¿Cumple Google Drive la HIPAA? 5 consejos para proteger la PHI en Google Drive

En un mundo siempre en línea, la seguridad de los datos y el cumplimiento de la normativa son consideraciones fundamentales para las empresas y organizaciones, especialmente las del sector sanitario. La HIPAA establece la norma para proteger la información confidencial de los pacientes. Este post explora las implicaciones de almacenar PHI en el almacenamiento en la nube de Google Drive y cómo hacerlo cumpliendo con la HIPAA.

Definición de la HIPAA

En Estados Unidos, la información médica se rige por la HIPAA, la Ley de Portabilidad y Responsabilidad del Seguro Médico. Esta ley garantiza la confidencialidad, integridad y disponibilidad de la información sanitaria protegida (PHI) imponiendo normas a los proveedores de asistencia sanitaria, los planes de salud y sus socios comerciales.

El cumplimiento de la HIPAA consta de varios requisitos técnicos y administrativos, como la encriptación de datos, los controles de acceso, los controles de auditoría, las evaluaciones de riesgos y la firma de acuerdos de asociación empresarial (BAA) con los proveedores de servicios. Aunque Google Drive ofrece sólidas funciones de seguridad, es importante conocer su estado de cumplimiento antes de utilizarlo para almacenar o transmitir información médica protegida.

¿Cumple Google Drive la HIPAA?

Aunque el servicio en la nube Google Drive ofrece una amplia gama de funciones para proteger los datos de los usuarios frente a accesos malintencionados o exfiltraciones, su capacidad para compartir datos implica que no cumple de forma automática o inherente con la HIPAA. No obstante, Google ofrece un servicio independiente denominado Google Workspace for Healthcare, diseñado para satisfacer las necesidades específicas de las organizaciones sanitarias. Este servicio proporciona medidas adicionales de seguridad y privacidad de Google Drive para garantizar el cumplimiento de la HIPAA, como la firma de BAA y la implementación de un cifrado avanzado.

¿Qué es Google Workspace para el sector sanitario?

Google Workspace para el sector sanitario es una oferta especializada de Google diseñada para satisfacer las necesidades únicas y los requisitos de cumplimiento de las organizaciones sanitarias. Proporciona una plataforma segura y colaborativa para que los profesionales sanitarios se comuniquen, colaboren y gestionen sus flujos de trabajo, manteniendo la privacidad y la seguridad de la información confidencial de los pacientes.

Google Workspace para el sector sanitario incluye un conjunto de herramientas de productividad como Gmail, Google Drive, Google Docs, Google Sheets, Google Meet y Google Chat, con funciones adicionales de seguridad y privacidad adaptadas al sector sanitario. Estas funciones están diseñadas para ayudar a las organizaciones sanitarias a cumplir las normas de la HIPAA y proteger la información sanitaria de los pacientes.

Algunas de las principales características y ventajas de Google Workspace para el sector sanitario son:

• Acuerdo de asociación empresarial (BAA): Google firma un BAA con las organizaciones sanitarias que utilizan Google Workspace for Healthcare, demostrando así su compromiso de proteger la PHI y cumplir con la normativa HIPAA.
• Controles de seguridad avanzados: La plataforma ofrece verificación Zero Trust, cifrado de datos en reposo y en tránsito, cifrado del lado del cliente,detección dephishing y malware, y controles de acceso granulares para garantizar que sólo las personas autorizadas puedan acceder a los datos confidenciales.
• Correo electrónico seguro: Gmail dentro de Google Workspace for Healthcare proporciona funciones de seguridad adicionales, como las políticas de prevención de pérdida de datos (DLP ) y el cifrado del correo electrónico para proteger la información confidencial frente a la filtración.
• Registros de auditoría e informes: Los registros de auditoría y las capacidades de elaboración de informes permiten a las organizaciones rastrear y supervisar el acceso a la PHI, ayudando a identificar y abordar cualquier posible violación de la seguridad.

Mediante el uso de Google Workspace for Healthcare, las organizaciones sanitarias pueden aprovechar la potencia de las herramientas de productividad de Google al tiempo que garantizan el cumplimiento de la normativa HIPAA y mantienen la privacidad y la seguridad de la información sanitaria de los pacientes. La plataforma ofrece una solución integral para abordar las necesidades y los retos específicos a los que se enfrentan los profesionales sanitarios en sus operaciones cotidianas.

¿Qué es un BAA y por qué es necesario para el cumplimiento de la HIPAA?

Un acuerdo de empresa asociada (Business Associate Agreement, BAA) es un contrato entre una entidad cubierta, como un proveedor de servicios sanitarios, y una empresa asociada o un proveedor de servicios que maneja la información sanitaria protegida. Un BAA establece las responsabilidades de cada parte y garantiza que el socio comercial se compromete a cumplir la normativa de la HIPAA y a salvaguardar la PHI que maneja. Disponer de un BAA firmado con Google es esencial si las organizaciones sanitarias desean utilizar Google Drive u otros servicios de Google manteniendo el cumplimiento de la HIPAA.

