Cumplimiento HIPAA
Trialinx para investigadores bajo HIPAA
Cifrado AES-256, audit trail indefinido, RBAC, 2FA y acuerdos BAA disponibles. Cómo Trialinx cubre los Safeguards de HIPAA para investigación clínica.
Health Insurance Portability and Accountability Act · Estados Unidos
Qué es HIPAA
HIPAA (Health Insurance Portability and Accountability Act) es la ley federal estadounidense que regula la privacidad y seguridad de la información médica protegida (PHI). Para investigadores que recogen datos identificables en EEUU es de aplicación directa.
HIPAA se divide en dos reglas principales relevantes para plataformas de EDC: la Privacy Rule (uso y divulgación de PHI) y la Security Rule (controles administrativos, físicos y técnicos para proteger PHI electrónica — ePHI).
Requisitos clave de la Security Rule
Salvaguardas administrativas
Políticas de gestión de riesgos, formación de personal con acceso a PHI, gestión de incidentes, evaluación periódica y acuerdos con business associates (BAA).
Salvaguardas físicas
Controles de acceso a instalaciones, políticas de uso de estaciones de trabajo, seguridad de dispositivos y soportes (wiping, disposal).
Salvaguardas técnicas
Control de acceso (único ID de usuario, logout automático, cifrado), controles de auditoría, integridad de datos, autenticación y transmisión segura (cifrado TLS).
Notificación de brechas
Notificación obligatoria a usuarios y al Department of Health and Human Services (HHS) en caso de breach de PHI no segura, en los plazos establecidos por la regla.
Cómo lo cubre Trialinx
- ✓AES-256 en reposo + TLS 1.2+ en tránsito — cumple 'Encryption and Decryption' estándar de la Security Rule
- ✓Audit trail con 7 datapoints retenido de forma indefinida — cumple 'Audit controls §164.312(b)'
- ✓Control de acceso basado en roles con unique user ID y 2FA — cumple 'Access control §164.312(a)(1)'
- ✓Session timeout automático + rotación de tokens — cumple 'Automatic logoff §164.312(a)(2)(iii)'
- ✓BAA disponible para clientes del plan Institutional que procesen PHI
- ✓Proceso documentado de respuesta a incidentes con notificación en <72h
- ✓Segregación de datos a nivel de estudio (aislamiento lógico)
- ✓Documentación pública para comités éticos, risk assessments y evaluaciones Privacy Rule
Responsabilidad compartida
El cumplimiento HIPAA es siempre una responsabilidad compartida. Trialinx proporciona los controles técnicos y administrativos sobre la plataforma. El Covered Entity (institución / investigador) es responsable de:
- •Firmar el BAA con Trialinx antes de cargar ePHI
- •Minimizar los datos identificables cargados (principio 'minimum necessary')
- •Obtener el consentimiento o waiver apropiado del IRB
- •Formar a su personal en las políticas HIPAA de su institución
- •Configurar roles y permisos de colaboradores según la necesidad
- •Notificar brechas que se originen fuera de la plataforma
Preguntas frecuentes
¿Puedo usar el plan gratuito con PHI?
No recomendamos usar el plan gratuito para datos identificables bajo HIPAA. El BAA firmado solo está disponible en el plan Institutional. Para estudios que procesen PHI, solicita el plan Institutional desde /contact.
¿Trialinx firma BAA con instituciones individuales?
Sí, en el plan Institutional firmamos un BAA estándar por institución. Revisamos modificaciones razonables solicitadas por el legal team cliente.
¿HIPAA aplica si soy investigador fuera de EEUU?
HIPAA aplica cuando la entidad cubierta o sus business associates están en EEUU, o cuando se procesa PHI de residentes EEUU. Para investigadores fuera de EEUU sin ePHI americana, RGPD suele ser la regulación aplicable.
¿Qué pasa con HITECH?
HITECH (2009) amplía HIPAA obligando a business associates a cumplir directamente la Security Rule y exigiendo notificación de brechas. Los controles que aplica Trialinx cumplen tanto HIPAA como HITECH.
Recursos oficiales
¿Necesitas el paquete para tu CEIm o DPO?
Contacta con nosotros y te enviamos toda la documentación que tu comité ético o responsable de protección de datos necesita.
Solicitar documentación