HIPAA vyžaduje, aby zdravotnické organizace všech velikostí zabezpečily chráněné zdravotní informace (PHI), ale jak mohou kryté subjekty zabezpečit informace o pacientech? Pokud budete dotázáni, jak zabezpečujete informace o pacientech, mohl byste poskytnout odpověď?
Jak Můžete Zabezpečit Informace O Pacientech?
HIPAA vyžaduje, aby zdravotnické organizace a jejich obchodní partneři zavedli ochranná opatření k zajištění důvěrnosti, integrity a dostupnosti PHI, i když v předpisech HIPAA je málo podrobností o tom, jak zabezpečit informace o pacientech.
to je záměrné, protože tempo, které technologie postupuje, je mnohem větší než rychlost, kterou lze HIPAA aktualizovat. Pokud by byly zahrnuty podrobnosti, brzy by byly zastaralé.
technologie se neustále mění a objevují se nové chyby zabezpečení v systémech a softwaru, které byly dříve považovány za bezpečné. Zabezpečení informací o pacientech tedy není o implementaci bezpečnostních řešení a zapomenutí na ně. Chcete-li skutečně zabezpečit informace o pacientech, musíte pravidelně kontrolovat bezpečnostní kontroly, aktualizovat zásady a postupy, udržovat softwarová a bezpečnostní řešení a upgradovat, když jsou vyvíjena nová, lepší řešení.
neexistuje jediné bezpečnostní řešení, které by mohlo být použito k zabezpečení informací o pacientech. Chcete-li udržet informace o pacientech v bezpečí, musíte implementovat vrstvenou obranu – řadu ochranných mechanismů, které zpomalují jakýkoli potenciální útok a ztěžují přístup k datům. Toto je často označováno jako obrana do hloubky.
typická bezpečnostní opatření, která mohou být implementována jako součást vrstvené bezpečnostní strategie, zahrnují:
- firewall zabraňující neoprávněným osobám v přístupu k vaší síti a datům
- spamový filtr pro blokování škodlivých e – mailů a malwaru
- antivirové řešení pro blokování a detekci malwaru ve vašem systému
- webový filtr zabraňující zaměstnancům v přístupu k škodlivým webům
- řízení přístupu a ochrany osobních údajů, aby se zabránilo nesprávnému přístupu z organizace
- šifrování dat na všech přenosných zařízeních
- šifrování pro ochranu dat v tranzitu-šifrovaný e-mail například
- Bezpečný (kompatibilní s HIPAA) platforma pro zasílání zpráv, která šifruje veškerou komunikaci
- systém detekce narušení, který monitoruje změny souborů a nepravidelnou síťovou aktivitu
- Auditující řešení, která monitorují nesprávný přístup k informacím o pacientech
- kontroly obnovy po havárii, aby zajistily trvalý přístup k datům v případě nouze
- rozsáhlé zálohy, které zajistí, že informace o pacientech nebudou nikdy ztraceny
- bezpečnostní řešení umožňující vzdálené vymazání dat uložených v mobilních zařízeních v případě ztráty nebo krádeže
- bezpečnostní povědomí a anti-phishing školení pro zaměstnance
- fyzické kontroly, aby se zabránilo krádeži dat a zařízení
- skenování zranitelností a penetrační testování k identifikaci zranitelností dříve, než jsou objeveny hackery
- dobré zásady správy oprav, aby bylo zajištěno, že software je aktualizován a bez zranitelností
subjekty pokryté HIPAA mohou implementovat všechny nebo výběr těchto bezpečnostních kontrol nebo mohou tyto služby zadávat externě poskytovateli spravovaných služeb (MSP).
pacienti se mohou zeptat, jak je jejich PHI zabezpečeno
pokud se vás pacient zeptá, jak zabezpečujete informace o pacientech, mohli byste jim poskytnout odpověď? Pro mnoho lékařů by odpověď byla ne. Lékaři se zabývají poskytováním péče pacientům, ne s drsným odvážným implementováním bezpečnostních řešení a záruk k zajištění důvěrnosti, integrita a dostupnost PHI. Tento úkol je často ponechán na jejich it odděleních a jednotlivci odpovědném za dodržování HIPAA. Mnoho zdravotnických pracovníků by bylo na podobné lodi.
vzhledem k objemu porušení údajů o zdravotní péči, ke kterému nyní dochází, a riziku poškození a ztráty v důsledku krádeže PHI je však mnoho pacientů znepokojeno bezpečností dat a může si položit otázku.
pacienti chtějí být ujištěni, že veškeré informace poskytnuté, vytvořené a udržované jejich poskytovateli zdravotní péče jsou bezpečné a zůstávají důvěrné. Může být užitečné vědět, jaká opatření byla použita k zabezpečení jejich informací, takže můžete poskytnout informace obecně.
ve většině případů je vyžadováno jednoduché vysvětlení. Pacienti chtějí jen ujištění, že jejich zdravotní informace jsou bezpečné a zůstanou důvěrné.
obecně můžete vysvětlit, že informace o pacientech zabezpečujete:
- šifrování PHI v klidu a při přepravě (pokud tomu tak je)
- pouze ukládání PHI na interních systémech chráněných firewally
- ukládání grafů na bezpečných místech k nim mají přístup pouze oprávněné osoby
- pomocí ovládacích prvků přístupu k zabránění neoprávněným osobám v přístupu k PHI
- pouze sdílení PHI s jednotlivci nebo organizacemi za účelem usnadnění poskytování, koordinace nebo správy zdravotní péče a souvisejících služeb, jako jsou platby a fakturace
- pouze sdílení Phi s omezenou sadou třetích stran po a byla uzavřena smlouva, aby se zajistilo, že budou dodržovat přísná pravidla týkající se použití a zveřejňování PHI a zabezpečení dat
- Přeškolte všechny zaměstnance (ročně), aby udržovali vysoké standardy ochrany soukromí a bezpečnosti dat
- používáte nejnovější verze softwaru a zajistěte, aby veškerý software a operační systém byly aktualizovány a používali antivirová řešení k blokování malwaru
pokud pacienti vyžadují více informací nebo chtějí podrobnosti, můžete vysvětlit, že z bezpečnostních důvodů nemůžete poskytnout podrobné informace o bezpečnostních kontrolách, které máte zavedeny. Stejně jako byste nikomu neřekli, kde se nachází váš trezor a kolik otáček číselníku je nutné k jeho otevření.