Cumplimiento de la HIPAA para Google Workspace

La seguridad de los datos y el cumplimiento de la normativa son especialmente importantes cuando se trata de información sanitaria delicada. Asegurarse de que sus herramientas y plataformas empresariales cumplen las normas reglamentarias es crucial para mantener la confianza de sus pacientes y evitar costosas sanciones. La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) establece requisitos estrictos para la protección de los datos de los pacientes, por lo que es vital plantearse la pregunta: ¿Cumple Google Workspace la HIPAA?

¿Cumple Google Workspace la HIPAA?

Google Workspace es compatible con la HIPAA a través de una serie de medidas de cumplimiento que protegen los datos confidenciales de los usuarios, incluidas las configuraciones para el correo electrónico conforme a la HIPAA y la posibilidad de implementar la autenticación de dos factores en las cuentas de Workspace. Sin embargo, para cumplir plenamente con la HIPAA mientras utilizan Google Workspace, los usuarios finales también deben tomar las medidas adecuadas para garantizar la seguridad de la PHI y otros datos confidenciales mientras utilizan Workspace dentro de un entorno sanitario.

Algunos ejemplos son la firma de un acuerdo de asociación empresarial (Business Associate Agreement, BAA) de la HIPAA con Google, la restricción de la PHI únicamente a los servicios seguros de Google y la formación periódica de los empleados sobre sus responsabilidades en virtud de la HIPAA para proteger la información de los pacientes.

¿Qué es HIPAA?

La HIPAA regula el modo en que las entidades sanitarias cubiertas deben salvaguardar la información de los pacientes durante las transacciones rutinarias. Consta de varias normas y reglamentos, cada uno de los cuales sirve a un propósito único.

• Regla de privacidad: establece normas para la protección de los historiales médicos y la información sanitaria protegida (PHI) de las personas.
• Regla de seguridad-Define las salvaguardas que deben existir para proteger la PHI electrónica (ePHI), garantizando su confidencialidad, integridad y disponibilidad.
• Regla de identificadores únicos-Asigna identificadores únicos a los proveedores sanitarios, planes de salud y empleadores para estandarizar las transacciones electrónicas.
• Regla de transacciones y conjuntos de códigos: establece las normas para las transacciones electrónicas de asistencia sanitaria, incluidos los conjuntos de códigos para diagnósticos y procedimientos.
• Regla de aplicación-Subraya las sanciones y los procedimientos para hacer cumplir las demás reglas de la HIPAA.

¿Qué es la información sanitaria protegida (PHI)?

La PHI es cualquier información sanitaria identificable individualmente, incluidos los nombres de los pacientes, las direcciones, los números de la seguridad social y los historiales médicos. La HIPAA regula estrictamente el uso, la divulgación y el almacenamiento de la PHI.

El cumplimiento de la HIPAA no es sólo una casilla de verificación: afecta a cómo se recopilan los datos, cuánto tiempo pueden almacenarse y cómo deben protegerse. El incumplimiento intencionado de la HIPAA puede acarrear sanciones de 50.000 dólares o más por incidente.

¿Cumple Google Workspace la HIPAA?

Google Workspace -antes G-suite- es la respuesta de Google a Microsoft Office, y engloba la gama de servicios basados en la nube de Google. Con Google Workspace, las empresas pueden gestionar un lugar de trabajo digital cohesionado e interconectado al que pueden acceder todos sus empleados desde cualquier lugar.

Las entidades cubiertas por la HIPAA, como los proveedores de asistencia sanitaria, las compañías de seguros y las cámaras de compensación que eligen los servicios de Google para sus necesidades empresariales, deben comprender el modo en que la plataforma Workspace es compatible con las normativas de la HIPAA y cumple con sus obligaciones de protección de la información sanitaria protegida.

Fuera de la caja, Google Workplace no es totalmente compatible con la HIPAA. Las empresas deben tomar varias medidas para garantizar una configuración adecuada para el uso conforme a la HIPAA, que pueden seguirse utilizando la Guía de implementación de la HIPAA de Google.

Algunos pasos esenciales hacia el cumplimiento de la HIPAA en Google Workspace incluyen:

• Utilizando una versión de pago de Google Workspace, como Google Workspace Enterprise.
• Firma de un BAA con Google. Un BAA es un documento legalmente vinculante que establece a Google como asociado comercial de "" y describe sus responsabilidades en cuanto a la protección de la ePHI.
• Configuración de Workspace para la PHI, incluida la limitación de la PHI a los servicios básicos, la restricción del acceso al personal autorizado y la implementación del cifrado para proteger los datos.

