Si trabaja en el sector sanitario y maneja información sanitaria protegida (PHI), sabe que no hay forma de evitarlo.
La información médica protegida debe enviarse, recibirse y almacenarse de forma segura. Ante todo, debe tratarse de acuerdo con las directrices de cumplimiento de la HIPAA. La Ley de Responsabilidad y Portabilidad del Seguro Médico (en inglés, Health Insurance Portability and Accountability Act o HIPAA) de 1996 es una ley diseñada para facilitar que los trabajadores estadounidenses que cambian de trabajo o son despedidos conserven la cobertura de seguro médico.
En la asistencia sanitaria es vital entender cuáles son las normas, cómo se aplican y cómo cumplirlas.
Tanto si se trata de una entidad cubierta que genera PHI como de un asociado comercial que necesita acceder a ella, la normativa HIPAA es importante.
Hay mucho que tener en cuenta, pero no debería preocuparse por cómo hacerlo bien.
Antes de entrar en el problema de los formularios digitales conformes con la HIPAA, hagamos un rápido repaso de a quién afecta y por qué.
¿Para quién es relevante la HIPAA?
Hay dos grupos que deben cumplir la normativa HIPAA: las entidades cubiertas (EC) y los asociados comerciales.
¿Qué es una entidad cubierta?
Una entidad cubierta es cualquier organización que recopila, crea o transmite información PHI electrónicamente (también conocida como «ePHI»). Los subgrupos que caen bajo el paraguas de las entidades cubiertas incluyen:
- Proveedores de asistencia sanitaria: Como médicos, residencias de ancianos, hospitales o psicólogos.
- Planes de salud: Cualquier plan individual o colectivo que ofrezca o pague servicios sanitarios, como compañías de seguros médicos, organizaciones de mantenimiento de la salud, Medicaid y Medicare.
- Cámaras de compensación: organizaciones que actúan como intermediarias entre los proveedores de asistencia sanitaria y los pagadores de seguros. Los centros de intercambio de información procesan las transacciones sanitarias de acuerdo con las normas establecidas.
¿Qué es un socio comercial?
Un socio comercial es una organización que tiene acceso a la PHI por contrato con una entidad cubierta.
Algunos ejemplos de socios comerciales del sector sanitario son los proveedores de TI, los servicios de alojamiento de correo electrónico y, como no podía ser de otra forma, los creadores de formularios.
Cuando una entidad cubierta permite que un socio comercial apoye sus actividades de asistencia sanitaria, el socio comercial debe firmar un acuerdo contractual con la entidad cubierta. Este contrato se conoce como Acuerdo de Asociado Empresarial (Business Associate Agreement, BAA).
Al igual que la entidad cubierta, el asociado comercial tiene que cumplir la normativa HIPAA para proteger la PHI. Además, tiene la obligación de informar a las entidades cubiertas en caso de cualquier violación de datos potencial o real.
Productos tecnológicos e HIPAA: Una relación nebulosa
Todas las entidades que tienen acceso a la información sanitaria protegida deben asegurarse de que existen las salvaguardias técnicas, físicas y administrativas adecuadas.
Sin embargo:
- Hay una falta de claridad en los requisitos de la HIPAA y una larga lista de normas que cumplir
- La normativa HIPAA se actualiza o modifica con frecuencia. Como consecuencia, las organizaciones tendrán que seguir y actualizar su plan de cumplimiento.
- Cuando los descuidos provocan infracciones de la HIPAA, tanto las entidades cubiertas como los particulares pueden enfrentarse a multas bastante elevadas, incluso aunque no se haya vulnerado la PHI. Las infracciones pueden dar lugar a cargos penales y demandas judiciales. La cuantía de las sanciones por infracciones varía enormemente en función de la gravedad de la infracción, la responsabilidad y el grado de cooperación de la organización durante las investigaciones sobre la infracción.
- La normativa no debe tomarse a la ligera. No importa si una infracción se debe a una negligencia intencionada o no. La ignorancia no se considera una razón justificable para imponer sanciones. Las multas por incumplimiento se impondrán independientemente.
