Preguntas y Respuestas
En esta página encontrarás información de referencia y soluciones a temas de Ciberseguridad, HIPAA Compliance y otros temas de interés. También podrá enviarnos sus preguntas o dudas para que uno de nuestros recursos le aclare u oriente
Divulgación involuntaria por Correo Electrónico
Pregunta: Si un paciente escribe su dirección de correo electrónico de manera ilegible y el proveedor la lee mal y luego, sin darse cuenta, envía recordatorios de citas y otras comunicaciones a la dirección de correo electrónico incorrecta, ¿tiene la culpa el proveedor? ¿Qué medidas se pueden tomar para evitar tal situación?
Respuesta: Hay culpas en ambas partes. El paciente no escribió de manera legible y el proveedor no verificó la dirección de correo electrónico antes de enviar el recordatorio de la cita. Es necesario realizar una evaluación de riesgo de cuatro factores (ver abajo) para determinar si se trata de una infracción denunciable, porque enviar el recordatorio al paciente equivocado se considera una divulgación no autorizada de PHI insegura. La forma de prevenir estos sucesos es pedir a los proveedores y profesionales de la salud asociados que verifiquen la dirección de correo electrónico si no pueden leer fácilmente la escritura del paciente. Esto se puede hacer contactando al paciente para su verificación. Para prevenir mejor estos sucesos, es una buena idea verificar la ortografía de la dirección de correo electrónico de un paciente cuando el paciente está completando el papeleo.
Evaluación de Riesgo de Cuatro Factores
-
La naturaleza y el alcance de la información médica protegida involucrada, incluidos los tipos de identificadores y la probabilidad de reidentificación;
-
La persona no autorizada que usó la información médica protegida o a quien se hizo la divulgación;
-
Si la información de salud protegida fue realmente adquirida o vista; y
-
La medida en que se ha mitigado el riesgo para la información de salud protegida.
Para obtener apoyo o una solución adecuada, hable con un profesional de IT que conozca de HIPAA y busque asesoramiento. En DigitBound estamos listos para ayudarlo a cumplir con HIPAA
Cómo responder a una posible violación de seguridad
Pregunta: Una persona que maneja PHI desde una ubicación remota admitió haber hecho clic en lo que resultó ser un enlace malicioso en su correo electrónico personal mientras usaba una computadora portátil de la oficina. La laptop tiene acceso a los datos del paciente y ePHI. Esta es la primera vez que ocurre un incidente de este tipo en mi práctica. ¿Cómo debería ser nuestro plan de respuesta en esta situación?
Respuesta: El primer paso sería aislar la laptop infectada, desconectándola del network de la oficina. Eso contribuye en gran medida a evitar que el malware infecte otras PC y servidores en el network. Es importante preservar la evidencia si cree que el ataque pudo haber provocado una violación de la ePHI o información de identificación personal. Las agencias de seguridad no pueden investigar el incidente si se destruyen las pruebas.
Es de esperar que su práctica ya tenga un plan de respuesta a incidentes de seguridad (IRP) implementado, que incluya un equipo de respuesta a incidentes de seguridad capacitado, y se haya asegurado de que todos los empleados sepan a quién contactar y con qué rapidez hacerlo si sospechan que han sido atacados. No espere hasta que ocurra un incidente de seguridad para escribir su IRP. Cuanto más rápido responda, menor será el riesgo y el potencial de incumplimiento. Por ejemplo, si el personal no está capacitado sobre qué hacer, estos pueden esperar días antes de informar a alguien. Eso puede conducir a la propagación del malware a través del network, lo que podría generar brechas, ransomware y bloquear su acceso al mundo exterior (un ataque distribuido de denegación de servicio [DDoS]).
Para evitar incidentes similares en el futuro, es importante realizar ejercicios de phishing simulados periódicamente y, por supuesto, brindar capacitación correctiva al empleado que hizo clic en el enlace incorrecto. Los ejercicios de simulación de phishing son buenos para identificar el nivel de riesgo al que se enfrenta cuando se trata de phishing y otros ataques de redes sociales. Los ejercicios también son una buena educación para el personal: cuando hacen clic en el enlace de simulación de suplantación de identidad, se les puede notificar el error y lo que pueden hacer para evitar hacer clic en enlaces maliciosos en el futuro.
Trituración de Documentos después de Escaneados
Pregunta: ¿Es seguro triturar inmediatamente los documentos escaneados en el sistema de registros médicos electrónicos (EHR)? ¿Deberíamos mantener una copia de seguridad en papel?
Respuesta: Algunas organizaciones conservan los originales en papel durante un período de tiempo (por ejemplo, 90 días) después de haber sido escaneados, pero usted no está obligado a hacerlo. Los originales en papel deben conservarse hasta que los documentos escaneados se hayan sometido a una revisión de calidad para garantizar que se hayan escaneado completos y de forma legible.

Es Cumplimiento con To' los "Powers"
Una vez usted se suscribe a uno de nuestros Planes de HIPAA PREMIUM, nosotros manejaremos HIPAA, y usted manejara su negocio. Inmediatamente nuestros recursos se pondrán a trabajar para capacitar a sus empleados e identificar los requisitos de cumplimiento de su negocio o práctica. Nuestros expertos en HIPAA lo apoyaran y actualizaran continuamente su documentación para que tenga las herramientas necesarias para lograr Cumplimiento y mantenerse en Cumplimiento
Por tiempo limitado* estamos ofreciendo todos nuestros planes de HIPAA Premium con un 50% de descuento. De todos modos, CUMPLIMIENTO es la alternativa más económica a una violación de HIPAA
*Oferta expira el 30 de abril 2021