dichas herramientas es que ya cumplen con la HIPAA, son fáciles de usar y pueden ahorrarle tiempo y dinero a su empresa.
Fallas en la utilización de cifrado de datos
Las aplicaciones de salud deben asegurarse de que toda la información almacenada y compartida dentro de la aplicación esté encriptada. Los métodos criptográficos son primordiales para el cumplimiento de HIPAA, y no implementarlos puede conducir a una fácil interceptación, filtración y robo de datos. Además, debido a que la información confidencial de las aplicaciones de atención médica a menudo se transmite a través de wifi o redes inseguras, el cifrado es su mejor opción para que los piratas informáticos se mantengan alejados.
Estas medidas también se aplican a los datos almacenados, que también son vulnerables a los ataques y deben cifrarse incluso cuando no se transmiten de un lado a otro. Por lo tanto, el cifrado evita que los intrusos lean la información, e incluso si logran robarla, será ilegible y, en última instancia, inútil. Además, los estándares de HIPAA dictan que cuando la PHI abandona el servidor interno, su transmisión cae automáticamente en el área de alto riesgo; por tanto, está abierto a la interceptación. Como resultado, no usar medidas criptográficas no solo pone en peligro su cumplimiento de HIPAA, sino que deja los datos de sus usuarios abiertos al robo.
De acuerdo a nuestra experiencia, recomendamos utilizar métodos de cifrado como JSON Web Tokens (JWT) – que también funciona como método de autenticación y autorización–PKI o certificados SSL, para nombrar unos pocos. Los JWT, por ejemplo, funcionan de maravilla para la transmisión segura de información porque los programadores pueden firmarlos digitalmente para verificar la identidad del remitente. Además, la firma digital también confirma que el contenido no ha sido manipulado en tránsito, lo que garantiza la integridad de los datos.
Por otro lado, los certificados SSL también pueden ayudar con el cumplimiento de HIPAA porque brindan a su aplicación HTTPS, que establece la autenticidad del sitio y permite el cifrado de extremo a extremo de todas las comunicaciones entre la aplicación y el servidor. Debe comprar certificados SSL porque brindan seguridad a los datos independientemente del dispositivo del usuario para acceder a la aplicación.
Independientemente del método de cifrado que elija, es fundamental implementar elementos criptográficos en sus aplicaciones. Sin lugar a dudas, es una de las mejores formas de lograr el cumplimiento de HIPAA y mantener su aplicación segura en todo momento.
Exceder el plazo de 60 días para notificaciones de violaciones de seguridad
Uno de los requisitos de HIPAA más críticos, pero que a menudo se pasa por alto, establece que las entidades cubiertas por HIPAA deben notificar dentro de los 60 días posteriores a una violación de la PHI no segura. No notificar puede costarle mucho a su empresa en multas de HIPAA. Las empresas han informado que han sido multadas hasta $475.000 dólares por no informar violaciones de datos antes de la ventana de 60 días. Es más, un estudio encontró que el 52% de las empresas europeas han notificado una violación de datos, en comparación con solo el 22% de las empresas estadounidenses que hacen lo mismo.
Recuerde, incluso con todas las salvaguardas en su lugar; pueden ocurrir infracciones. Para evitar incurrir en más sanciones, si se aplican, asegúrese de notificar antes de la ventana de 60 días. Las notificaciones de incumplimiento deben realizarse directamente a las personas afectadas por su medio de contacto preferido y deben contener una breve descripción del incumplimiento. Esta descripción debe incluir los datos que los piratas informáticos robaron, los pasos para garantizar una mayor filtración de datos y las medidas de la empresa para mitigar el daño y prevenir futuras infracciones. Si más de 500 personas se ven afectadas, su empresa también debe notificar a los medios de comunicación y al gobierno.
No deshacerse de los registros correctamente
Una parte crucial para mantener la privacidad de sus usuarios, además de los métodos mencionados anteriormente, es cómo se deshace de sus registros médicos y otros datos personales. Para los registros en papel en hospitales o empresas farmacéuticas, las medidas son obvias. Sin embargo, es un poco más complicado para las aplicaciones de atención médica porque el EHR, la PHI y otros datos electrónicos no se pueden colocar en una trituradora. Cualquiera sea el motivo de la eliminación de datos, no tener cuidado y asegurarse de que la información se borre permanentemente puede costarle el cumplimiento de la HIPAA.