- Según un informe de 2015 publicado por el Departamento de Salud y Servicios Humanos (HHS), se encontraron deficiencias de la HIPAA en términos de privacidad, seguridad de los datos y notificación de infracciones en la mayoría de las entidades cubiertas que fueron examinadas, especialmente en las entidades más pequeñas. Una multa de tres dígitos podría ser devastadora para una consulta u organización modesta.
Cómo afecta la HIPAA a los usuarios de formularios digitales?
Las organizaciones tienen que seguir normas y reglamentos que son complejos y requieren mucho tiempo.
Si no tienes cuidado, te meterás de lleno en una pesadilla administrativa. Hay que registrar todas las acciones. También hay muchos formularios que rellenar y procedimientos que seguir.
Como sabemos, el incumplimiento de las normas y reglamentos de la HIPAA puede acarrear sanciones. Además, esto puede acarrearle un puesto de honor en el Muro de la Vergüenza de la HIPAA, donde se muestran las infracciones conocidas de los últimos 24 meses que se están investigando en la actualidad.
Prefieres ser conocido por tu integridad que por poner en peligro los datos confidenciales de tus pacientes? En general, hay mucho que tener en cuenta.
Por qué son importantes los formularios en el contexto sanitario
La respuesta a esta pregunta es sencilla: En la asistencia sanitaria, los formularios que recogen información PHI son omnipresentes.
Los formularios son esenciales para registrar nuevos pacientes, anotar síntomas, esbozar tratamientos o rellenar una receta, entre otros usos.
Piense en los formularios de autorización de nuevos pacientes cuando visitan al médico por primera vez, o en el formulario de la prueba Covid-19 que la gente rellena para que sus datos se transmitan a un centro de intercambio de información.
Los formularios son una parte esencial de la asistencia sanitaria, y asegurarse de que cumplen la HIPAA es primordial.
Hay seis formularios principales de la HIPAA con los que se encontrará más a menudo. Comprenderlos le ayudará a llevar a cabo las operaciones de forma más eficiente, pero también a reducir el perfil de riesgo de la organización de la que forma parte.
Fuente de la imagen: Cloudapper
El paso a lo digital tiene implicaciones en la seguridad de los datos. Además, los pacientes esperan recibir asistencia con la misma facilidad con la que piden la compra por Internet.
Los formularios digitales desempeñan un papel en este sentido. Veamos ahora cómo se relaciona la HIPAA con los formularios.
¿Qué hace que un formulario cumpla la HIPAA?
Cuando se maneja ePHI, la HIPAA exige que un formulario digital cumpla un conjunto mínimo de requisitos. Éstos son:
- Cifrado de transporte: Siempre se encripta mientras se transmite por Internet
- Copia de seguridad: Nunca se pierde, es decir, se debe hacer una copia de seguridad y se puede recuperar
- Autorización: Sólo es accesible por personal autorizado mediante controles de acceso únicos y auditados
- Integridad de los datos: No se manipulan ni alteran
- Cifrado de almacenamiento: Debe encriptarse cuando se almacena y archiva
- Eliminación: Puede eliminarse definitivamente cuando ya no se necesite
- Omnibus/HITECH: Se encuentra en los servidores web de una empresa con la que se ha suscrito un acuerdo de asociación empresarial HIPAA.
Cumplir los puntos mencionados es su responsabilidad. La seguridad y la integridad de la PHI y la ePHI deben ser su máxima preocupación.
Esto es esencial porque el número de violaciones de datos sanitarios sigue aumentando año tras año.
Cuando los historiales médicos acaban en el mercado negro, valen hasta 40 veces más que un número de tarjeta de crédito.
Un número de identificación personal es permanente, mientras que un número de tarjeta de crédito no lo es. Esto puede complicar enormemente la vida de las personas cuya información se ha visto comprometida, ya que la información violada suele utilizarse para actividades fraudulentas.
