Hasta el día de hoy, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) sigue siendo una pieza legislativa de importancia crítica. Aprobado en 1996, regula y brinda garantías sobre cómo se puede usar la información de atención médica. Su enfoque particular es para la información de salud electrónica, específicamente la información de salud protegida (PHI), que es información que se puede usar para identificar a una persona, como su nombre, fecha de nacimiento, diagnósticos médicos, número de seguro social y domicilio.
A medida que nuestro mundo digital ha seguido evolucionando, han surgido nuevos problemas que representan nuevos desafíos para mantener el cumplimiento de HIPAA. Por ejemplo, allá por 1996, el teléfono inteligente (se abre en una pestaña nueva) aún no se había inventado y mucho menos se había generalizado, y las aplicaciones eran un curso más pequeño antes del plato principal, no aplicaciones de software para descargar en su teléfono. Sea como fuere, las reglamentaciones de HIPAA aún se aplican para salvaguardar la privacidad y seguridad de la PHI almacenada electrónicamente.
Los proveedores de atención médica a menudo son trabajadores móviles, que se desplazan entre la oficina y el hospital para visitar a sus pacientes todos los días y reciben llamadas de pacientes las 24 horas del día, los 7 días de la semana. Las aplicaciones móviles ayudan a que esto sea posible, de modo que estos proveedores puedan acceder fácilmente a la información, especialmente sobre pacientes con los que están menos familiarizados, como una nueva consulta o cobertura cruzada del paciente de un asociado mientras está de guardia. Prácticamente todos los registros médicos electrónicos (se abre en una pestaña nueva) ofrece una aplicación de teléfono inteligente para permanecer conectado, y el correo electrónico a través de una aplicación también se usa comúnmente en el cuidado de la salud. Además, dado que los mensajes de texto no cumplen con HIPAA, muchas organizaciones de atención médica han recurrido a aplicaciones de mensajería instantánea que cumplen con HIPAA. (se abre en una pestaña nueva) para que los proveedores se comuniquen.
Para los desarrolladores de aplicaciones en el espacio de la atención médica, estas son las características que debe ofrecer una aplicación para teléfonos inteligentes que cumpla con HIPAA.
Mantenlo básico
HIPAA valora seriamente la PHI, y cuanto más tenga la aplicación compatible, más problemas generará de inmediato. Un principio importante es tomar solo los datos que se necesitan para ejecutar y no acumular más. Esto es diferente a muchas otras aplicaciones de propósito más general, que tienden a tomar todos los datos con la intención de venderlos más tarde para obtener ganancias.
Por lo tanto, a modo de ejemplo, si no hubiera ninguna razón para que la aplicación almacene datos de geolocalización, en lugar de tener que tener un proceso para asegurar y mantener esos datos privados, es mejor simplemente no tenerlos en primer lugar. Es de destacar que HIPAA indica que cualquier dato de geolocalización más pequeño que un estado puede identificarse para un paciente.
Privacidad… por escrito
Gran parte de la HIPAA se relaciona con la llamada “Regla de privacidad”, que codifica que la PHI está protegida en todo momento. Esta es la garantía de que la información de salud se mantiene en un nivel de seguridad y no está disponible abiertamente. Para cumplir, debe haber una política de privacidad escrita, que pueda auditarse y suministrarse a pedido para brindar este nivel de confianza de que toda la PHI recopilada estará protegida en todo momento.
En la política, debe haber una declaración de que la PHI no se enviará sin el consentimiento del paciente. Por lo general, se trata de un formulario escrito que el paciente o su representante firman como una ‘Divulgación de información’ que permite compartirla con alguien con un propósito para esta información, como otro médico tratante. También en esta política, debe haber otra declaración que describa el proceso si (con suerte nunca) ocurre una violación de datos, y que se notificará a los pacientes en caso de que ocurra una violación de sus datos.
Ultra secreto
HIPAA no proporciona detalles sobre cómo deben cifrarse exactamente los datos en términos del nivel de cifrado. (se abre en una pestaña nueva) como si se puede usar 256 bits o inferior, o qué protocolo se prefiere. Aún así, independientemente del protocolo elegido, se debe usar el cifrado para que se admita la privacidad y la seguridad de la PHI.
Una razón válida por la que SMS no cumple con HIPAA es que no está encriptado en absoluto, con la información a la vista, por lo tanto, es bastante inseguro e inadecuado para transmitir cualquier PHI. Más bien, las organizaciones de atención médica han recurrido cada vez más a plataformas de comunicación encriptada que están diseñadas como un sustituto de los mensajes de texto.
Encerrarlo
Dado que las aplicaciones móviles están, por definición, diseñadas para dispositivos móviles, existe la preocupación inmediata de que un dispositivo pueda perderse, ser robado o simplemente extraviarse. Cualquiera que sea la causa, la realidad es que el dispositivo, con sus aplicaciones móviles, simplemente puede caer en las manos equivocadas, y con tal evento, surge la posibilidad de una violación de datos.
Los dispositivos deben estar asegurados con seguridad física para brindar protección al dispositivo. Esto incluye una contraseña compleja y también métodos de seguridad biométricos, como un sensor de huellas dactilares o reconocimiento facial. Dicha autenticación debe aplicarse, con un proceso coherente y seguro cada vez que se accede a la aplicación para verificar la identidad del usuario. También debe haber un cierre de sesión automático para evitar que se acceda de forma permanente a una aplicación.
Considere la nube
Un hecho importante es que estas aplicaciones compatibles con HIPAA no viven localmente en el dispositivo, sino que necesitan estar conectadas en el back-end a través de la nube. Esto permite a los usuarios acceder a los datos del servidor remoto y permite que la aplicación haga el trabajo.
La implicación de esto es que no solo la aplicación debe tener cumplimiento, sino que el proveedor de la nube en el backend también debe tener este cumplimiento. Esto significa que cuando los datos se transfieren desde el dispositivo al backend, o viceversa, deben cifrarse con un protocolo seguro, como Transport Layer Security 1.2, para satisfacer este requisito de cifrado de extremo a extremo. El uso de un proveedor de nube importante, como Google o Amazon Web Services, facilita el cumplimiento de estos requisitos.
También hemos presentado el mejor software de registros médicos electrónicos (se abre en una pestaña nueva) .
TechRadar Pro creó este contenido como parte de una asociación paga con iPlum. El contenido de este artículo es totalmente independiente y refleja únicamente la opinión editorial de TechRadar Pro.
