Casos de Uso por Industria

Caso de uso de las firmas en línea en el Sector Salud: HIPAA

Casos de Uso por Industria - Sección

¿Qué es HIPAA?

La Health Insurance Portability and Accountability Act, conocida comúnmente como HIPAA por sus siglas en inglés, fue aprobada por el Congreso de los Estados Unidos en 1996.

El objeto de HIPAA es proteger la información de los pacientes de empresas o personas prestadoras de servicios de salud (Personal Health Information o PHI) en Estados Unidos, así como dar acceso a terceros a dicha información, tales como aseguradoras, familiares, empleadores, etc., solo con el consentimiento de los pacientes. Esta ley, no obstante de tener ser originaria de Estados Unidos, también es observada por las instituciones y prestadores de servicios de salud a nivel internacional.

El Departamento de Salud y Servicios Humanos de los Estados Unidos, HHS pos sus siglas en inglés, desarrolló las siguientes reglas secundarias para el cumplimiento de HIPAA:

  • HIPAA Privacy Rule: determina cómo, cuándo y a quién se le puede divulgar esta información.
  • HIPAA Security Rule: determina cuáles son las medidas físicas, administrativas y tecnológicas que tienen que implementar las organizaciones para garantizar la confidencialidad, integridad y disponibilidad de la infomación de los pacientes.
  • HIPAA Breach Notification Rule: obliga a los sujetos obligados a notificar a los pacientes cuando exista una vulneración a su información.
  • HIPAA Omnibus Rule: se creó posteriormente a HIPAA y a las reglas anteriores para integrar aspectos que no se habían considerado en los documentos anteriores y y amplió la lista de verificación de cumplimiento de HIPAA para incluir a los Business Associates o asociados de negocios.

¿Quién debe cumplir con HIPAA?

De acuerdo con esta Ley, los sujetos obligados a cumplir con ésta son las empresas o personas denominadas como Cover Entities por su término en inglésque son las siguientes:

  1. Health Plan o planes de salud, como por ejemplo, Medicare y Medicaid.
  2. Health Care Clearinghouse, es decir, procesadores de información de salud o cámaras de compensación de información de salud.
  3. Health Care Providers o proveedores de servicios de salud, tales como médicos, dentistas, hospitales, laboratorios, etc.

Como lo mencionamos, HIPAA también protege la PHI, Personal Health Information, información personal de salud que se encuentra en manos de asociados de negocios, como los prestadores de servicios de facturación y otros contratados por los sujetos obligados para prestar sus servicios o llevar a cabo funciones que requieren acceso a la información personal de salud de los pacientes.

Obligaciones de HIPAA

De acuerdo con esta Ley, los pacientes tienen los siguientes derechos respecto a su información personal de salud frente a los sujetos obligados a observar HIPAA:

  • Acceso (access): los pacientes tienen derecho al acceso a su historial clínico y obtener una copia.
  • Modificación (amendment): los pacientes tienen derecho a que se corrija información sobre su salud.
  • Tratamiento de información (sharing information): derecho a que se le notifique al paciente sobre cómo se usa y comparte la información sobre su salud.
  • Autorización (authorization)
    • Que el paciente decida si autoriza que su información se utilice o comparta para ciertos fines.
    • Que el paciente reciba un informe sobre cuándo y por qué se compartió información sobre su salud.
    • Pedir que no se divulgue su información.
  • Información Contable (accounting Disclosure): compartir información financiera de la cuenta médica del paciente.
  • Información de contacto (contact information)el paciente tiene derecho a solicitar que se le contacte en otro lugar que no sea su casa.
  • Aviso de Privacidad (notice of privacy practices): los pacientes tienen derecho a que se les presenten los términos y condiciones sobre el uso y divulgación de su información personal de salud, documento que deberá ser entregado al paciente para su consentimiento.
  • Queja (File a Complaint): los pacientes tienen derecho a levantar una queja ante el Departamento de Salud y Servicios Humanos de los Estados Unidos o ante los sujetos obligados.

El uso de firmas en línea bajo HIPPA

De las diversas obligaciones a cumplir por parte de los sujetos obligados y los asociados de negociosvarias de éstas se pueden cumplir mediante el uso de firmas en línea, por ejemplo, la firma del consentimiento por parte del paciente para el tratamiento de su información personal de salud. Adicional, el uso de firmas en línea en el sector salud ayuda a eficientar diversos procesos. 

¿Qué dice HIPAA sobre las firmas en líneas o electronic signatures?

