Los mercados verticales como el de la salud pueden resultar un oportunidad atractiva por compañeros de Canal. Pero hay riesgos involucrados. En esta pregunta al experto, Austin Justice, vicepresidente en Consultoría de TI de justicia y miembro del Grupo ASCII desde 2015, analiza los desafíos de la Ley de Portabilidad y Responsabilidad del Seguro Médico desde la perspectiva de un proveedor de servicios de TI. Él describe los problemas que enfrentan los socios de canal cuando trabajan con clientes que se ocupan de los requisitos para el cumplimiento de HIPAA.
¿Cuáles son los desafíos clave para ayudar a los clientes que deben satisfacer los requisitos para el cumplimiento de HIPAA?
Austin Justice: Apoyar a los proveedores de atención médica y las organizaciones que necesitan mantener el cumplimiento de la HIPAA puede ser un esfuerzo lucrativo pero desafiante. Los proveedores de TI se consideran socios comerciales según la regla de seguridad de HIPAA. Esta clasificación trae algunas consideraciones importantes específicas de HIPAA.
- La comprensión del proveedor de la regla de seguridad de HIPAA
Los proveedores más pequeños a menudo no son conscientes de que no cumplen y, por lo general, asumen que toda la información médica protegida electrónica (ePHI) se aloja únicamente en el proveedor de registros médicos electrónicos. Realizar un inventario de ePHI y educar al proveedor sobre la Regla de seguridad es una buena opción cuando se combate esta suposición. Da la casualidad de que ePHI puede estar en su servidor de archivos, en su correo de voz, en sus directorios de descarga y enviarse por correo electrónico.
Los proveedores de servicios administrados de TI (MSP) pueden enfrentar multas y tarifas de millones de dólares por incumplimiento. A principios de este año, un MSP de TI recibió una multa de 650.000 dólares por una infracción de la HIPAA. Esto significa que un MSP de TI que respalda a los proveedores de atención médica debe cumplir con la HIPAA. Se enfrentan al mismo nivel de escrutinio que los proveedores a los que apoyan. Consultar a un abogado y un agente de seguros puede ayudar a mitigar parte de este riesgo.
- Falta histórica de aplicación
En los últimos años, menos del 1% de los proveedores se enfrentaron a una auditoría de HIPAA. La Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos está intensificando su aplicación con una reciente Fase 2 del programa de Auditoría de HIPAA. Pero la mayoría de los proveedores de atención médica todavía tienen la misma mentalidad que tenían hace años. Los MSP de TI deben considerar su propio riesgo aumentado, así como educar a sus clientes sobre el riesgo.
En 2014, hubo 2 millones de personas afectadas por infracciones de ePHI relacionadas con la piratería. En 2015, ese número aumentó a unos 100 millones de personas afectadas por violaciones de ePHI relacionadas con la piratería. El ransomware, los virus y la suplantación de identidad provocan habitualmente una infracción. Es imperativo realizar evaluaciones anuales de riesgos, capacitar a los empleados en técnicas de phishing junto con sólidas medidas de seguridad.
¿Sirve a clientes en industrias fuertemente reguladas? Si usted es un socio de canal (es decir, VAR, MSP, SI, consultor de TI, entre otros) con un consejo sobre cómo trabajar con clientes que lidian con los requisitos para el cumplimiento de HIPAA u otras obligaciones regulatorias, envíe un correo electrónico John Moore, editor senior del sitio.