Los productos Google Workspace y el cumplimiento de la HIPAA

Con Google Workspace, las organizaciones sanitarias cubiertas por la HIPAA disponen de una amplia gama de productos para trabajar de forma flexible y colaborativa en un entorno seguro. Estos productos incluyen Gmail, Google Drive, Google Meet, Calendar, Google Sites, Google Cloud Identity Management y Google Apps Script, entre otros.

Google también sigue integrando avances de IA como Google Gemini, pero las organizaciones deben verificar que dichas herramientas se ajustan a las normas de cumplimiento antes de manipular la PHI.

Las entidades cubiertas deben garantizar el cumplimiento de la HIPAA para cada uno de estos productos de Google. Para ello, compruebe el nivel de suscripción de su espacio de trabajo y la configuración de cada aplicación que utilice su organización.

Las limitaciones de las cuentas gratuitas de Gmail para el cumplimiento de la HIPAA

Aunque Google Workspace cumple con la HIPAA, las cuentas gratuitas de Gmail no son adecuadas para el manejo de PHI. Las cuentas gratuitas de Gmail carecen de las funciones de seguridad y los controles administrativos necesarios para cumplir la normativa HIPAA.

Las organizaciones sanitarias que utilizan cuentas gratuitas de Gmail se exponen al riesgo de incumplimiento, ya que no pueden firmar con Google un Acuerdo de Asociado Empresarial (BAA), que es un paso obligatorio para garantizar el cumplimiento de la HIPAA.

Además, las cuentas de Gmail gratuitas no ofrecen las configuraciones de seguridad avanzadas disponibles en Google Workspace, como el cifrado del correo electrónico conforme a la HIPAA, la prevención de pérdida de datos (DLP) y el registro de auditorías. En consecuencia, el uso de cuentas gratuitas de Gmail para almacenar o transmitir PHI puede dar lugar a violaciones de datos y repercusiones legales.

¿Qué es un Acuerdo de Asociado Empresarial (AAB) y por qué es importante?

Un BAA es un contrato legalmente vinculante entre un proveedor sanitario cubierto por la HIPAA y un contratista externo, como un proveedor de SaaS como Google Workspace. Entre las razones clave por las que un BAA es importante para el cumplimiento de la HIPAA se incluyen:

• Definir el uso y las divulgaciones permisibles de la información sanitaria protegida por parte del asociado comercial, limitando su uso a lo estrictamente necesario.
• Esbozar la obligación del tercero de establecer salvaguardias para proteger la privacidad y la seguridad de la PHI, incluidas las administrativas, técnicas y físicas.
• Exigir la notificación de cualquier violación de la PHI para que el proveedor de asistencia sanitaria pueda iniciar los procedimientos de mitigación.
• Extender el cumplimiento de la HIPAA a los socios comerciales para que sean ellos los que deban hacer frente a las multas y sanciones por infracciones en lugar del proveedor de asistencia sanitaria.
• Garantizar que los terceros exijan a sus subcontratistas las mismas protecciones de la PHI para evitar lagunas de cumplimiento en la cadena de proveedores.

Pasar por alto un BAA puede crear lagunas de cumplimiento entre las organizaciones sanitarias y los proveedores externos que dejan espacio para riesgos de responsabilidad innecesarios.

Para firmar un BAA con Google Workspace:

Asegúrese de que su nivel de suscripción es el nivel Enterprise. A continuación, inicie sesión en la Admin Console como administrador. Vaya a Configuración de la cuenta y, a continuación, al área Legal y de cumplimiento. Desplácese hasta las "Condiciones adicionales de seguridad y privacidad" y localice la "Enmienda de asociado comercial de HIPAA de Google Workspace/Cloud Identity".

Haga clic en "No aceptado" y después en "Revisar y aceptar" para revisar detenidamente las condiciones. Una vez que haya leído detenidamente el BAA, responda a las tres preguntas de confirmación. Por último, haga clic en "Acepto" para firmar el BAA de Google.

Se requieren más pasos para que Google Workspace cumpla la HIPAA, pero la firma de la BAA de la HIPAA es un comienzo necesario.

Cómo hacer que Google Workspace cumpla la HIPAA

El cumplimiento de la HIPAA en Google Workspace implica varios pasos que garantizan el almacenamiento, la manipulación y la supervisión adecuados de la PHI.

