HIPAA vereist gezondheidszorgorganisaties van alle groottes om beschermde gezondheidsinformatie (PHI) te beveiligen, maar hoe kunnen gedekte entiteiten patiëntinformatie beveiligen? Als u wordt gevraagd hoe u patiënteninformatie kunt beveiligen, kunt u dan een antwoord geven?
Hoe Kunt U Patiënteninformatie Beveiligen?
HIPAA vereist dat zorgorganisaties en hun zakenpartners veiligheidsmaatregelen implementeren om de vertrouwelijkheid, integriteit en beschikbaarheid van PHI te waarborgen, hoewel er weinig details worden gegeven over hoe patiënteninformatie te beveiligen in de HIPAA-regelgeving.
dit is opzettelijk, omdat het tempo waarin de technologie voortschrijdt veel groter is dan de snelheid waarmee HIPAA kan worden bijgewerkt. Als er details zouden worden opgenomen, zouden ze binnenkort verouderd zijn.
de technologie verandert voortdurend en er worden nieuwe kwetsbaarheden ontdekt in systemen en software die voorheen als veilig werden beschouwd. Het beveiligen van patiënteninformatie gaat dus niet om het implementeren van beveiligingsoplossingen en het vergeten ervan. Om patiënteninformatie echt te beveiligen, moet u regelmatig uw beveiligingscontroles controleren, beleid en procedures bijwerken, software en beveiligingsoplossingen onderhouden en upgraden wanneer er nieuwe, betere oplossingen worden ontwikkeld.
er is geen enkele beveiligingsoplossing die kan worden gebruikt om patiënteninformatie te beveiligen. Om patiëntinformatie veilig te houden, moet u gelaagde afweermechanismen implementeren – een reeks beschermende mechanismen die elke mogelijke aanval vertragen en de toegang tot gegevens veel moeilijker maken. Dit wordt vaak aangeduid als verdediging in de diepte.
typische beveiligingsmaatregelen die kunnen worden geïmplementeerd als onderdeel van een gelaagde beveiligingsstrategie zijn::
- Een firewall om te voorkomen dat onbevoegde personen toegang krijgen tot uw netwerk en data
- Een spam-filter om te voorkomen dat schadelijke e-mails en malware
- Een antivirus oplossing te blokkeren en het detecteren van malware op uw systeem
- Een web filter om te voorkomen dat de werknemers de toegang tot schadelijke websites
- Toegang en privacy regelt om te voorkomen dat ongeoorloofde toegang vanuit de organisatie
- Data-encryptie op alle draagbare apparaten
- Codering om de gegevens te beschermen in transit – versleutelde e-mail bijvoorbeeld
- Een beveiligde (HIPAA compliant) berichtenplatform dat alle communicatie versleutelt
- een intrusiedetectiesysteem dat controleert op bestandswijzigingen en onregelmatige netwerkactiviteit
- Auditoplossingen die controleren op onjuiste toegang tot patiëntinformatie
- Noodherstelcontroles om voortdurende toegang tot gegevens in geval van nood te garanderen
- uitgebreide back-ups om ervoor te zorgen dat patiëntinformatie nooit verloren gaat
- beveiligingsoplossingen die het verwijderen van gegevens op afstand mogelijk maken op mobiele apparaten in geval van verlies of diefstal
- veiligheidsbewustzijn en anti-phishing training voor personeel
- fysieke controles om diefstal van gegevens en apparatuur te voorkomen
- kwetsbaarheden scannen en penetratietesten om kwetsbaarheden te identificeren voordat ze door hackers worden ontdekt
- goed beleid voor patchbeheer om ervoor te zorgen dat software up-to-date wordt gehouden en vrij is van kwetsbaarheden
door HIPAA gedekte entiteiten kunnen alle of een selectie van deze beveiligingscontroles Uitvoeren of deze diensten uitbesteden aan managed service provider (MSP).
patiënten zouden kunnen vragen hoe hun PHI is beveiligd
als een patiënt u vroeg hoe u patiënteninformatie beveiligt, zou u hen dan een antwoord kunnen geven? Voor veel artsen zou het antwoord nee zijn. Artsen houden zich bezig met het verlenen van zorg aan patiënten, niet met de nitty gritty van het implementeren van beveiligingsoplossingen en waarborgen om de vertrouwelijkheid, integriteit en beschikbaarheid van PHI te waarborgen. Die taak wordt vaak overgelaten aan hun IT-afdelingen en de persoon die verantwoordelijk is voor HIPAA compliance. Veel beroepsbeoefenaren in de gezondheidszorg zouden in een soortgelijke boot zitten.
gezien de omvang van de datalekken in de gezondheidszorg die zich nu voordoen en het risico op schade en verlies als gevolg van de diefstal van PHI, maken veel patiënten zich echter zorgen over de beveiliging van de gegevens en kunnen zij de vraag stellen.
patiënten willen er zeker van zijn dat alle informatie die wordt verstrekt aan, gecreëerd door en onderhouden door hun zorgverleners veilig is en vertrouwelijk blijft. Het kan nuttig zijn om te weten welke maatregelen zijn gebruikt om hun informatie te beveiligen, zodat u informatie in algemene termen kunt verstrekken.
in de meeste gevallen is alleen een eenvoudige uitleg vereist. Patiënten willen gewoon de zekerheid dat hun gezondheidsinformatie veilig is en vertrouwelijk blijft.
in het algemeen kunt u uitleggen dat u patiënteninformatie beveiligt door:
- versleutelen van PHI in rust en onderweg (indien dat het geval is)
- alleen opslaan van PHI op interne systemen die beschermd zijn door firewalls
- grafieken opslaan op beveiligde locaties ze zijn alleen toegankelijk voor geautoriseerde personen
- gebruikmakend van toegangscontroles om te voorkomen dat onbevoegden toegang krijgen tot PHI
- alleen delen van PHI met personen of organisaties om de levering, coördinatie of het beheer van gezondheidszorg en aanverwante diensten, zoals betaling, te vergemakkelijken en facturering
- alleen Phi delen met een beperkt aantal derden na een contract is afgesloten om te zorgen dat ze zich houden aan strikte regels betreffende gebruik en de openbaarmaking van de PHI-en data security
- Re-train alle medewerkers (jaarlijks) voor optimale privacy en data security standards
- U gebruik van de nieuwste software versies en zorg ervoor dat alle software en besturingssysteem up to date worden gehouden en het gebruik van anti-virus oplossingen te blokkeren malware
Als patiënten hebben behoefte aan meer informatie of wilt details je zou kunnen verklaren dat om veiligheidsredenen u geen gedetailleerde informatie over security controls heb je in de plaats. Net zoals je niemand zou vertellen waar je kluis zich bevindt en hoeveel wendingen van de wijzerplaat nodig zijn om het te openen.