HIPAA kræver, at sundhedsorganisationer i alle størrelser sikrer beskyttede sundhedsoplysninger (PHI), men hvordan kan dækkede enheder sikre patientoplysninger? Hvis du bliver spurgt, hvordan du sikrer patientoplysninger, kan du give et svar?
Hvordan Kan Du Sikre Patientoplysninger?
HIPAA kræver, at sundhedsorganisationer og deres forretningsforbindelser implementerer sikkerhedsforanstaltninger for at sikre Phi ‘ s fortrolighed, integritet og tilgængelighed, selvom der er få detaljer om, hvordan man sikrer patientinformation i HIPAA-regler.
dette er tilsigtet, da det tempo, som teknologien skrider frem, er langt større end den hastighed, hvormed HIPAA kan opdateres. Hvis detaljer blev inkluderet, ville de snart være forældede.
teknologien ændrer sig konstant, og nye sårbarheder opdages i systemer og programmer, der tidligere blev anset for at være sikre. Sikring af patientinformation handler derfor ikke om at implementere sikkerhedsløsninger og glemme dem. For virkelig at sikre patientoplysninger skal du regelmæssigt gennemgå dine sikkerhedskontroller, Opdatere politikker og procedurer, vedligeholde programmer og sikkerhedsløsninger og opgradere, når der udvikles nye, bedre løsninger.
der er ingen enkelt sikkerhedsløsning, der kan bruges til at sikre patientinformation. For at holde patientinformation sikker skal du implementere lagdelte forsvar – en række beskyttelsesmekanismer, der bremser ethvert potentielt angreb og gør dataadgang meget vanskeligere. Dette kaldes ofte forsvar i dybden.
typiske sikkerhedsforanstaltninger, der kan implementeres som en del af en lagdelt sikkerhedsstrategi, inkluderer:
- en brandvæg for at forhindre uautoriserede personer i at få adgang til dit netværk og data
- et spamfilter til at blokere ondsindede e – mails og programmer
- en antivirusløsning til at blokere og opdage programmer på dit system
- et internetfilter for at forhindre medarbejdere i at få adgang til ondsindede hjemmesider
- adgang og privatlivskontrol for at forhindre ukorrekt adgang fra organisationen
- datakryptering på alle bærbare enheder
- kryptering til beskyttelse af data i transit-krypteret e-mail for eksempel
- en sikker (HIPAA-kompatibel) beskedplatform, der krypterer al kommunikation
- et indbrudsdetekteringssystem, der overvåger for filændringer og uregelmæssig netværksaktivitet
- Revisionsløsninger, der overvåger for forkert adgang til patientinformation
- Katastrofegendannelseskontrol for at sikre fortsat adgang til data i tilfælde af en nødsituation
- omfattende sikkerhedskopier for at sikre, at patientoplysninger aldrig går tabt
- sikkerhedsløsninger, der tillader fjernsletning af data, der er gemt på enheder i tilfælde af tab eller tyveri
- sikkerhedsbevidsthed og anti-phishing uddannelse af personale
- fysiske kontroller for at forhindre tyveri af data og udstyr
- Sårbarhedsscanning og penetrationstest for at identificere sårbarheder, før de opdages af hackere
- gode patch-styringspolitikker for at sikre, at programmer holdes opdaterede og fri for sårbarheder
HIPAA-dækkede enheder kan implementere alle eller et udvalg af disse sikkerhedskontroller eller kan outsource disse tjenester til managed service provider (MSP).
patienter kan spørge, hvordan deres PHI er sikret
hvis en patient spurgte dig, hvordan sikrer du patientinformation, ville du være i stand til at give dem et svar? For mange læger ville svaret være nej. Læger er bekymrede for at yde pleje til patienter, ikke med den nitty gritty at implementere sikkerhedsløsninger og sikkerhedsforanstaltninger for at sikre fortroligheden, integritet og tilgængelighed af PHI. Denne opgave overlades ofte til deres IT-afdelinger og den person, der har ansvaret for HIPAA-overholdelse. Mange sundhedspersonale ville være i en lignende båd.
i betragtning af mængden af databrud i sundhedsvæsenet, der nu forekommer, og risikoen for skade og tab som følge af tyveri af PHI, er mange patienter bekymrede over datasikkerhed og kan stille spørgsmålet.
patienter ønsker at blive forsikret om, at alle oplysninger, der leveres til, oprettet af og vedligeholdt af deres sundhedsudbydere, er sikre og forbliver fortrolige. Det kan være nyttigt at vide, hvilke foranstaltninger der er blevet brugt til at sikre deres oplysninger, så du kan give oplysninger generelt.
i de fleste tilfælde er en simpel forklaring alt, hvad der kræves. Patienter vil bare have forsikring om, at deres sundhedsoplysninger er sikre og forbliver fortrolige.
generelt kan du forklare, at du sikrer patientinformation ved:
- kryptering af PHI i hvile og i transit (hvis det er tilfældet)
- kun lagring af PHI på interne systemer beskyttet af brandvægge
- lagring af diagrammer på sikre steder de kan kun tilgås af autoriserede personer
- brug af adgangskontrol for at forhindre uautoriserede personer i at få adgang til PHI
- kun deling af PHI med enkeltpersoner eller organisationer at lette levering, koordinering eller styring af sundhedspleje og relaterede tjenester såsom betaling og fakturering
- kun deling af phi med et begrænset sæt tredjeparter efter en kontrakt er indgået for at sikre, at de overholder strenge regler, der dækker brug og videregivelse af PHI og datasikkerhed
- genuddanne alt personale (årligt) for at opretholde høje standarder for privatlivets fred og datasikkerhed
- du bruger de nyeste programversioner og sikrer, at alle programmer og operativsystemer holdes ajour og bruger antivirusløsninger til at blokere virus
hvis patienter har brug for mere information eller ønsker detaljer, kan du forklare, at du af sikkerhedsmæssige årsager kan ikke give detaljerede oplysninger om sikkerhedskontrol, du har på plads. Ligesom du ikke ville fortælle nogen, hvor dit pengeskab er placeret, og hvor mange drejninger på skiven der kræves for at åbne den.