Cumplimiento HIPAA

VivIAM cumple completamente con la Ley HIPAA para protección de información médica protegida

¿Qué es HIPAA?

HIPAA (Health Insurance Portability and Accountability Act) es la ley federal de EE.UU. que establece estándares nacionales para proteger la privacidad de la información médica de los pacientes (PHI - Protected Health Information).

VivIAM opera como Asociado Comercial (Business Associate) bajo HIPAA, lo que significa que cumplimos con todos los requisitos de seguridad, privacidad y notificación de brechas establecidos por la ley.

Regla de Privacidad de HIPAA

Protección de PHI

VivIAM protege toda la Información Médica Protegida (PHI) incluyendo:

  • Identificadores personales (nombres, direcciones, números de teléfono, emails)
  • Números de identificación (seguro social, licencias médicas)
  • Registros médicos y historiales clínicos
  • Información financiera relacionada con atención médica
  • Imágenes médicas y estudios diagnósticos
  • Cualquier otra información que pueda identificar a un paciente

Uso y Divulgación de PHI

Solo usamos y divulgamos PHI para:

  • Tratamiento: Facilitar el diagnóstico y tratamiento médico
  • Pago: Procesar facturación y pagos
  • Operaciones de atención médica: Mejorar calidad y eficiencia
  • Autorizaciones: Cuando el paciente o entidad cubierta lo autorice

Regla de Seguridad de HIPAA

Implementamos las tres categorías de salvaguardas requeridas por HIPAA:

Salvaguardas Administrativas

  • Evaluaciones de riesgo periódicas
  • Políticas y procedimientos documentados
  • Capacitación del personal
  • Gestión de planes de contingencia
  • Acuerdos de Asociado Comercial (BAA)

Salvaguardas Físicas

  • Control de acceso a instalaciones
  • Políticas de estación de trabajo
  • Controles de dispositivos y medios
  • Disposición segura de datos

Salvaguardas Técnicas

  • Control de acceso (MFA, RBAC)
  • Auditoría y monitoreo completo
  • Integridad de datos
  • Cifrado end-to-end (AES-256, TLS 1.3)
  • Protección contra malware

Regla de Notificación de Brechas

En el improbable caso de una brecha de PHI no asegurada, VivIAM cumple estrictamente con los requisitos de notificación de HIPAA:

  • Notificación a Entidades Cubiertas: Sin demora indebida, dentro de 60 días
  • Notificación a Individuos Afectados: Dentro de 60 días de descubrimiento
  • Notificación al HHS: Inmediata si afecta a 500+ individuos
  • Notificación a Medios: Si afecta a 500+ individuos en una jurisdicción

Compromiso: Mantenemos un registro de incidentes de seguridad por 6 años y realizamos investigaciones exhaustivas de cualquier sospecha de brecha.

Acuerdo de Asociado Comercial (BAA)

VivIAM firma Acuerdos de Asociado Comercial (Business Associate Agreement) con todos los clientes que son Entidades Cubiertas bajo HIPAA.

El BAA establece:

  • Uso y divulgación permitidos de PHI
  • Salvaguardas que VivIAM implementará
  • Obligaciones de reporte de incidentes
  • Retorno o destrucción de PHI al finalizar contrato
  • Autorización para que subcontratistas accedan a PHI (con BAAs correspondientes)

Preguntas sobre Cumplimiento HIPAA

Para consultas sobre nuestro cumplimiento HIPAA, BAAs o reportar un incidente:

Oficial de Privacidad HIPAA: [email protected]

Teléfono: +598 99 734 035