Posible violación a HIPAA por ataque de phishing obliga a red de salud en California a pagar $600,000. (Foto de archivo) La Oficina de Derechos Civiles (OCR, por sus siglas en inglés) del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) anunció hoy un acuerdo con PIH Health, Inc. (PIH), una red de servicios de salud en California, tras una investigación por posibles violaciones a la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA). El caso se originó por un ataque de phishing que comprometió la información médica protegida electrónica (ePHI, por sus siglas en inglés) de casi 190,000 personas.
El incidente de seguridad ocurrió en junio de 2019, cuando 45 cuentas de correo electrónico de empleados fueron comprometidas, lo que resultó en la exposición de datos como nombres, direcciones, fechas de nacimiento, números de licencia de conducir, números de Seguro Social, diagnósticos, resultados de laboratorio, tratamientos, medicamentos e información financiera.
La investigación de la OCR reveló múltiples deficiencias en el cumplimiento de las Reglas de Privacidad, Seguridad y Notificación de Incumplimiento de HIPAA, incluyendo:
-
No limitar el uso o divulgación de la información protegida de salud como lo requiere la Regla de Privacidad.
-
No realizar un análisis de riesgos preciso y exhaustivo de las posibles vulnerabilidades a la confidencialidad e integridad de la ePHI.
-
No notificar a las personas afectadas, al secretario del HHS ni a los medios de comunicación dentro de los 60 días posteriores al descubrimiento de la violación, como exige HIPAA.
Como parte del acuerdo, PIH pagará $600,000 al HHS y se compromete a implementar un plan correctivo supervisado por la OCR durante dos años. Las medidas incluyen:
-
Realizar un análisis de riesgos exhaustivo.
-
Implementar un plan de gestión de riesgos.
-
Actualizar sus políticas y procedimientos para cumplir con HIPAA.
-
Capacitar a sus empleados en el manejo de información médica protegida.
“Los ataques informáticos son una de las principales causas de violaciones de datos reportadas a la OCR cada año,” afirmó Anthony Archeval, director interino de la OCR. “Las entidades reguladas por HIPAA deben ser proactivas y corregir las deficiencias antes de que resulten en la divulgación no autorizada de información médica de los pacientes.”
La OCR exhorta a todas las entidades cubiertas por HIPAA, incluyendo proveedores de salud, aseguradoras, centros de compensación y socios comerciales, a tomar medidas preventivas que incluyan:
-
Identificar los flujos de ePHI dentro de sus sistemas.
-
Integrar el análisis de riesgo en sus procesos operativos.
-
Establecer controles de auditoría para examinar la actividad del sistema.
-
Autenticar el acceso a ePHI únicamente a usuarios autorizados.
-
Encriptar datos en tránsito y en reposo.
-
Incorporar lecciones aprendidas en su plan de seguridad.
-
Brindar capacitación continua y específica a su personal.
La comunidad puertorriqueña en California debe estar atenta a este tipo de incidentes que comprometen información confidencial de salud. Para consultar si su información pudo haber sido afectada, se puede acceder al Portal de Violaciones del HHS.
Quienes consideren que sus derechos de privacidad en salud han sido violados, pueden presentar una querella en hhs.gov/ocr/complaints.
Fuentes adicionales:
-
Acuerdo y plan correctivo: hhs.gov/hipaa/compliance-enforcement
-
Información sobre reglas de HIPAA: hhs.gov/hipaa
Samuel Beníquez, CEO y Editor en Jefe de TuVidaNews.com, tiene un MBA, MIT y PhD. Con una amplia trayectoria en medios de comunicación, ha recibido 43 premios locales, nacionales e internacionales, incluidos Emmy y miembro votante de los Grammy. Su experiencia incluye la redacción de contenido para redes sociales y motores de búsqueda, editoriales, publirreportajes y comunicados de prensa de ciencia, salud y bienestar para distintas empresas de la industria en Puerto Rico y Estados Unidos continental.