Cómo hacer que Google Drive cumpla la HIPAA

Sin suscribirse a una cuenta de Google Workspace, una organización no puede cumplir completamente con la HIPAA cuando utiliza Google Drive. Sin embargo, la HIPAA exige que las entidades cubiertas sigan las mejores prácticas de seguridad de la información para proteger la PHI. Como tales, tienen la responsabilidad de formar a los empleados sobre cómo manejar adecuadamente estos datos cuando utilizan Google Drive, incluso con las salvaguardas y encriptaciones correctas en su lugar.

Algunos ejemplos de cómo los usuarios pueden apoyar la HIPAA incluyen:

• Acceder a la información de los pacientes sólo cuando sea necesario
• Elegir contraseñas seguras, mantenerlas a salvo y cambiarlas con regularidad
• Cerrar siempre la sesión y/o bloquear las pantallas de los dispositivos al abandonar los puestos de trabajo
• Informar inmediatamente de cualquier incidente de seguridad o actividad sospechosa
• Recibir formación periódica sobre las mejores prácticas de seguridad de la PHI

¿Cumplen la HIPAA las unidades compartidas de Google?

Google Shared Drives son similares a Google Drive estándar, excepto que son propiedad de una organización en lugar de un individuo. Los roles y permisos de acceso para todos los usuarios pueden ser establecidos por los administradores del Drive desde una consola central de administración.

Al igual que Google Drive, Google Shared Drive no cumple intrínsecamente con la HIPAA. Sin embargo, con las medidas de seguridad y las configuraciones adecuadas, es posible utilizar Google Shared Drive de forma compatible con la HIPAA. Esto incluye la firma de un BAA con Google, la implementación de controles de acceso, la encriptación y otras salvaguardas necesarias para proteger la PHI.

¿Cumplen Google Docs y Sheets la HIPAA?

Las aplicaciones Google Docs y Sheets no están diseñadas específicamente para cumplir con la HIPAA. Sin embargo, el uso de Google Workspace for Healthcare y el seguimiento de las prácticas de seguridad recomendadas pueden ayudar a las organizaciones sanitarias a utilizar estas herramientas de forma que se ajusten a los requisitos de la HIPAA. Es crucial evaluar y mitigar cualquier riesgo asociado con el almacenamiento o la transmisión de la PHI utilizando estas herramientas. Algunas medidas para conseguirlo son limitar el acceso, restringir la capacidad de compartir y formar a los empleados sobre las mejores prácticas para salvaguardar la información sanitaria protegida.

¿Cumple Google Chat la HIPAA?

Al igual que otros productos de Google, el chat de Google no es inherentemente conforme con la HIPAA, pero puede utilizarse de forma que se ajuste a los requisitos de la HIPAA. Las mejores prácticas implican utilizar una suscripción a Google Workspace, firmar un BAA con Google y asegurarse de que los empleados comprenden los riesgos de compartir la PHI dentro de Google Chat.

¿Cumple Google Workspace Business Starter la HIPAA?

Anteriormente conocido como G Suite Basic, Google Workspace Business Starter sí permite a los usuarios empresariales acceder a funciones como BAA y controles avanzados de seguridad y gestión. Sin embargo, para obtener la gama más sólida de funciones de Google, un plan Enterprise o Google Workspace para el sector sanitario. Estos planes incluyen herramientas adicionales de seguridad y cumplimiento que respaldan los requisitos de la HIPAA.

5 consejos para proteger de forma proactiva la PHI en la plataforma en nube Google Drive

1. Habilite la autenticación de dos factores para las cuentas de Google asociadas a PHI.
2. Forme a los empleados sobre las políticas de la HIPAA y las mejores prácticas para el manejo de la PHI en Google Drive.
3. Revise y actualice periódicamente los controles de acceso para garantizar que sólo el personal autorizado pueda acceder a la PHI.
4. Cifre los archivos y carpetas confidenciales almacenados en Google Drive para proporcionar una capa adicional de seguridad.
5. Audite y supervise periódicamente los registros de acceso y aborde con prontitud cualquier acceso no autorizado o infracción.

Cómo Mimecast Aware apoya el cumplimiento de la HIPAA en Google Drive

Aware ayuda a las principales organizaciones sanitarias a mantener el cumplimiento de la HIPAA dentro de Google Drive a partir de la integración de una aplicación de terceros que utiliza análisis avanzados basados en IA para identificar posibles infracciones. Con Aware, las organizaciones pueden proteger automáticamente los datos que guardan en Google Drive mediante flujos de trabajo automatizados basados en la detección de palabras clave y expresiones regulares (regex).

El análisis continuo y en tiempo real de Aware detecta las posibles infracciones de la HIPAA en el momento en que se producen para una reparación más rápida y una mayor protección de los datos, mientras que el procesamiento del lenguaje natural (PLN) líder del sector se traduce en resultados más precisos con menos falsos positivos.

Lo esencial

Aunque Google Drive en sí mismo no es intrínsecamente conforme con la HIPAA, Google ofrece soluciones especializadas, como Google Workspace for Healthcare, para satisfacer las necesidades específicas de las organizaciones sanitarias. Al aumentar estos controles con la prevención de pérdida de datos en tiempo real y las capacidades de cumplimiento de Aware, las organizaciones sanitarias pueden salvaguardar la PHI en Google Drive y garantizar que su espacio de trabajo digital sigue cumpliendo con la HIPAA.