HIPAA richiede alle organizzazioni sanitarie di tutte le dimensioni di proteggere le informazioni sanitarie protette (PHI), ma come possono le entità coperte proteggere le informazioni sui pazienti? Se vi viene chiesto come proteggere le informazioni del paziente, potrebbe fornire una risposta?
Come è possibile proteggere le informazioni del paziente?
HIPAA richiede alle organizzazioni sanitarie e ai loro soci in affari di implementare misure di sicurezza per garantire la riservatezza, l’integrità e la disponibilità di PHI, anche se ci sono pochi dettagli su come proteggere le informazioni sui pazienti nei regolamenti HIPAA.
Questo è intenzionale, in quanto il ritmo che la tecnologia sta avanzando è di gran lunga superiore alla velocità con cui HIPAA può essere aggiornato. Se i dettagli sono stati inclusi, sarebbero presto obsoleti.
La tecnologia è in continua evoluzione e nuove vulnerabilità vengono scoperte in sistemi e software precedentemente ritenuti sicuri. Proteggere le informazioni dei pazienti non significa quindi implementare soluzioni di sicurezza e dimenticarsene. Per proteggere veramente le informazioni dei pazienti, è necessario rivedere regolarmente i controlli di sicurezza, aggiornare le politiche e le procedure, mantenere software e soluzioni di sicurezza e aggiornare quando vengono sviluppate nuove soluzioni migliori.
Non esiste un’unica soluzione di sicurezza che possa essere utilizzata per proteggere le informazioni del paziente. Per proteggere le informazioni dei pazienti è necessario implementare difese a più livelli, una serie di meccanismi di protezione che rallentano qualsiasi potenziale attacco e rendono l’accesso ai dati molto più difficile. Questo è spesso definito come difesa in profondità.
Le tipiche misure di sicurezza che possono essere implementate come parte di una strategia di sicurezza a più livelli includono:
- Un firewall per impedire a persone non autorizzate di accedere alla rete e dati
- Un filtro anti-spam per bloccare i messaggi dannosi e malware
- Una soluzione antivirus per bloccare e di rilevare il malware sul vostro sistema
- Un filtro web per impedire ai dipendenti di accedere a siti web malevoli
- Accesso e privacy, controlli per prevenire l’accesso improprio da parte dell’organizzazione
- la crittografia dei Dati su tutti i dispositivi portatili
- Crittografia per proteggere i dati in transito – e-mail crittografato per esempio
- sicura (HIPAA-compliant) piattaforma di messaggistica che consente di crittografare tutte le comunicazioni
- Un sistema di rilevamento delle intrusioni per il monitoraggio di eventuali modifiche di file e irregolare attività di rete
- Controllo soluzioni che monitorare il corretto accesso alle informazioni del paziente
- Disaster recovery controlli per garantire la continuità di accesso ai dati in caso di emergenza
- Ampia backup per garantire informazioni paziente non si è mai persa
- Soluzioni per la sicurezza, consentendo la cancellazione remota dei dati memorizzati su dispositivi mobili, in caso di perdita o furto
- la consapevolezza della Sicurezza e anti-phishing di formazione per il personale
- controlli Fisici per impedire che i dati e il furto di macchine e attrezzature
- scansione delle Vulnerabilità e dei test di penetrazione per identificare le vulnerabilità prima della scoperta da parte di hacker
- Buona la gestione delle patch per garantire che il software è aggiornato e gratuito da vulnerabilità
HIPAA coperto di entità in grado di implementare tutte, o una selezione di questi controlli di sicurezza, o può esternalizzare questi servizi di managed service provider (MSP).
I pazienti potrebbero chiedere come è protetto il loro PHI
Se un paziente ti ha chiesto come proteggi le informazioni sui pazienti, saresti in grado di fornire loro una risposta? Per molti medici, la risposta sarebbe no. I medici si occupano di fornire assistenza ai pazienti, non con il nocciolo di implementare soluzioni di sicurezza e garanzie per garantire la riservatezza, l’integrità e la disponibilità di PHI. Tale compito è spesso lasciato ai loro reparti IT e l’individuo responsabile della conformità HIPAA. Molti operatori sanitari sarebbero in una barca simile.
Tuttavia, dato il volume di violazioni dei dati sanitari che si stanno verificando e il rischio di danni e perdite a causa del furto di PHI, molti pazienti sono preoccupati per la sicurezza dei dati e potrebbero porre la domanda.
I pazienti vogliono essere rassicurati sul fatto che tutte le informazioni fornite, create e mantenute dai loro fornitori di assistenza sanitaria sono sicure e rimangono riservate. Può essere utile sapere quali misure sono state utilizzate per proteggere le loro informazioni, in modo da poter fornire informazioni in termini generali.
Nella maggior parte dei casi è necessaria una semplice spiegazione. I pazienti vogliono solo rassicurazione che le loro informazioni sulla salute è sicuro e rimarrà confidenziale.
In termini generali, si potrebbe spiegare che si proteggono le informazioni del paziente da:
- Crittografia PHI a riposo e in transito (se è il caso)
- Solo la memorizzazione di PHI interno di sistemi protetti da firewall
- Memorizzazione grafici in luoghi protetti possono accedere solo le persone autorizzate
- Utilizzando i controlli di accesso per impedire a persone non autorizzate di accedere PHI
- Solo la condivisione di PHI con individui o organizzazioni per facilitare la fornitura, coordinamento, o gestione dell’assistenza sanitaria e i servizi connessi come la modalità di pagamento e fatturazione
- Solo la condivisione di PHI con un set limitato di terze parti dopo un il contratto è stato stipulato per garantire rispettare severe norme in materia di usi e divulgazioni di PHI e la sicurezza dei dati
- Ri-addestrare tutto il personale (ogni anno) per mantenere la privacy e la sicurezza dei dati standard
- utilizzare le ultime versioni del software e assicurarsi che tutto il software e il sistema operativo sono tenuto aggiornato e utilizzare soluzioni anti-virus per bloccare il malware
Se i pazienti necessitano di ulteriori informazioni o volete dettagli si può spiegare che, per motivi di sicurezza non è possibile fornire informazioni dettagliate sui controlli di sicurezza che avete posto. Proprio come non diresti a nessuno dove si trova la tua cassaforte e quanti giri del quadrante sono necessari per aprirlo.