HIPAA verlangt von Gesundheitsorganisationen aller Größenordnungen, geschützte Gesundheitsinformationen (PHI) zu sichern, aber wie können abgedeckte Unternehmen Patienteninformationen schützen? Wenn Sie gefragt werden, wie Sie Patienteninformationen schützen, könnten Sie eine Antwort geben?
Wie können Sie Patientendaten sichern?
HIPAA verlangt von Gesundheitsorganisationen und ihren Geschäftspartnern, Sicherheitsvorkehrungen zu treffen, um die Vertraulichkeit, Integrität und Verfügbarkeit von PHI zu gewährleisten, obwohl in den HIPAA-Vorschriften nur wenige Details zur Sicherung von Patienteninformationen enthalten sind.
Dies ist beabsichtigt, da das Tempo, mit dem die Technologie voranschreitet, weitaus größer ist als die Geschwindigkeit, mit der HIPAA aktualisiert werden kann. Wenn Details enthalten wären, wären sie bald veraltet.
Die Technologie ändert sich ständig und es werden neue Schwachstellen in Systemen und Software entdeckt, die bisher als sicher galten. Bei der Sicherung von Patienteninformationen geht es daher nicht darum, Sicherheitslösungen zu implementieren und zu vergessen. Um Patienteninformationen wirklich zu schützen, müssen Sie Ihre Sicherheitskontrollen regelmäßig überprüfen, Richtlinien und Verfahren aktualisieren, Software und Sicherheitslösungen warten und aktualisieren, wenn neue, bessere Lösungen entwickelt werden.
Es gibt keine einzige Sicherheitslösung, die zur Sicherung von Patientendaten verwendet werden kann. Um die Sicherheit von Patienteninformationen zu gewährleisten, müssen Sie mehrschichtige Abwehrmechanismen implementieren – eine Reihe von Schutzmechanismen, die potenzielle Angriffe verlangsamen und den Datenzugriff erheblich erschweren. Dies wird oft als Defense in Depth bezeichnet.
Typische Sicherheitsmaßnahmen, die im Rahmen einer mehrstufigen Sicherheitsstrategie implementiert werden können, sind:
- Eine Firewall, die verhindert, dass unbefugte Personen auf Ihr Netzwerk und Ihre Daten zugreifen
- Ein Spam–Filter zum Blockieren böswilliger E-Mails und Malware
- Eine Antivirenlösung zum Blockieren und Erkennen von Malware auf Ihrem System
- Ein Webfilter, der verhindert, dass Mitarbeiter auf böswillige Websites zugreifen
- Zugriffs- und Datenschutzkontrollen, um unsachgemäßen Zugriff innerhalb des Unternehmens zu verhindern
- Datenverschlüsselung auf allen tragbaren Geräten
- Verschlüsselung zum Schutz von Daten bei der Übertragung – verschlüsselte E-Mail zum Beispiel
- Eine sichere (HIPAA-konforme) messaging-Plattform, die die gesamte Kommunikation verschlüsselt
- Ein Intrusion Detection-System, das Dateiänderungen und unregelmäßige Netzwerkaktivitäten überwacht
- Auditing-Lösungen, die den unsachgemäßen Zugriff auf Patienteninformationen überwachen
- Disaster Recovery-Kontrollen, um im Notfall den fortgesetzten Zugriff auf Daten zu gewährleisten
- Umfangreiche Backups, um sicherzustellen, dass Patienteninformationen niemals verloren gehen
- Sicherheitslösungen, die das Remote-Löschen von auf mobilen Geräten gespeicherten Daten ermöglichen bei Verlust oder Diebstahl
- Security Awareness und Anti-Phishing schulung des Personals
- Physische Kontrollen zur Verhinderung von Daten- und Gerätediebstahl
- Schwachstellen-Scanning und Penetrationstests zur Identifizierung von Schwachstellen, bevor sie von Hackern entdeckt werden
- Gute Patch-Management-Richtlinien, um sicherzustellen, dass Software auf dem neuesten Stand und frei von Schwachstellen gehalten wird
HIPAA-abgedeckte Unternehmen können alle oder eine Auswahl dieser Sicherheitskontrollen implementieren oder diese Dienste an Managed Service Provider (MSP) auslagern.
Patienten könnten fragen, wie ihre PHI gesichert ist
Wenn ein Patient Sie fragte, wie Sie Patienteninformationen sichern, könnten Sie ihm eine Antwort geben? Für viele Ärzte wäre die Antwort nein. Ärzte kümmern sich um die Versorgung der Patienten, nicht um die Implementierung von Sicherheitslösungen und Sicherheitsvorkehrungen, um die Vertraulichkeit zu gewährleisten, Integrität und Verfügbarkeit von PHI. Diese Aufgabe wird oft ihren IT-Abteilungen und der für die HIPAA-Compliance verantwortlichen Person überlassen. Viele medizinische Fachkräfte würden in einem ähnlichen Boot sitzen.
Angesichts des Umfangs der derzeit auftretenden Verletzungen von Gesundheitsdaten und des Risikos von Schäden und Verlusten infolge des Diebstahls von PHI sind viele Patienten jedoch besorgt über die Datensicherheit und stellen möglicherweise die Frage.
Die Patienten möchten sicher sein, dass alle Informationen, die ihren Gesundheitsdienstleistern zur Verfügung gestellt, von ihnen erstellt und von ihnen gepflegt werden, sicher und vertraulich sind. Es kann hilfreich sein zu wissen, welche Maßnahmen zum Schutz ihrer Informationen ergriffen wurden, damit Sie Informationen allgemein bereitstellen können.
In den meisten Fällen genügt eine einfache Erklärung. Patienten wollen nur die Gewissheit, dass ihre Gesundheitsinformationen sicher sind und vertraulich bleiben.
Im Allgemeinen könnten Sie erklären, dass Sie Patienteninformationen sichern, indem Sie:
- Verschlüsseln von PHI im Ruhezustand und während der Übertragung (falls dies der Fall ist)
- Speichern von PHI nur auf internen Systemen, die durch Firewalls geschützt sind
- Speichern von PHI an sicheren Orten Sie können nur von autorisierten Personen aufgerufen werden
- Verwenden von Zugriffskontrollen, um zu verhindern, dass unbefugte Personen auf PHI zugreifen
- um die Bereitstellung, Koordination oder Verwaltung der Gesundheitsversorgung und damit verbundener Dienstleistungen wie Zahlung und Abrechnung zu erleichtern
- PHI nur mit einer begrenzten Anzahl von Dritten teilen, nachdem a es wurde ein Vertrag geschlossen, um sicherzustellen, dass sie strenge Regeln für die Verwendung und Offenlegung von PHI und die Datensicherheit einhalten
- Schulen Sie alle Mitarbeiter (jährlich) neu, um hohe Datenschutz- und Datensicherheitsstandards aufrechtzuerhalten
- Sie verwenden die neuesten Softwareversionen und stellen sicher, dass alle Software- und Betriebssysteme auf dem neuesten Stand sind und Antivirenlösungen verwenden, um Malware zu blockieren
Wenn Patienten weitere Informationen benötigen oder Details wünschen, können Sie erklären, dass Sie aus Sicherheitsgründen geben Sie detaillierte Informationen zu den Sicherheitskontrollen an, die Sie eingerichtet haben. So wie Sie niemandem sagen würden, wo sich Ihr Safe befindet und wie viele Umdrehungen des Zifferblatts erforderlich sind, um ihn zu öffnen.