Is Gmail HIPAA compliant?

Not by default. Google Workspace can be made HIPAA compliant if you configure the correct security settings and sign a Business Associate Agreement (BAA) with Google. The free version of Gmail cannot be made compliant because Google does not offer a BAA for it.

What happens if I send PHI in a regular, unencrypted email?

Sending Protected Health Information in an unencrypted email may result in a reportable HIPAA breach. Depending on how the violation is classified, fines can range from $100 to $50,000 per violation. Regulatory investigations can occur even when organizations believe the risk is minimal.

Do I need a BAA with every vendor that handles my email?

Yes. Any third-party vendor that processes, stores, or transmits electronic Protected Health Information on your behalf, including email providers, archiving services, and encryption tools, must have a signed Business Associate Agreement in place.

Can external patients email me from a regular email account?

Yes, you may respond if the patient initiated contact and understood the risks of using unsecured email. However, you must document this acknowledgment, and you remain responsible for protecting any Protected Health Information you send in your reply.

Proveedores de correo electrónico que cumplen la HIPAA

La mayoría de las consultas sanitarias no empiezan a pensar seriamente en la seguridad del correo electrónico hasta que un paciente se queja o les llega una auditoría. Tres correos electrónicos sin cifrar enviados por accidente son suficientes, que es exactamente lo que ocurrió en un centro médico del área de Memphis, donde el error honesto de un empleado desencadenó una investigación federal y notificaciones obligatorias de infracción a los pacientes afectados. No era malicioso, ni siquiera un hackeo. Era sólo un correo electrónico normal, enviado de forma equivocada.

Eso es lo que pasa con la HIPAA y el correo electrónico. El riesgo suele ser mundano, y eso es lo que hace que sea fácil ignorarlo hasta que es demasiado tarde.

En este artículo, analizaremos de dónde proceden esos riesgos, cómo se aplica la HIPAA al uso cotidiano del correo electrónico y qué deben hacer los profesionales sanitarios para evitar convertirse en el próximo caso de estudio.

Puntos clave

El correo electrónico conforme a la HIPAA requiere encriptación, controles de acceso, registros de auditoría, seguridad en la transmisión y un acuerdo firmado con un socio comercial (BAA); todos ellos tienen que existir juntos
No existe un proveedor universalmente mejor. Mucho depende del tamaño y la configuración de tu consulta; un médico en solitario y una red hospitalaria buscan cosas completamente distintas.

¿Qué es exactamente la HIPAA?

Proveedores de correo electrónico que cumplen la HIPAA y protegen la información sanitaria de los pacientes y la seguridad de los datos

La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios se promulgó en 1996. En un principio, se trataba de proteger la cobertura sanitaria de los trabajadores entre empleos, pero a medida que la asistencia sanitaria se digitalizó, la ley se amplió para abarcar la forma en que se manejan, transmiten y almacenan los datos de los pacientes en todos los canales, incluida la comunicación electrónica.

La ley llama a estos datos Información Sanitaria Protegida, o PHI ( Protected Health Information). Y la PHI es más amplia de lo que parece a primera vista. No se trata sólo de historiales médicos. Los recordatorios de citas, los resultados de laboratorio e incluso una dirección de correo electrónico cuentan, si están vinculados a un servicio sanitario. Cualquier cosa que identifique a un paciente y esté relacionada con su salud es PHI, y en el momento en que la envías por correo electrónico, se aplica la HIPAA.

La Oficina de Derechos Civiles (OCR) vela por su cumplimiento. Las multas oscilan entre 100 y 50.000 dólares por infracción, con un tope anual de 1,5 millones de dólares. Las infracciones intencionadas, en las que conocías las normas y las ignoraste, pueden dar lugar a cargos penales. La mayoría de las infracciones no llegan tan lejos, pero el riesgo económico es lo suficientemente grande como para que no sea algo que se deba resolver con carácter retroactivo.