• Firme un BAA con Google en el que se describan las responsabilidades de cada parte para garantizar el tratamiento conforme de los datos confidenciales. Cabe señalar que el BAA sólo está disponible para los usuarios de Google Workspace con los planes de suscripción Enterprise.
• Configure Workspace para cumplir las normas HIPAA utilizando las funciones disponibles de Google y las integraciones de terceros. Los factores variables, incluida la autenticación de dos factores, el cifrado, los controles de acceso de terceros, la revocación de permisos a aplicaciones de Workspace no utilizadas y las prácticas de almacenamiento de datos deben abordarse para cumplir los requisitos actuales de la HIPAA.
• La creación de notificaciones para detectar actividades sospechosas en Workspace, la configuración de grupos de usuarios adecuados y la seguridad del correo electrónico son también métodos aconsejables para mantener el cumplimiento de la HIPAA en toda la plataforma Workspace.
• Los empleados también deben recibir formación sobre sus obligaciones para salvaguardar los datos según la HIPAA. Esto incluye la revisión de las mejores prácticas para el manejo de la PHI electrónica y la definición de las normas y protocolos de la empresa para acceder o transmitir la PHI.

Para un cumplimiento continuo y para mitigar las violaciones de la HIPAA lo antes posible, se pueden tomar medidas adicionales. Entre ellas se incluyen:

• Auditoría y supervisión periódicas de Google Workspace para comprobar el cumplimiento de la HIPAA. En caso de que salga a la luz alguna infracción, gestiónela rápidamente dentro de los procesos de su organización.
• Establecimiento de políticas de uso aceptable para los servicios principales de Google Workspace. Estas normas de conducta proporcionarán a los empleados el marco que necesitan para los riesgos de cumplimiento más comunes a los que se enfrentan.
• Desarrollar indicadores clave de rendimiento, como el seguimiento de las infracciones, los índices de finalización de la formación y la eficacia de las acciones correctivas, para medir y supervisar el cumplimiento.
• Fomentar una cultura de cumplimiento y ética. Un código de conducta, formación en materia de cumplimiento, políticas y un manual de cumplimiento fácilmente disponible contribuirán en gran medida a crear una mentalidad de cumplimiento eficaz.

También es importante proteger y preservar la PHI y otros datos confidenciales con sólidos mecanismos de copia de seguridad y recuperación que garanticen el cumplimiento de los requisitos de retención, preservando al mismo tiempo la integridad y disponibilidad de los datos.

¿Es el cumplimiento de la HIPAA toda la cobertura que necesita?

Aunque el cumplimiento de la HIPAA es crucial para las organizaciones sanitarias, no es la única normativa que podría aplicarse a su empresa. Dependiendo de su sector y de la naturaleza de sus operaciones, otras normas de cumplimiento, como HITRUST, también pueden ser relevantes. Es esencial que evalúe exhaustivamente sus necesidades específicas de cumplimiento y que explore cómo configurar Google Workspace para satisfacer todas las obligaciones de cumplimiento que rigen su lugar de trabajo digital.

Cómo Mimecast Aware puede apoyar el cumplimiento de la HIPAA en Google Workspace

Aware permite a las organizaciones sanitarias y otras entidades cubiertas cumplir sus obligaciones de conformidad con la HIPAA dentro de las herramientas digitales en las que colaboran los empleados.

La integración nativa con Google de Mimecast Aware:

• Respalda la mitigación de riesgos y el cumplimiento de la normativa dentro de este conjunto de datos utilizando flujos de trabajo de IA de procesamiento del lenguaje natural (PLN) líderes del sector que salvaguardan los datos mediante automatizaciones impulsadas por palabras clave y expresiones regulares (regex).
• Proporciona una visión continua de conjuntos de datos complejos mediante flujos de trabajo fácilmente configurables, identificando rápidamente posibles violaciones de datos, facilitando una rápida reparación y mejorando la ciberseguridad.
• Utiliza búsquedas federadas para reducir el tiempo de investigación y un control de acceso basado en funciones para limitar la exposición a la ePHI y el riesgo para la seguridad.

Solicite una demostración para descubrir cómo Mimecast Aware detecta de forma proactiva los accesos no autorizados y los comportamientos de riesgo y respalda el cumplimiento de la HIPAA para los productos de Google.

Primera publicación en octubre de 2023. Actualizado abr. 2024.