Violaciones de datos de atención médica en EE. UU. de más de 500 registros
Crear un software que gestione todos los puntos de seguridad es un trabajo en sí mismo. Por eso tiene sentido buscar formularios que se ocupen de esto por ti.
19 creadores de formularios que cumplen la HIPAA
Por el bien de sus pacientes y por su tranquilidad, usted desea que todos los procesos relacionados con la recopilación de información PHI sean lo más seguros posible.
Un creador de formularios conformes con la HIPAA elimina las conjeturas sobre el cumplimiento, al menos en un área recurrente de su consulta u organización.
Teniendo esto en cuenta, hemos recopilado una lista de creadores de formularios digitales que cumplen la HIPAA. Eche un vistazo.
JotForm ofrece una amplia gama de formularios y BAA adaptados a dispositivos móviles y totalmente personalizables que cumplen la HIPAA para recopilar de forma segura los datos de los pacientes.
Puede generar informes médicos en directo a partir de los datos del formulario, optimizar los flujos de trabajo conectando JotForm con las herramientas que ya utiliza y automatizar las aprobaciones.
Los formularios JotForm se emparejan con JotForm Health App para ver historiales médicos, programar citas y obtener formularios de consentimiento firmados desde cualquier dispositivo (incluso cuando no está conectado a Internet).
Actualmente, la empresa ofrece a los respondedores de Corona contas HIPAA gratuitas e ilimitadas. Esto califica a los proveedores de atención médica, organizaciones gubernamentales y sin fines de lucro para planes Jotform gratuitos.
Precios: 29 $/mes (facturación anual), o 39 $ al mes. Con ambos planes, puede crear hasta 100 formularios y enviar 10.000 formularios. Las organizaciones sin ánimo de lucro disfrutan de un descuento del 50%.
Typeform le permite crear cuestionarios interactivos, encuestas y formularios que muestran una pregunta/instrucción a la vez. Puedes añadir imágenes, diseñar temas, cambiar fuentes y fondos.
Typeform se ejecuta en Amazon Web Services y mantiene múltiples niveles de cifrado, control de acceso y pruebas de penetración.
La ley HIPAA se menciona en otra sección de preguntas frecuentes de Covid-19, en la que se indica que Typeform está dispuesto a actuar como asociado comercial para entidades cubiertas, si usted firma un acuerdo de asociación comercial con ellos.
También vale la pena decir que la integración de Stripe de Typeform no será utilizable, ya que no hay ninguna mención de HIPAA o BAAs en el sitio web de Stripe.
Precios: Las versiones gratuitas ofrecen 3 formularios con 10 preguntas por formulario y 100 respuestas al mes. El plan de pago con formularios ilimitados comienza en 35 $/mes (facturado anualmente) con espacio para hasta 1.000 respuestas de formulario al mes. Es posible probar las funciones de los planes de pago en modo de prueba, aunque los formularios no se podrán compartir.
Bonificación: Si tiene intención de utilizar Typeform para un proyecto sin ánimo de lucro relacionado con Covid-19, Typeform ofrece incluso una suscripción gratuita de 3 meses.
Formstack es una solución todo en uno que cumple la HIPAA para recopilar datos, crear documentos y recoger firmas electrónicas.
Formstack’s Forms, Documents, and Sign se sometió a una auditoría de seguridad por parte de un proveedor externo de evaluación de cumplimiento. Es posible un BAA estándar, así como la opción de crear BAA personalizados.
Formstack supervisa sus cuentas HIPAA para evitar infracciones. El cifrado TLS, los permisos a nivel de usuario y las integraciones conformes con la HIPAA aseguran la ePHI se enumeran en las características. Los datos de registro de usuarios y acciones pueden solicitarse en caso de auditoría o posible violación de la seguridad.
Precios: Formstack ofrece 14 días de prueba. El plan Starter tiene un precio de 50 $/mes (facturado anualmente), o 59 $ al mes para un usuario. Este usuario puede crear hasta 20 formularios y enviar hasta 1.000 formularios.
Logiforms es un creador de formularios con una interfaz flexible e intuitiva de arrastrar y soltar.