La encriptación por sí sola no te salvará

Proveedores de correo electrónico que cumplen la HIPAA con encriptación, TLS, registros de auditoría y acuerdos BAA

Hay un error muy común que mete en problemas a los despachos, y es añadir la encriptación a la configuración del correo electrónico, dando por supuesto que el problema está resuelto. Ni mucho menos.

El cumplimiento de la HIPAA para el correo electrónico es en realidad cinco cosas a la vez:

Cifrado, por supuesto.
Controles de acceso (sólo las personas adecuadas pueden leer o enviar PHI)
Registros de auditoría (un registro de quién accedió a qué y cuándo)
Controles de integridad (la PHI no puede alterarse en tránsito)
Seguridad de transmisión (los modernos protocolos TLS protegen los datos cuando se mueven entre servidores).

También hay una parte contractual que no tiene nada que ver con la configuración de tu software. Cualquier proveedor externo de correo electrónico que tenga acceso a tu PHI debe firmar un Acuerdo de Asociación Empresarial (Business Associate Agreement, BAA). Se trata de un documento legal que define cómo protege tus datos el proveedor, qué hace en caso de infracción y de qué es responsable. Si un proveedor no firma uno, no puedes utilizarlo legalmente para la PHI, simple y llanamente.

Lo que plantea la cuestión del correo electrónico gratuito. Yahoo, Hotmail, AOL, ninguno de ellos ofrece BAA para cuentas gratuitas. Tampoco Gmail estándar ni Outlook personal. Sin BAA no hay conformidad, y punto, independientemente de cómo se lea el lenguaje de marketing.

Los tres tipos de soluciones

Comparación de proveedores de correo electrónico que cumplen la hipaa, con BAA y opciones de encriptación

Antes de entrar en proveedores específicos de servicios de correo electrónico, ayuda entender la categoría en la que estás comprando. La respuesta correcta para un terapeuta en solitario no se parece en nada a la respuesta correcta para una red hospitalaria regional.

Las plataformas especializadas de comunicación sanitaria están diseñadas desde cero para los profesionales sanitarios. Vienen con BAA, encriptación y funciones de cumplimiento ya instaladas. Esto requiere una configuración mínima y una puesta en marcha relativamente rápida. La contrapartida es que son más limitadas, lo que significa que estás comprando una herramienta especializada que puede no ser tan flexible como deseas. Es la mejor opción para consultas pequeñas y medianas que quieren algo que funcione nada más sacarlo de la caja.

El correo electrónico de empresa con complementos HIPAA, como Google Workspace y Microsoft 365, puede ser absolutamente conforme. Tanto Google como Microsoft ofrecen BAA y la infraestructura de seguridad necesaria para cumplir la HIPAA. Pero «se puede hacer que cumpla» es hacer mucho trabajo en esa frase. Aún tienes que configurar las políticas de DLP, activar los ajustes de cifrado adecuados, establecer controles de administración y mantener todo ello. La mala configuración es donde se enganchan las prácticas. Este camino funciona bien cuando tienes apoyo informático. Sin él, es una gran responsabilidad.

Los complementos y plugins de cifrado añaden seguridad a cualquier plataforma de correo electrónico que ya estés utilizando y que cumpla la HIPAA. Menor coste, menos problemas. El problema es que sólo son tan buenos como la plataforma base que los sustenta.

Los recordatorios de citas y los seguimientos son inútiles en el spam. InboxAlly ayuda a reconstruir la confianza en la bandeja de entrada generando las acciones de compromiso que los proveedores recompensan, para que tus comunicaciones a pacientes no queden enterradas tras un cambio de dominio, una importación de listas o un pico de volumen. Empieza gratis y comprueba cómo funciona en tu configuración de envío.

Los mejores servicios de correo electrónico que cumplen la HIPAA en este momento

Comparación de las características de los proveedores de correo electrónico que cumplen la hipaa Paubox, LuxSci y ProtonMail

Estas son las opciones que surgen regularmente en los entornos sanitarios. Sin embargo, ninguna de ellas es universalmente correcta, así que ten en cuenta lo que funciona para ti mientras lees esto.

