¿Cumple Zoom la HIPAA?

Zoom es una plataforma de videoconferencia basada en la nube y un software de mensajería instantánea utilizado por empresas de todos los tamaños y de todos los sectores para reunir a los equipos y colaborar de forma más rápida y eficaz en el lugar de trabajo. Sin embargo, los usuarios de Zoom en sectores muy regulados como la sanidad deben cumplir la legislación gubernamental, como la HIPAA. Los proveedores sanitarios deben tomar medidas adicionales cuando utilicen Zoom para asegurarse de que lo hacen cumpliendo la HIPAA. 

¿Qué es el zoom? 

Zoom, una popular herramienta de videoconferencia, permite a los usuarios (con o sin cuenta de Zoom) celebrar reuniones virtuales con participantes de todo el mundo. Zoom es una plataforma muy popular para uso empresarial y se hizo enormemente popular cuando los empleados se vieron obligados a trabajar a distancia durante la pandemia. Zoom proporciona vídeo y chat en tiempo real e incluye funciones como compartir pantalla, alojamiento de seminarios web, transcripciones automáticas y mucho más. Zoom está disponible para casi todos los dispositivos y sistemas operativos. 

¿Qué es el chat de equipo de Zoom? 

Zoom Team Chat es una función de mensajería de la plataforma de videoconferencia Zoom que permite a los usuarios enviar mensajes basados en texto durante una reunión de Zoom o fuera de ella. Esto permite la comunicación en tiempo real entre los miembros del equipo, tanto si se encuentran en la misma ubicación física como a distancia. Con Zoom Team Chat, los usuarios pueden compartir ideas, archivos y enlaces, y colaborar en proyectos de forma ágil a través de mensajes privados y de grupo y canales públicos organizados por temas. 

¿Qué es la HIPAA? 

Según la legislación estadounidense, la información sensible sobre su salud y tratamiento médico está protegida por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Esta ley crea normas nacionales para controlar la información sanitaria protegida (PHI) y la PHI electrónica (ePHI). Las entidades cubiertas por la HIPAA, como los proveedores de atención sanitaria, deben seguir un estricto conjunto de normas para garantizar que no se acceda ilegalmente a la PHI que manejan ni se filtre.  

¿Cumple Zoom la HIPAA en 2023? 

El servicio estándar de Zoom no cumple los requisitos de la ley HIPAA, por lo que las organizaciones sanitarias deben utilizar el servicio dedicado Zoom for Healthcare, especialmente cuando presten servicios de telesalud. Zoom for Healthcare ha sido diseñado específicamente para cumplir las normas de seguridad y privacidad exigidas por la HIPAA, salvaguardando la información sanitaria protegida (PHI) que se comparte en las reuniones de Zoom. Sin embargo, dado que la tecnología de Zoom no es certificable ni por la Oficina del Coordinador Nacional de Tecnología de la Información Sanitaria ni por el Instituto Nacional de Normas y Tecnología, Zoom no cuenta oficialmente con la certificación HIPAA. 

¿Qué es Zoom para la sanidad? 

Zoom dispone de un servicio específico, denominado Zoom for Healthcare, que está diseñado para cumplir los requisitos de la HIPAA. Este servicio incluye funciones como la encriptación de extremo a extremo, controles de acceso y mensajería segura, que pueden ayudar a proteger la confidencialidad, integridad y disponibilidad de la información de los pacientes. 

¿Por qué el Zoom no cumple la HIPAA en todos los casos? 

La HIPAA es una serie de normas de protección de datos que se aplican a la información sanitaria protegida (PHI). Dado que estos datos son confidenciales, requieren un tratamiento más seguro y considerado que otros tipos de datos menos sensibles. 

Zoom se diseñó para que la comunicación y el intercambio de información fueran más rápidos y sencillos. Adherirse a unas normas estrictas de seguridad de los datos en todos los casos dificultaría el uso del Zoom, lo que en última instancia anularía su objetivo principal en el mercado. Por lo tanto, herramientas como Zoom no cumplen con la HIPAA de serie, pero tienen la capacidad de ser utilizadas de una manera que cumpla con la HIPAA. 

¿Cumple Zoom la HIPAA con un BAA? 

Al hacer negocios, las organizaciones cubiertas por la Regla de Privacidad de la HIPAA, como los proveedores de atención sanitaria, deben asegurarse de que sus socios, asociados y contratistas también salvaguardan los datos PHI que manejan. Un Acuerdo de Asociado Comercial de la HIPAA (Business Associate Agreement, BAA) es un acuerdo legal que describe las precauciones que cada parte tomará para proteger la PHI y mantener segura esa información. Zoom suscribirá BAA con los usuarios de Zoom for Healthcare o con aquellos que tengan planes de pago de Zoom. Se trata de un paso importante para que cualquier entidad cubierta cumpla la HIPAA mientras utiliza Zoom. 
¿Qué plan de Zoom cumple la HIPAA? 

Para proteger la PHI, los profesionales sanitarios deben utilizar el plan Zoom for Healthcare para la telesalud, las consultas de pacientes y otras necesidades de conferencias web en las que se pueda compartir la PHI. Otras versiones de Zoom, como Zoom Pro, y paquetes como Zoom One, pueden utilizarse de forma que cumplan la normativa HIPAA, pero es posible que no contengan todas las funciones necesarias para garantizar la privacidad de los datos. Zoom Basic, el plan gratuito de Zoom, no cumple la HIPAA porque no permite a los usuarios suscribir un BAA con Zoom. 

