Zavio está diseñado para ayudar a las organizaciones de salud a operar en cumplimiento con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Esta página describe nuestros compromisos como Asociado Comercial.
1. Nuestro Rol Bajo HIPAA
Zavio actúa como Asociado Comercial (BA) bajo HIPAA cuando procesamos Información de Salud Protegida (PHI) en nombre de organizaciones de salud que son Entidades Cubiertas. Solo procesamos PHI bajo la dirección de nuestros clientes.
2. Acuerdo de Asociado Comercial (BAA)
Antes de que se procese cualquier PHI a través de Zavio, debe existir un Acuerdo de Asociado Comercial firmado entre Zavio y tu organización. El BAA establece cómo:
- Usamos y divulgamos PHI solo según lo permitido por el acuerdo y HIPAA
- Implementamos salvaguardas apropiadas para proteger la PHI
- Notificamos brechas de PHI no asegurada a la Entidad Cubierta
- Garantizamos que los subcontratistas cumplan las mismas restricciones
- Devolvemos o destruimos la PHI al terminar el acuerdo
Para solicitar un BAA, contacta hello@zaviocare.com.
3. Salvaguardas Administrativas
- Oficial de Seguridad HIPAA designado responsable del cumplimiento
- Capacitación del personal en requisitos HIPAA y manejo de PHI
- Políticas de gestión de acceso — principio de acceso mínimo necesario
- Evaluaciones de riesgo y seguridad regulares
- Procedimientos de respuesta a incidentes y notificación de brechas
- Gestión de proveedores — todos los subprocesadores con acceso a PHI firman BAAs
4. Salvaguardas Físicas
- Datos alojados en centros de datos con certificación SOC 2 Tipo II
- Controles de acceso físico en todas las instalaciones que manejan PHI
- Políticas de uso de estaciones de trabajo para el personal que accede a PHI
- Procedimientos de eliminación segura de medios
5. Salvaguardas Técnicas
- Cifrado en tránsito: TLS 1.2+ para toda transmisión de datos
- Cifrado en reposo: Cifrado AES-256 para toda PHI almacenada
- Controles de acceso: Acceso basado en roles con IDs únicos de usuario y autenticación
- Registros de auditoría: Registro completo de todos los accesos y modificaciones de PHI
- Cierre de sesión automático: Tiempos de espera de sesión para prevenir acceso no autorizado
- Integridad de datos: Mecanismos para garantizar que la PHI no se altere ni destruya incorrectamente
6. Notificación de Brechas
En caso de una brecha de PHI no asegurada, Zavio notificará a las Entidades Cubiertas afectadas sin demora irrazonable y no más tarde de 60 días después del descubrimiento, según lo exige la Regla de Notificación de Brechas de HIPAA.
7. Derechos Individuales
Zavio apoyará a las Entidades Cubiertas para cumplir con los derechos individuales bajo HIPAA, incluyendo:
- Derecho de acceso a la PHI (45 CFR § 164.524)
- Derecho a enmienda de PHI (45 CFR § 164.526)
- Derecho a un registro de divulgaciones (45 CFR § 164.528)
- Derecho a solicitar restricciones sobre usos y divulgaciones
8. Contacto con Nuestro Oficial de Privacidad
Para preguntas relacionadas con HIPAA, solicitudes de BAA o para reportar un problema de privacidad:
Zavio — Oficial de Privacidad HIPAA
Email: hello@zaviocare.com