También admite la implementación de flujos de trabajo automatizados para crear y almacenar formularios y PDF seguros mediante funciones que cumplen la HIPAA, como el cifrado SSL de 256 bits en los formularios, el cifrado de datos en reposo y el cifrado TLS/HTTPS de extremo a extremo.
Precios: Logiforms ofrece 15 días de prueba. El plan Profesional tiene un precio de 24,95 $/mes. Dos usuarios tendrán acceso al software, permitiendo la creación de 10 formularios y 5.000 envíos de formularios. Hay complementos disponibles por un pequeño precio adicional.
Microsoft Forms es un creador de formularios fácil de usar para encuestas, sondeos y cuestionarios.
El software cumple las normas HIPAA y BAA, así como las normas de protección BAA, con datos de formularios cifrados en reposo y en tránsito.
Los servicios de Microsoft incluidos en la BAA se sometieron a auditorías para obtener la certificación ISO/IEC 27001 de Microsoft.
Precios: Uso gratuito para cualquier persona con una licencia de Office 365 Educación, clientes de Microsoft 365 Apps for Business y usuarios con una cuenta pro de Microsoft.
Cognito Forms es una plataforma versátil con varias plantillas de formularios para elegir. Es un producto tanto para principiantes como para desarrolladores que ofrece la posibilidad de ajustar formularios con HTML y CSS personalizados.
Puede crear formularios conformes con la HIPAA que procesen pagos en línea, permitan a los usuarios solicitar citas o recetas, registrar nuevos pacientes y conectar con integraciones de terceros.
Precios: El cumplimiento de la HIPAA se garantiza con el plan Enterprise a 99 $/mes. El plan permite la creación de formularios y entradas ilimitadas, y da acceso a la herramienta a 20 usuarios.
HIPAA Forms es un plugin de WordPress que requiere que usted tenga Caldera o Gravity Forms instalados.
Para utilizarlo, necesitará una clave de licencia válida de HIPAA Forms, SSL activado y, por supuesto, un acuerdo BAA firmado.
El resultado es marcar una casilla junto al formulario para que cumpla la HIPAA. Si su sistema está basado en WordPress, no habrá nada más fácil que esto.
Precios: Puede probar el plugin de forma gratuita con un formulario y 25 envíos de formularios. La suscripción comienza en $600/año, desbloqueando formularios ilimitados, envíos de formularios ilimitados, y marca eliminada. La posibilidad de subir archivos puede adquirirse como complemento por 300 $/año.
8. 123 Constructor de formularios
123 Form Builder es un creador de formularios de nivel empresarial, totalmente personalizable, que permite arrastrar y soltar para crear formularios en línea para su consultorio o empresa de atención sanitaria.
El software incorpora protocolos de seguridad ampliados, reglas lógicas condicionales, más de 80 integraciones y la posibilidad de enviar datos directamente a un CRM preferido.
Teniendo esto en cuenta, el software es más adecuado para grandes equipos que recopilan montones de datos.
Precios: Los formularios compatibles con la HIPAA sólo están disponibles en el plan Enterprise, con un precio de 199,99 $/mes. Tendrás que ponerte en contacto con el departamento de ventas para obtener una oferta personalizada.
La herramienta de recopilación de datos y creación de formularios de FormAssembly es utilizada por más de 4.000 organizaciones de todo el mundo, como Amazon, Lenovo y la Universidad de Harvard.
Todos los datos recogidos se mantienen seguros. Además, se integra con sus sistemas actuales, como Salesforce, Google Apps y Pardot, y le permite crear fácilmente formularios avanzados.
Precios: Los formularios conformes a la HIPAA y los BAA están disponibles en el plan Compliance Cloud de cuarto nivel. Tendrás que ponerte en contacto con el equipo para obtener una oferta personalizada, pero los costes probablemente superarán el umbral de 224 $/mes, ya que es lo que cuesta el plan de segundo nivel.
FormDr es una solución de formularios adaptada a hospitales, sistemas sanitarios y otras consultas con una o varias sedes.