Cómo hacer que las llamadas y reuniones con Zoom cumplan la HIPAA 

El cumplimiento de la HIPAA implica proteger los datos PHI. Por lo tanto, seguir las mejores prácticas generales de seguridad de datos puede ayudar a una empresa a utilizar el Zoom de forma que cumpla la normativa HIPAA. Algunos ejemplos de cómo proteger la PHI y los datos sensibles en las reuniones de Zoom incluyen: 

• Utilizar siempre un código de acceso a la reunión, incluso cuando utilice su ID de reunión personal 
• Apruebe y admita a los participantes individualmente utilizando la función de sala de espera 
• Restrinja los participantes en la reunión a cuentas con sesión iniciada o a usuarios de dominios específicos 
• Bloquee las reuniones para evitar que los usuarios se unan después de la hora de inicio 
• Desactivar las funciones de pantalla compartida y grabación para los participantes en la reunión 

En muchos casos, los propietarios de las cuentas pueden habilitar automáticamente estos ajustes para todos los usuarios, de forma que pueda asegurarse de que los empleados siguen siempre las mejores prácticas de seguridad de la información mientras utilizan Zoom. 

¿Qué otros pasos son necesarios para que Zoom cumpla la HIPAA? 

Zoom puede cumplir la HIPAA para la telemedicina si se aplican determinadas medidas de seguridad y privacidad. Algunas de las funciones de seguridad incluidas en Zoom for Healthcare que hacen que cumpla la HIPAA son: 

1. Cifrado de extremo a extremo: Zoom for Healthcare proporciona encriptación de extremo a extremo para todas las videollamadas, el audio y el contenido del chat para proteger la confidencialidad de la información de los pacientes.
2. Controles de acceso: Zoom for Healthcare permite a los usuarios restringir el acceso a las reuniones y controlar quién puede unirse, compartir contenidos y participar en la reunión.
3. Mensajería segura: Zoom for Healthcare proporciona mensajería segura para que los profesionales sanitarios puedan comunicarse con los pacientes y otros profesionales sanitarios protegiendo la privacidad de la información de los pacientes.
4. Acuerdo firmado de asociado comercial (BAA): Zoom for Healthcare proporciona un Acuerdo de Asociado Comercial (BAA) firmado que describe las responsabilidades y obligaciones de Zoom como asociado comercial de la HIPAA.

Para asegurarse de que Zoom cumple plenamente la HIPAA, las organizaciones también deben aplicar medidas de seguridad adicionales, como establecer contraseñas seguras, configurar la autenticación de dos factores y formar a los empleados sobre el cumplimiento de la HIPAA. 

¿Cumplen las transcripciones de Zoom la HIPAA? 

Zoom ofrece a los clientes de licencias Business, Education y Enterprise la posibilidad de generar transcripciones de audio en directo de las reuniones. Se trata de transcripciones generadas por máquinas que utilizan programas informáticos de conversión de voz a texto y tienen distintos grados de precisión en función de la calidad del audio, los acentos del hablante, el ruido de fondo y la complejidad del lenguaje utilizado. Para los usuarios de Zoom for Healthcare, las transcripciones en directo pueden ser útiles cuando hablan con pacientes sordos o con dificultades auditivas. Los usuarios de Zoom for Healthcare también tienen la posibilidad de descargar una transcripción de audio y guardarla en la historia clínica electrónica de sus pacientes. 

Cualquier usuario dentro de la llamada de Zoom puede guardar la transcripción escrita a menos que esta función esté desactivada por el anfitrión de la reunión. Esto puede comprometer los datos PHI si el archivo no se guarda en un repositorio seguro y debe tenerse en cuenta antes de que los usuarios generen una transcripción utilizando Zoom. 

¿Cómo soporta Mimecast el cumplimiento de la HIPAA en Zoom Team Chat? 

Nuestra plataforma de inteligencia de colaboración se conecta con Zoom Team Chat para señalar automáticamente los riesgos de seguridad de los datos en tiempo real. 

• Funciones integrales de privacidad y cumplimiento  
• Estrictos controles de acceso basados en roles (RBAC) 
• Políticas de retención granular para la regulación de datos 
• Cumplimiento y detección de riesgos en tiempo real 

Con Mimecast Aware, las organizaciones sanitarias pueden salvaguardar la PHI mediante sólidos flujos de trabajo de cumplimiento de la normativa respaldados por el procesamiento del lenguaje natural (PLN) líder del sector. Los administradores pueden personalizar los permisos de su organización para dirigir la información restringida a resultados más precisos y menos falsos positivos, lo que hace que el cumplimiento de la HIPAA sea más rápido y fácil de implementar y mantener en Zoom Team Chat.  

Mimecast Aware también admite funciones avanzadas de búsqueda federada para identificar información confidencial dentro del chat de equipo de Zoom mediante una amplia gama de parámetros, como expresión regular (regex), palabra clave, custodio, fecha/hora, sentimiento y mucho más. Esto permite realizar investigaciones internas, respuestas a incidentes de seguridad y consultas sobre la libertad de información de forma más rápida y eficaz. 

Con Mimecast Aware, las organizaciones sanitarias pueden respaldar las políticas de gestión de datos conformes con la HIPAA en Zoom Team Chat junto con las capacidades HIPAA nativas de Zoom y las políticas y procedimientos internos.