a HIPAA megköveteli, hogy minden méretű egészségügyi szervezet biztosítsa a védett egészségügyi információkat (PHI), de hogyan biztosíthatják a fedett szervezetek a beteginformációkat? Ha megkérdezik, hogyan biztosítja a betegek adatait, tudna választ adni?
Hogyan Biztosíthatja A Betegek Adatait?
a HIPAA előírja az egészségügyi szervezetek és üzleti partnereik számára, hogy biztosítékokat hajtsanak végre a PHI titkosságának, integritásának és elérhetőségének biztosítása érdekében, bár a HIPAA előírásai kevés részletet tartalmaznak a betegek adatainak biztonságáról.
ez szándékos, mivel a technológia fejlődésének üteme sokkal nagyobb, mint a HIPAA frissítésének sebessége. Ha részleteket tartalmaznának, hamarosan elavultak lennének.
a technológia folyamatosan változik, és új biztonsági réseket fedeznek fel a korábban biztonságosnak tartott rendszerekben és szoftverekben. A betegek tájékoztatásának biztosítása tehát nem a biztonsági megoldások bevezetéséről és elfelejtéséről szól. A valóban biztonságos betegadatok érdekében rendszeresen felül kell vizsgálnia a biztonsági vezérlőket, frissítenie kell a szabályzatokat és eljárásokat, karbantartania kell a szoftvereket és a biztonsági megoldásokat, és frissítenie kell, amikor új, jobb megoldásokat fejlesztenek ki.
nincs egyetlen biztonsági megoldás, amely felhasználható a betegek adatainak védelmére. A beteginformációk biztonságának megőrzése érdekében réteges védekezést kell végrehajtania – egy sor olyan védelmi mechanizmust, amely lelassítja az esetleges támadásokat, és sokkal nehezebbé teszi az adatokhoz való hozzáférést. Ezt gyakran nevezik mélységi védelemnek.
a réteges biztonsági stratégia részeként megvalósítható tipikus biztonsági intézkedések a következők:
- tűzfal, amely megakadályozza, hogy illetéktelen személyek hozzáférjenek a hálózathoz és az adatokhoz
- spamszűrő a rosszindulatú e – mailek és rosszindulatú programok blokkolására
- víruskereső megoldás a rendszeren található rosszindulatú programok blokkolására és észlelésére
- webes szűrő, amely megakadályozza az alkalmazottak rosszindulatú webhelyek elérését
- hozzáférési és Adatvédelmi vezérlők, amelyek megakadályozzák a szervezeten belüli helytelen hozzáférést
- adattitkosítás minden hordozható eszközön
- titkosítás a tranzitban lévő adatok védelmére-titkosított e-mail például
- biztonságos (HIPAA-kompatibilis) üzenetkezelő platform, amely titkosítja az összes kommunikációt
- behatolásérzékelő rendszer, amely figyeli a fájlváltozásokat és a szabálytalan hálózati tevékenységet
- a beteginformációk nem megfelelő hozzáférését figyelő megoldások ellenőrzése
- katasztrófa utáni helyreállítási ellenőrzések az adatokhoz való folyamatos hozzáférés biztosítása érdekében vészhelyzet esetén
- kiterjedt biztonsági mentések a beteginformációk soha nem vesznek el
- biztonsági megoldások, amelyek lehetővé teszik a mobileszközökön tárolt adatok távoli törlését elvesztés vagy lopás esetén
- biztonsági tudatosság és adathalászat elleni védelem személyzet képzése
- fizikai ellenőrzések az adat-és berendezéslopások megelőzésére
- sebezhetőségek vizsgálata és behatolási tesztelése a sebezhetőségek azonosítására, mielőtt a hackerek felfedezik őket
- jó javításkezelési Irányelvek annak biztosítására, hogy a szoftverek naprakészek legyenek és mentesek legyenek a sebezhetőségektől
a HIPAA hatálya alá tartozó entitások végrehajthatják az összes ilyen biztonsági ellenőrzést vagy ezek egy részét, vagy kiszervezhetik ezeket a szolgáltatásokat a felügyelt szolgáltatónak (MSP).
a betegek megkérdezhetik, hogyan biztosítják PHI-jüket
ha egy beteg megkérdezi Önt, hogyan biztosítja a beteg adatait, képes lenne választ adni nekik? Sok orvos számára a válasz nem lenne. Az orvosok a betegek ellátásával foglalkoznak, nem pedig a biztonsági megoldások és biztosítékok megvalósításával, amelyek biztosítják a PHI titkosságát, integritását és elérhetőségét. Ezt a feladatot gyakran az informatikai részlegekre és a HIPAA-megfelelésért felelős egyénre bízzák. Sok egészségügyi szakember hasonló hajóban lenne.
tekintettel azonban a jelenleg előforduló egészségügyi adatok megsértésének mennyiségére, valamint a PHI ellopása következtében bekövetkező kár és veszteség kockázatára, sok beteg aggódik az adatbiztonság miatt, és felteheti a kérdést.
a betegek biztosak akarnak lenni abban, hogy az egészségügyi szolgáltatóik által szolgáltatott, általuk létrehozott és fenntartott információk biztonságosak és bizalmasak maradnak. Hasznos lehet tudni, hogy milyen intézkedéseket alkalmaztak az információk védelmére, így általános információkat adhat meg.
a legtöbb esetben egyszerű magyarázatra van szükség. A betegek csak azt akarják biztosítani, hogy egészségügyi információik biztonságosak és bizalmasak maradnak.
általánosságban elmondhatja, hogy a beteginformációkat:
- a PHI titkosítása nyugalomban és tranzitban (ha ez a helyzet)
- csak a Phi tárolása tűzfallal védett belső rendszereken
- táblázatok biztonságos helyen történő tárolása csak az arra jogosult személyek férhetnek hozzá
- hozzáférés-vezérlők használatával, hogy illetéktelen személyek ne férhessenek hozzá a PHI-hez
- csak a PHI megosztása magánszemélyekkel vagy szervezetekkel az egészségügyi ellátás és a kapcsolódó szolgáltatások, például a fizetés és a számlázás nyújtásának, koordinálásának vagy irányításának megkönnyítése
- csak a Phi megosztása korlátozott számú harmadik féllel a szerződést kötöttek annak biztosítására, hogy betartsák a PHI és az adatbiztonság felhasználására és nyilvánosságra hozatalára vonatkozó szigorú szabályokat
- a teljes személyzet (évente) képzése a magas szintű adatvédelmi és adatbiztonsági szabványok fenntartása érdekében
- a legújabb szoftververziókat használja, valamint biztosítja, hogy az összes szoftver és operációs rendszer naprakész legyen, valamint vírusvédelmi megoldásokat használ a rosszindulatú programok blokkolására
ha a betegek további információkat igényelnek vagy részleteket szeretnének, elmagyarázhatja, hogy biztonsági okokból nem adjon meg részletes információkat a meglévő biztonsági ellenőrzésekről. Ahogy azt sem mondaná el senkinek, hogy hol található a széf, és hány fordulatra van szükség a tárcsa kinyitásához.