INICIO DEL BLOG

  • Imagen de AssurX de proveedores de alojamiento de seguridad en la nube HIPAA

Febrero 9, 2015

La certificación HIPAA no existe: cuatro mitos sobre los proveedores de hosting

Ron Shoop, vicepresidente sénior, gerente nacional de ventas y alianzas estratégicas de Medical Web Experts

A medida que más médicos integran sus registros médicos electrónicos (HCE) con portales de pacientes de terceros, buscan aclaraciones sobre diversos temas para cumplir con los límites de las diversas regulaciones y obtener la certificación de Uso Significativo. Sin embargo, puede ser difícil distinguir entre hechos y mitos, así que aclaremos y desmentiremos cuatro mitos relacionados específicamente con... HIPAA 'certificación' entre proveedores de alojamiento.

Mito n.° 1: Mi proveedor de alojamiento actual o futuro está certificado por HIPAA.
Hecho: No existe una certificación HIPAA para ninguna organización, empresa de alojamiento o proveedor. Existen directrices, y existen certificaciones que pueden incluir algunas o todas las directrices establecidas en la HIPAA. Por lo tanto, es imposible que una empresa de alojamiento, un proveedor de portales para pacientes u otro desarrollador de TI para la salud cuente con la certificación HIPAA. (Sin embargo, una empresa de alojamiento puede reconocer qué es la HIPAA y declarar que...) adherirse a estas regulaciones en sus propias prácticas comerciales o en una oferta de producto particular (lo que actualmente se está haciendo con algunas empresas de alojamiento).

Mito n.° 2: Mi proveedor de alojamiento actual o futuro tiene certificación SSAE16.
Hecho: En el mundo del hosting, existe un estándar de auditoría llamado SSAE16 (anteriormente SAS70). Es importante entender que se trata de un estándar de auditoría, es decir, una guía para la certificación del estándar. Por lo tanto, no existe una "certificación SSAE16".

La certificación HIPAA no existe: cuatro mitos sobre los proveedores de hostingSin embargo, puede completar un proceso de certificación SSAE16 y recibir diferentes niveles de informes. Estos informes están dirigidos a organizaciones que ofrecen servicios externalizados que podrían afectar los estados financieros de una empresa que utiliza sus servicios. Las organizaciones que gestionan datos financieros de clientes reciben un informe SSAE16/SOC 1. Los proveedores de soluciones de Infraestructura como Servicio (IaaS), como la mayoría de las empresas de alojamiento, se auditan según la sección AT 101 de las normas profesionales del AICPA y emiten informes SOC 2 y SOC 3. Las directrices establecidas en SSAE16 generalmente incluyen las directrices de normas como HIPAA y PCI.

Mito n.° 3: HIPAA generalmente se centra en cómo las empresas (y especialmente los proveedores de salud) manejan la información de los pacientes.
Hecho: En la mayoría de los casos, las empresas de alojamiento no gestionan datos. Por lo tanto, generalmente se trata de una situación de bajo riesgo en comparación con la forma en que el software los transmite o cómo las entidades cubiertas (organizaciones sanitarias, aseguradoras, proveedores de registros médicos electrónicos y portales de pacientes, etc.) controlan el acceso a los datos. Existen algunas normas específicas que pueden interpretarse como las que una organización de alojamiento típica debería seguir para cumplir con los requisitos. Pautas de HIPAASin embargo, es responsabilidad de la organización de atención médica implementar las mejores prácticas para garantizar que los datos se mantengan seguros de principio a fin.

Mito n.° 4: HIPAA tiene requisitos mínimos de hardware para el servidor.
Hecho: Las directrices de HIPAA no establecen ni mencionan requisitos específicos de hardware, como el uso de firewalls o servidores "certificados", como sugieren algunos expertos del sector. Sin duda, puede recibir asesoramiento de proveedores externos, pero tenga cuidado.

A continuación se muestran algunos recursos HIPAA adicionales:

Acerca de Ron Shoop:

La pasión de Ron por los portales de pacientes nació en otoño de 2010, tras casi 20 años como ejecutivo de finanzas y contabilidad. Cuando un cliente potencial le habló del mundo de los portales de pacientes y la telemedicina, lo captó de inmediato. Ron investigó a fondo el tema: descubrió quiénes eran los actores del mercado, el grado de desarrollo de sus soluciones y comprendió los desafíos. Pronto consiguió un puesto en una empresa líder en telemedicina como vicepresidente sénior, presentando soluciones de teletriaje y monitorización remota de pacientes (RPM) a empresas autofinanciadas, divisiones estatales de Medicaid y hospitales. Ahora vive su pasión a diario en MWE, ofreciendo portales de pacientes y soluciones de telemedicina a clientes potenciales. Ron es SVP, Gerente Nacional de Ventas y Alianzas Estratégicas, Medical Web Experts.