Los inicios
El correo electrónico ha existido desde el comienzo de Internet. ¿Ya que todos tienen una cuenta de correo electrónico que desearía recibir documentos por correo postal? ¿Qué puede salir mal?
Bueno, para empezar, el Departamento de Salud y Servicios Humanos identifica a más de 100 organizaciones a las que se les ha robado información personal de salud (PHI) por correo electrónico.
Situaciones como esta demuestran que el correo electrónico es una forma muy insegura de enviar cualquier cosa. Esto no es nuevo, se remonta a sus orígenes.
El problema con el correo electrónico
Cuando se inventó el correo electrónico, Internet era un lugar diferente. Estaba compuesto principalmente por instituciones académicas y de investigación con personas que probablemente se conocerían en persona. El acceso a esta red era altamente controlado, esotérico y costoso.
Los usuarios estaban dispuestos a extender mucha confianza en los mensajes y los creadores de correos electrónicos. Cuando alguien dijo que eran Peter Smith de harvard.edu, tendías a creerles.
Por lo tanto, el sistema de comunicación de la época, el correo electrónico, no tenía que preocuparse de que las personas capturaran sus mensajes en el transporte, los leyeran para publicidad o ganancias nefastas, y / o fingieran ser otras personas para extraerle información, etc.
Avancemos rápidamente hasta hoy y todas estas cosas son comunes. El correo electrónico es el principal vector de ataque en la vida de las personas.
Bloques de construcción problemáticos
La forma en que se transmite el correo electrónico entre las organizaciones también contribuye en gran medida a este problema.
- El remitente crea el correo electrónico y lo envía a su servidor local.
- El servidor local tiene que buscar dónde está el destino.
- Pasará el correo electrónico a través de varias paradas al servidor autorizado.
- El servidor receptor se distribuirá al servidor de almacenamiento.
- La estación de trabajo de los destinatarios extraerá el mensaje de su servidor local.
Hay muchas partes en esta tubería de transmisión. Cada vez que se envía un correo electrónico al siguiente salto, puede cruzar Internet donde un atacante puede interceptarlo. Una copia del mensaje normalmente se almacena en cada máquina que es una parada en el viaje. Por lo tanto, existen muchas copias. Y dada la complejidad de los servidores, se crean muchas entradas de registro que hacen referencia a su correo electrónico y sus datos.
Esto no puede ser fácilmente reparado retroactivamente.
Guia
El HHS no dice que no puede enviar PHI por correo electrónico, solo le advierte que "implemente un mecanismo para encriptar la PHI electrónica cuando lo considere apropiado". Por lo tanto, teóricamente, puede enviar correos electrónicos interna y externamente siempre que sea seguro y esté encriptado.
Debe garantizar que los correos electrónicos sean seguros tanto en reposo como en tránsito. Qué significa esto:
En reposo
Cuando el correo electrónico está en servidores y estaciones de trabajo, debe estar protegido por encriptación.
En tránsito
Cuando el correo electrónico se mueve entre servidores a través de las redes, también debe protegerse mediante encriptación.
Hay algunos problemas inmediatos.
- No tiene control sobre el cifrado en los servidores de destino fuera de su organización en reposo.
- Aunque puede enviar la información al destino a través de una conexión de red encriptada como TLS, tendrá poco control sobre cómo se envía desde allí a su destino.
- Cuando encripta contenido, el destinatario debe poder desencriptar el mensaje. La mayoría de los pacientes y consumidores no son lo suficientemente sofisticados como para hacerlo.
Sin embargo, para agregar un insulto a las lesiones, incluso si encripta los correos electrónicos correctamente, asegúrese de que estén protegidos en el transporte y que el destinatario pueda abrirlos y leerlos, ahora tiene que solucionar un error crítico de encriptación de correos electrónicos. Según el Washington Post, su aplicación de correo electrónico podría exponer sus mensajes cifrados.
Como regla general, los servicios gratuitos y los servicios de correo electrónico basados en Internet (Gmail, Yahoo, Outlook) no se consideran seguros para la transmisión de PHI. El envío hacia y desde ellos debe evitarse. Sin embargo, tampoco es una tarea fácil habilitar los correos electrónicos compatibles con HIPAA PHI con socios corporativos.
Puede establecer Acuerdos de Asociados Comerciales, pero usted es en última instancia responsable de la seguridad de los datos. En 2012, Phoenix Cardiac Surgery pagó $100,000 por no tomar las medidas adecuadas y utilizar el correo electrónico basado en Internet. HIPAA declara que la entidad / persona que realiza la transmisión es la parte responsable.
¿Debería enviar un correo electrónico entonces?
Parece que nunca debería usar el correo electrónico, ya que no puede controlar qué sistema de correo electrónico usan sus pacientes. Además, tener contratos BAA con todos los proveedores no es factible y puede no ser efectivo en primer lugar.
Para hacer esto un poco más fácil y permitir que los pacientes tengan acceso razonable, el HHS aún le permite enviar correos electrónicos, incluso cuando los mensajes no están encriptados. Debe informar a los pacientes sobre el riesgo individual y ellos deben aceptar este método de comunicación.
¿Significaría eso que toda la precaución anterior puede ser arrojada fuera de la ventana?
No tan rapido. Hay algunas otras cosas a considerar:
- Deberías documentar estas conversaciones.
- Debe decirles que el correo electrónico no es seguro y que es arriesgado.
- Debe tener otra opción totalmente segura para que el paciente reciba la información.
¿Cuáles son mis alternativas?
Hay una serie de alternativas que han surgido a lo largo de los años que ofrecen una transmisión segura de mensajes. Desde portales para pacientes hasta servicios de correo electrónico especializados, todos tienen su parte de ventajas y desventajas.
Nosotros, en XcooBee, creemos que el correo electrónico es una tecnología fundamentalmente defectuosa que, sin importar la cantidad de modificación que se realice, no se puede adoptar para una comunicación segura todo el tiempo.
Los portales de pacientes, por otro lado, son difíciles de manejar para los pacientes. Después del décimo registro, el atractivo disminuye. ¿A qué portal accedo para conectarme con el Proveedor X frente al Proveedor Y? Especialmente en los mercados de atención médica con cambios constantes. Esto deja sin mencionar el ataque continuo a través de correos electrónicos del portal que bombardean los buzones de correo electrónico de los pacientes.
Entra XcooBee
XcooBee es una red de privacidad. Fue inventado desde cero para abordar problemas de privacidad y seguridad como el envío cifrado de documentos de extremo a extremo. Todos tienen una dirección, su XcooBee Id o XId. Siempre que conozca el XId, puede comunicarse con cualquier persona de forma segura y transparente.
Los destinatarios no necesitan tener una cuenta XcooBee para acceder a los documentos cuando los envían suscriptores pagos de XcooBee. En todos los casos hay recibos de entrega y recogida para cerrar el ciclo de envío.
El uso de XcooBee tiene muchas más ventajas, desde la gestión de consentimiento específico hasta el seguimiento de recibos, borrados de registros y el derecho a ser olvidado. Es hora de mirar más allá del correo electrónico y tomar vuelo con XcooBee.