La regla de seguridad de HIPAA requiere que las empresas tengan políticas estrictas para deshacerse de la PHI y otros datos del usuario cuando ya no sean necesarios o el usuario solicite su eliminación. Estas políticas de eliminación deben cubrir el hardware o los medios electrónicos en los que se almacenan los datos. Algunos métodos de eliminación de datos recomendados por la HIPAA para destruir toda la información electrónica en su aplicación son:
- Borrado: uso de programas de software o hardware que sobrescriben los datos del paciente con otros datos no confidenciales.
- Purga: Exponer los medios a un fuerte campo magnético para interrumpir los dominios registrados.
- En caso de medios físicos: Desintegrar, pulverizar, fundir, incinerar o triturar.
En los EE. UU., El cumplimiento de HIPAA también se aplica a las aplicaciones que funcionan en estados donde se aplican períodos de retención para el almacenamiento de datos, por lo que es esencial familiarizarse con las leyes estatales que se aplican a su producto.
No realizar registros de auditoría
Los registros de auditoría son una parte fundamental y necesaria para cumplir con el cumplimiento de la HIPAA. Ayudan a identificar problemas de seguridad y mantienen registros de quién accede a la información y qué acciones toman dentro del sistema. También son una parte crucial de cualquier sistemas de manejo de riesgos. Si no los mantiene, se borrará la visibilidad que tiene de las acciones realizadas dentro del sistema de su aplicación y pondrá en peligro la seguridad de la información que contiene. Sin mencionar que su cumplimiento con la HIPAA se verá muy afectado si no mantiene y revisa los registros de auditoría.
Los estándares de HIPAA exigen que los registros de eventos contengan lo siguiente:
- Inicios de sesión de usuario / intentos de inicio de sesión.
- Cambios hechos a bases de datos.
- Adición de nuevos usuarios.
- Nivel de acceso de los nuevos usuarios.
- Archivos accedidos por usuarios.
- Registros de actualización de software y sistema operativo.
- Registro de firewall.
- Registros anti-malware.
Dado que el propósito principal de los registros de auditoría es mantener un registro de la actividad del sistema de su aplicación, son importantes para su esquema de seguridad general. No solo son un requisito, sino que pueden ayudarlo a monitorear e identificar marcadores que indiquen una infracción o un intento de actividad de infracción. También pueden generar alertas o notificaciones para que su personal de seguridad sepa cuando alguien está accediendo, cambiando o usando información ilegalmente. Estas alertas pueden conducir a acciones y medidas oportunas que pueden evitar que los piratas informáticos violen las murallas de su aplicación.
Errores de cumplimiento de HIPAA: la conclusión
El cumplimiento de HIPAA es un punto de partida necesario para cualquier aplicación de atención médica que se ocupe de datos médicos confidenciales. Estos estándares son una forma de proteger el mercado de la atención médica móvil contra la ola de aplicaciones no reguladas, defectuosas y dañinas que actualmente llegan a las manos de los usuarios. HIPAA puede parecer demasiado complicado para mantenerse al día, pero la implementación de sus estándares y requisitos es un camino directo para destacarse en la industria.
Si bien muchas de estas implementaciones son básicas y cualquier desarrollador de aplicaciones debe establecerlas, las más complicadas garantizarán que su aplicación de atención médica funcione sin problemas y sea un lugar seguro para sus usuarios. Especialmente ahora con la pandemia que lleva al sector de la salud a una fase en la que su transformación digital es inevitable. El cumplimiento de HIPAA puede determinar si los pacientes obtendrán todos los beneficios de su aplicación y, en última instancia, mejorarán sus vidas. Por lo tanto, cambiar a un enfoque en la adherencia al cumplimiento es la puerta de entrada al desarrollo de aplicaciones confiables, innovadoras y de alta calidad.
Con más de diez años de experiencia en el campo de la salud, entendemos los matices y beneficios del cumplimiento de HIPAA. Nunca dudamos en adherirnos a ellos e implementarlos en nuestras aplicaciones médicas y productos de software, razón por la cual somos uno de los socios de desarrollo más premiados.
Si tiene alguna pregunta sobre el cumplimiento de la HIPAA o desea iniciar su viaje hacia el ámbito de la atención médica móvil, no dude en ¡contactarnos!