Con FormDr puede combinar varias páginas en un paquete de formularios en línea, facilitando a los pacientes el esfuerzo de pasar por varios formularios separados.
Y, por supuesto, FormDr FormDr cumple con la HIPAA.
Precios: Ofrecen una prueba gratuita de 14 días, y ofrecen convertir sus archivos en formularios. Los tres planes ofrecen formularios conformes con la HIPAA. Las principales diferencias entre los planes radican en el número de usuarios, envíos, vistas de formularios y GB disponibles para el almacenamiento de archivos. El plan de inicio tiene un precio de 29 $/mes, tanto si pagas por uso como por año completo.
PandaDoc es un completo software de automatización y personalización de documentos que permite crear propuestas, presupuestos, contratos y formularios en cuestión de minutos.
Los espacios de trabajo permiten almacenar eficazmente la información del personal y de los pacientes por separado, todo ello totalmente en conformidad con la HIPAA.
Precios: Para obtener un plan de empresa personalizado y conforme a la HIPAA, PandaDoc te pide que te pongas en contacto con su equipo de ventas.
La autenticación y la configuración de privacidad compatibles con la HIPAA están disponibles para Google Forms, lo que significa que los CE pueden utilizar Google Forms como creador de formularios compatibles con la HIPAA.
Será necesario firmar previamente un BAA con Google.
Los administradores pueden supervisar el acceso y la visibilidad de carpetas y archivos, y conceder a cada colaborador los permisos necesarios. Antes de utilizar los formularios de Google para recopilar o almacenar información de salud electrónica, los administradores deben ajustar la configuración de privacidad y desactivar las aplicaciones de terceros que no cumplan las normas de la HIPAA.
Precios: Google Forms está disponible en el plan Business Starter por 6 dólares al mes por usuario, lo que da acceso a todo el espacio de trabajo de Google, e incluye una prueba de 14 días.
Los usuarios del Plan Enterprise pueden solicitar un acuerdo estándar de asociación empresarial para hacer uso de la configuración conforme a la HIPAA.
Esto le permitirá crear formularios seguros de derivación, pago de asistencia sanitaria e historial médico.
Formsite ayuda a las organizaciones con funciones esenciales de gestión de datos, como el correo electrónico seguro y el control de acceso con autenticación de dos factores.
El software también cuenta con integraciones para Salesforce y Google Sheets (para las que también necesitarás un BAA).
Precios: El plan Enterprise estándar comienza en 249,95 €/mes o 2499,95 €/año.
El software de firma electrónica y generación de documentos DocuSign se utiliza en 12 de las 14 principales empresas farmacéuticas del mundo.
El software cumple plenamente las normas ESIGN, UETA e HIPAA, y cuenta con la certificación ISO 27001:2013.
Todos los datos que pasan por los servidores de DocuSign están cifrados y autenticados, tanto en tránsito como en reposo.
Precios: DocuSign pide a los clientes del sector sanitario que se pongan en contacto con ventas para conocer las ofertas específicas del sector.
MedForward ofrece servicios de consultoría de marketing y herramientas digitales centrados en ayudar a las empresas médicas a crecer desde 2007.
Su aplicación web MedForward Forms está desarrollada por su equipo interno y permite a los pacientes cumplimentar de forma segura formularios en línea conformes con la HIPAA.
Convertirán sus formularios existentes en un formato en línea, al tiempo que permiten a los pacientes utilizar los formularios en su formato original.
Precios: Los pagos se realizan mes a mes. No son necesarios compromisos a más largo plazo, aunque debe ponerse en contacto con MedForward para obtener un presupuesto personalizado.
ProntoForms, el creador de formularios móviles de bajo código para empresas, le permite crear aplicaciones personalizadas sin necesidad de conocimientos técnicos.
La aplicación permite una lógica de flujo de trabajo condicional avanzada y una rica captura de datos más allá de las listas de comprobación. Ocupa el primer puesto en la parrilla de soluciones móviles para empresas de G2.
ProntoForms ha superado varias auditorías, incluida la de la HIPAA.