Paubox

Lo mejor para: Consultorios medianos que ya utilizan Google Workspace o Microsoft 365

El argumento de Paubox es que la encriptación debe ser invisible. Sin portales, pasos adicionales para los pacientes ni formación del personal sobre «cómo enviar un correo electrónico seguro». Los mensajes se envían cifrados por defecto, tanto si el servidor del destinatario lo admite como si no, y llegan directamente a la bandeja de entrada como un correo normal.

Ese enfoque es poco frecuente en este espacio, y por eso Paubox ocupa regularmente los primeros puestos de las clasificaciones de G2 y Capterra. Se integra directamente con G Suite y Office 365, incluye un BAA en cada plan de pago y tiene la certificación HITRUST. Los niveles Plus y Premium añaden protección frente a amenazas entrantes, DLP, archivado y transcripción del buzón de voz, si tu consulta los necesita.

Sin embargo, el mínimo de cinco usuarios lo hace menos práctico para los profesionales en solitario, y el precio es más adecuado para un posicionamiento en el mercado medio. No es la opción más barata de la categoría.

Pros:

Encriptación de extremo a extremo sin fisuras
Confianza de los destinatarios
Grandes integraciones
Certificado HITRUST

Contras:

Cinco usuarios como mínimo
Precio más alto
Se requiere cierta configuración DNS previa

Precios: Estándar 29 $/usuario/mes; Plus 59 $; Premium 69 $.

LuxSci

Lo mejor para: Grandes organizaciones sanitarias con necesidades de comunicación complejas

LuxSci lleva en este espacio desde 1999. Tanto Aetna como Beth Israel Lahey Health los utilizan. Ese historial cuenta cuando confías los datos de los pacientes a un proveedor.

Su característica más destacada es SecureLine. Es un sistema de encriptación adaptable que elige el mejor método(SMTP TLS, PGP, S/MIME o Escrow) en función de lo que pueda soportar el servidor del destinatario. En lugar de un enfoque único, se adapta. Es una gran diferencia cuando te comunicas con docenas de sistemas asociados diferentes.

LuxSci también va mucho más allá del correo electrónico, ya que admite formularios web seguros, mensajes de texto, videoconferencias y alojamiento web. Más de lo que necesitan la mayoría de los pequeños despachos, pero estupendo para organizaciones de nivel empresarial que quieren cumplir la normativa y más de una forma de comunicarse.

Pros:

Encriptación adaptativa
Certificado HITRUST
Amplio conjunto de funciones
Larga trayectoria

Contras:

A partir de 50 $/mes
Excesivo para las necesidades de una consulta pequeña

Precios: Planes desde 50 $/mes

ProtonMail (Proton para empresas)

Lo mejor para: Consultorios en los que la privacidad es la principal preocupación

ProtonMail fue construido por investigadores del CERN en Suiza, lo que te dice algo sobre su orientación. La encriptación de acceso cero significa que el propio Proton no puede leer tus correos encriptados. Los datos se almacenan conforme a la legislación suiza sobre privacidad. Su infraestructura principal de servidores se encuentra en una instalación subterránea bajo 1.000 metros de granito, lo que suena extremo hasta que consideras lo que está en juego.

La BAA está disponible en los planes para empresas, que es el único nivel que deberías considerar para PHI. La interfaz requiere algunos ajustes si vienes de Gmail o Outlook. Además, merece la pena comprobar los límites de envío diario en los niveles inferiores en función de tu volumen. Pero ésta es una opción seria para una consulta en la que la privacidad del paciente es la estrella del norte.