Bajo este tenor, pudiera exitir la pregunta de si las firmas electrónicas se pueden usar bajo HIPAA. Efectivamente, la respuesta es “sí”, siempre que se establezcan mecanismos para garantizar la legalidad y seguridad del contrato, convenio o  documento y no exista ningún riesgo para la integridad de la información personal de salud.

El Departamento de Salud y Recursos Humanos de los Estados Unidos ha declarado que “no existen estándares bajo HIPAA para el uso de firmas electrónicas”, por lo que en ausencia de estándares específicos, los sujetos obligados deberán asegurarse de que cualquier firma electrónica que utilicen será legalmente vinculante. En general para que una firma electrónica sea utilizable en apego a las disposiciones de HIPAA deberá cubrir lo siguiente: 

  • Cumplimiento legal: la firma electrónica deberá cumplir con las disposciones de la Uniform Electronic Transactions Act (UETA) y la Federal Electronic Signatures in Global and National Commerce Act (ESIGN) y cualquier otra la ley estatal o local aplicable, en donde una de las principales obligaciones es que cada uno de los firmantes reciba una copia del documento firmado. Además, la firma electrónica deberá cumplir con las todas las disposiciones aplicables de HIPAA y sus reglas secundarias.
  • Autenticación de usuarios: es necesario validar que la persona que firma es quien dice ser utilizando factores de autenticación adicionales, por ejemplo, el uso de un segundo factor de autenticación o biometría.
  • Huella de Auditoría: entendiéndose este aspecto como la evidencia digital o sellado de tiempoque compruebe que el documento fue firmado en el momento que se dice y que no ha sido alterado.
  • Conservación de información: los sujetos obligadosdeberán conservar los documentos firmados.
  • Seguridad de la Información: es necesario que las firmas electrónicas cumplan con la HIPAA Security Rule con el fin de proteger la confidencialidad, disponibilidad e integridad de la información de los pacientes.

Una guía de ayuda para la aplicación de la HIPAA Security Rule es el documento publicado por el  National Institute of Standars and Technology (NIST) denominado “An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule” consultable en https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-66r1.pdfasí la aplicación de los estándares ISO/IEC de la serie 27000.

Las firmas en línea de Literax cuentan con los requisitos anteriores debido a que: 1) las firmas en línea de Literax ha sido diseñado en cumplimiento al marco jurídico mexicano aplicable en materia de firma electrónica y mensajes de datos, así como en concordancia con los requerimientos de la Uniform Electronic Transactions Act (UETA) y la Federal Electronic Signatures in Global and National Commerce Act (ESIGN); 2) contamos con la opción del uso de soft token que se envía a los firmantes como segundo factor de autenticación, además del Identity Access Managment que gestiona y rubustece el acceso de los usuarios firmantes; 3) implementamos por cada firma y por el documento total firmado una constancia de conservación bajo la NOM-151-SCFI-2016, Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos (norma oficial para la conservación de mensajes de datos obligatoria en México) para conformar la huella de auditoría con el time stamp correspondiente; 4) enviamos una copia del documento firmado a las partes firmantes y resguardamos la constancia de conservación durante el plazo de 10 años mandatorio en México para cumplir con el requisito legal de conservación de información; y 5) contamos con las mejores prácticas y cumplimiento de estándares internacionales en materia de Seguridad de la Información.

Fuentes consultadas

HIPAA Compliance for Health care Workloads on IBM Spectrum Scale, Sandeep R. Patil & Sandeep Zende

Health Insurance Portability and Accountability Act (HIPAA), Gabriel Fisher

HIPAA Compliance, Risk that Result in Security Breeches, P. Arnold, InfoSec Series, 2012.

https://aspe.hhs.gov/reports/nrpm-security-electronic-signature-standards

https://discourse.forosaluddigital.cl/t/multas-por-violacion-a-las-leyes-de-hipaa-en-usa/1112

https://www.fbi.gov/file-repository/hipaa_spanish1.pdf/view

https://privacyruleandresearch.nih.gov/pr_06.asp

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-66r1.pdf

https://www.hhs.gov/hipaa/for-professionals/security/index.html

https://www.hhs.gov/sites/default/files/febrero-de-2020-la-norma-de-privacidad-de-la-ley-hipaa-y-el-nuevo-coronavirus-508.pdf

https://www.hhs.gov/sites/default/files/hipaa-simplification-201303.pdf

https://www.hollandhart.com/checklist-for-business-associates

https://www.ncbi.nlm.nih.gov/books/NBK500019/

https://www.nist.gov/programs-projects/security-health-information-technology/hipaa-security-rule

Fecha de última revisión: 09 de septiembre de 2021