Mantienen una disponibilidad del servicio del 99,9% y ejecutan con frecuencia sus planes de respuesta a incidentes y recuperación en caso de catástrofe para prevenir amenazas a la seguridad.
Precios: Los tres planes disponibles ofrecen el cumplimiento de la HIPAA, aunque el plan Essentials puede quedarse corto en capacidades de personalización. El plan Essentials tiene un precio de 15 $/mes por usuario y permite crear 10 formularios con 250 preguntas cada uno.
La solución de formularios web y PDF SecureForm de LuxSci le permite añadir y guardar formularios conformes con la HIPAA.
SecureForm se integra en formularios web o PDF que utilices actualmente. Se puede utilizar en tango con cualquier CMS (WordPress incluido), así como páginas codificadas a mano. Sus datos están asegurados con encriptación TLS durante la transmisión, y en reposo con encriptación PGP y/o AES.
Precios: El plan Small permite crear hasta 100 formularios a partir de 50$/mes.
SurveyMonkey es un popular creador de formularios utilizado por el 98% de las empresas Fortune 500.
La empresa ofrece un formulario BAA estándar y aplica las necesarias salvaguardias para proteger la ePHI que manejan en nombre de las CE.
Las salvaguardias incluyen planes de copia de seguridad de los datos, análisis periódicos de los riesgos de los sistemas y planes de respuesta a incidentes.
Precios: Sólo el plan Enterprise ofrece funciones que cumplen con la HIPAA. SurveyMonkey pide a los clientes que se pongan en contacto con ellos para recibir una oferta personalizada.
19. Formsort
Formsort ofrece un robusto creador de formularios que cumple la HIPAA, adaptado a los proveedores sanitarios que buscan soluciones seguras y personalizables. La plataforma cuenta con una interfaz de arrastrar y soltar sin código, lo que facilita el diseño y la implementación de formularios que garantizan la protección de los datos de los pacientes.
Con un enfoque en la experiencia del usuario y sólidas funciones de seguridad, Formsort garantiza la protección de los datos de los pacientes al tiempo que proporciona un proceso de envío de formularios sin problemas. Formsort también admite integraciones avanzadas y ofrece plantillas que agilizan la creación de formularios, por lo que es una opción sólida para las organizaciones sanitarias centradas en el cumplimiento y la experiencia del usuario.
Precios: Formsort comienza con un nivel gratuito para un uso básico, con planes de pago disponibles para características mejoradas y necesidades de mayor volumen. El nivel gratuito le ofrece 100 inicios de flujo al mes, junto con un número ilimitado de usuarios y formularios, y algunas opciones de marca. Los paquetes Pro empiezan en 279 $/mes.
Conclusión
Mantener el cumplimiento de su organización no es fácil, pero sí esencial. Elegir un creador de formularios que cumpla con la HIPAA reducirá la carga administrativa y garantizará que la ePHI recopilada a través de los formularios se almacene y envíe de forma segura.
Una vez que cambie a un generador de formularios que cumpla la HIPAA, creará y enviará formularios de la misma forma que siempre.
La principal diferencia es que ahora los datos se transmiten y almacenan de acuerdo con las normas de la HIPAA.
Esto supone un paso más hacia el cumplimiento de la normativa, y menos preocupaciones en caso de una próxima auditoría.
Para concluir, cabe señalar que la mayoría de los formularios digitales conformes con la HIPAA enumerados en este artículo también son compatibles con Make.
Si lo que busca es aumentar la capacidad y la flexibilidad a lo largo del tiempo, elegir una solución que sea a la vez fácil de integrar y que cumpla la HIPAA cubrirá dos necesidades con una sola escritura.
Descargo de responsabilidad: la información de esta página no constituye asesoramiento sanitario o jurídico oficial. Babel-Team o Make no se hacen responsable de ningún daño o responsabilidad derivada de esta plataforma o relacionada de algún modo con ella.
Gracia Kleijnen es la autora de este artículo para Make. El equipo de traducción y diseño de Babel-Team tradujo y revisó el contenido.
Previous Next