Pros:

Cifrado de acceso cero
Jurisdicción suiza
Código abierto
Privacidad de primera

Contras:

Curva de aprendizaje de la interfaz
Límites de envío en los niveles inferiores
Se necesita Proton Bridge para los clientes de escritorio

Precios: Planes para empresas desde 6,99 $/usuario/mes

Algunas cosas que debes saber cuando evalúes estas herramientas

Proveedores de correo electrónico que cumplen la Hipaa con BAA, registros de auditoría y políticas DLP

Lee el BAA antes de firmarlo. Algunos proveedores ofrecen un BAA, pero lo redactan de forma que te transfieren a ti la responsabilidad de notificar las infracciones, limitan considerablemente su responsabilidad o excluyen a los subcontratistas. Un BAA firmado no es lo mismo que un BAA protector.

La experiencia del paciente importa más de lo que crees. La solución más segura del mundo no sirve de nada si los pacientes no la utilizan. Si para leer un mensaje hay que crear una cuenta de portal segura mediante un inicio de sesión de varios pasos y descargar una aplicación, muchos pacientes (sobre todo los mayores) simplemente no se molestarán.

Los registros de auditoría deben ser exportables. Durante una investigación, necesitas producir rápidamente registros limpios. Si los registros existen pero no se pueden exportar en un formato utilizable, no te ayudarán bajo presión.

Las políticas de DLP son el lugar donde se produce el cumplimiento. No puedes confiar en que el personal marque manualmente cada correo sensible. Busca plataformas con encriptación automática basada en el contenido.

La entregabilidad es un problema aparte, y está relacionado

El cumplimiento protege a tus pacientes. La entregabilidad determina si tus correos electrónicos llegan realmente a ellos.

Son problemas diferentes, pero se entrecruzan. Si realizas recordatorios de citas, divulgación a pacientes o cualquier tipo de comunicación sanitaria en volumen, tu dominio necesita un buen historial de comportamiento antes de que se envíen esos correos electrónicos.

Cuando tus correos electrónicos son totalmente conformes pero siguen aterrizando en el spam, el problema es de comportamiento. InboxAlly genera las señales de compromiso que los proveedores de bandejas de entrada realmente buscan, para que tus comunicaciones con los pacientes lleguen donde deben. Pruébalo gratis y verás cómo se reconstruye esa confianza en la práctica.

PREGUNTAS FRECUENTES

¿Cumple Gmail la HIPAA?
▼

No por defecto. Google Workspace puede ser conforme si configuras los ajustes adecuados y firmas un BAA con Google directamente. La versión gratuita de Gmail no puede, ya que Google no ofrece un BAA para ella.

¿Qué ocurre si envío PHI en un correo electrónico normal sin cifrar?
▼

Estás ante un posible informe de infracción, y dependiendo de cómo se clasifique, las multas oscilan entre 100 y 50.000 dólares por infracción. El caso de la investigación federal del centro médico de Memphis es un buen recordatorio de que el umbral de «suficientemente grave para investigar» es más bajo de lo que la mayoría de la gente supone.

¿Necesito un BAA con cada proveedor que gestione mi correo electrónico?
▼

Sí. Cualquier servicio de terceros que procese, almacene o transmita Información Sanitaria Protegida electrónica en tu nombre (proveedor de correo electrónico, servicio de archivo, complemento de encriptación) necesita un BAA firmado.

¿Pueden los pacientes externos enviarme correos electrónicos desde una cuenta de correo normal?
▼

Puedes responder si el paciente inició el contacto y comprendió los riesgos que entrañaba, pero asegúrate de documentarlo. Su elección de utilizar un correo electrónico no seguro no cambia tu responsabilidad por lo que envíes de vuelta.

Proveedores de correo electrónico que cumplen la HIPAA: Lo que debes saber

Puntos clave

¿Qué es exactamente la HIPAA?

La encriptación por sí sola no te salvará

Los tres tipos de soluciones

Los mejores servicios de correo electrónico que cumplen la HIPAA en este momento

Paubox

LuxSci

ProtonMail (Proton para empresas)

Algunas cosas que debes saber cuando evalúes estas herramientas

La entregabilidad es un problema aparte, y está relacionado

PREGUNTAS FRECUENTES