HIPAA wymaga od organizacji opieki zdrowotnej różnej wielkości Zabezpieczenia chronionych informacji zdrowotnych (PHI), ale w jaki sposób podmioty objęte ochroną mogą zabezpieczyć informacje o pacjentach? Jeśli zostaniesz zapytany, w jaki sposób zabezpieczasz informacje o pacjencie, czy możesz udzielić odpowiedzi?
Jak Zabezpieczyć Informacje O Pacjencie?
HIPAA wymaga od organizacji opieki zdrowotnej i ich współpracowników wdrożenia zabezpieczeń w celu zapewnienia poufności, integralności i dostępności informacji o pacjentach, chociaż niewiele jest szczegółowych informacji na temat tego, jak zabezpieczyć informacje o pacjentach w przepisach HIPAA.
jest to zamierzone, ponieważ tempo rozwoju technologii jest znacznie większe niż szybkość, z jaką HIPAA może być aktualizowana. Jeśli szczegóły zostaną uwzględnione, wkrótce będą nieaktualne.
Technologia stale się zmienia i odkrywane są nowe luki w systemach i oprogramowaniu, które wcześniej uważano za bezpieczne. Zabezpieczanie informacji o pacjentach nie polega więc na wdrażaniu rozwiązań bezpieczeństwa i zapominaniu o nich. Aby naprawdę zabezpieczyć informacje o pacjencie, należy regularnie sprawdzać kontrole bezpieczeństwa, aktualizować zasady i procedury, utrzymywać oprogramowanie i rozwiązania zabezpieczające oraz aktualizować je po opracowaniu nowych, lepszych rozwiązań.
nie ma jednego rozwiązania zabezpieczającego, którego można użyć do zabezpieczenia informacji o pacjencie. Aby zapewnić bezpieczeństwo informacji o pacjencie, należy wdrożyć warstwowe mechanizmy obronne-szereg mechanizmów ochronnych, które spowalniają potencjalny atak i znacznie utrudniają dostęp do danych. Jest to często określane jako obrona w głębi.
typowe środki bezpieczeństwa, które można wdrożyć w ramach warstwowej strategii bezpieczeństwa, obejmują:
- zapora sieciowa zapobiegająca nieuprawnionemu dostępowi do sieci i danych
- filtr antyspamowy blokujący złośliwe wiadomości e – mail i złośliwe oprogramowanie
- rozwiązanie antywirusowe blokujące i wykrywające złośliwe oprogramowanie w systemie
- filtr sieciowy zapobiegający dostępowi pracowników do złośliwych witryn
- Kontrola dostępu i prywatności zapobiegająca niewłaściwemu dostępowi z wewnątrz organizacji
- >
- szyfrowanie danych na wszystkich urządzeniach przenośnych
- szyfrowanie w celu ochrony danych podczas przesyłania-szyfrowana wiadomość e-mail na przykład
- bezpieczny (zgodny z HIPAA)
- System Wykrywania włamań monitorujący zmiany plików i nieregularną aktywność sieci
- rozwiązania audytowe monitorujące niewłaściwy dostęp do informacji o pacjencie
- Kontrola odzyskiwania danych po awarii w celu zapewnienia stałego dostępu do danych w razie awarii
- rozbudowane kopie zapasowe w celu zapewnienia, że informacje o pacjencie nigdy nie zostaną utracone
- rozwiązania bezpieczeństwa umożliwiające zdalne usuwanie danych przechowywane na urządzeniach mobilnych w przypadku utraty lub kradzieży
- świadomość bezpieczeństwa i Ochrona przed phishingiem szkolenia dla personelu
- kontrole fizyczne w celu zapobiegania kradzieży danych i sprzętu
- skanowanie luk w zabezpieczeniach i testy penetracyjne w celu identyfikacji luk w zabezpieczeniach, zanim zostaną one wykryte przez hakerów
- dobre zasady zarządzania poprawkami, aby zapewnić aktualność oprogramowania i wolne od luk w zabezpieczeniach
podmioty objęte HIPAA mogą wdrożyć wszystkie lub wybrane środki kontroli bezpieczeństwa lub zlecić te usługi zarządzanemu dostawcy usług (MSP).
pacjenci mogą zapytać, w jaki sposób zabezpiecza się ich PHI
gdyby pacjent zapytał cię, w jaki sposób zabezpieczasz informacje o pacjencie, czy byłbyś w stanie udzielić mu odpowiedzi? Dla wielu lekarzy odpowiedź brzmi: nie. Lekarze dbają o opiekę nad pacjentami, a nie o wdrażanie rozwiązań bezpieczeństwa i zabezpieczeń w celu zapewnienia poufności, integralności i dostępności PHI. Zadanie to często pozostawia się działom IT i osobie odpowiedzialnej za zgodność z HIPAA. Wielu pracowników służby zdrowia byłoby w podobnej łodzi.
jednak biorąc pod uwagę ilość naruszeń danych medycznych, które obecnie występują, oraz ryzyko uszkodzenia i utraty w wyniku kradzieży PHI, wielu pacjentów martwi się o bezpieczeństwo danych i może zadać to pytanie.
pacjenci chcą mieć pewność, że wszelkie informacje przekazywane, tworzone i utrzymywane przez ich świadczeniodawców są bezpieczne i poufne. Może być pomocne, aby wiedzieć, jakie środki zostały zastosowane w celu zabezpieczenia ich informacji, dzięki czemu można podać informacje w Ogólnych Warunkach.
w większości przypadków wystarczy proste wyjaśnienie. Pacjenci po prostu chcą mieć pewność, że ich informacje zdrowotne są bezpieczne i pozostaną poufne.
ogólnie można wyjaśnić, że zabezpiecza się informacje o pacjencie poprzez:
- Szyfrowanie Phi w spoczynku i w tranzycie (jeśli tak jest)
- przechowywanie PHI tylko w systemach wewnętrznych chronionych przez zapory sieciowe
- Przechowywanie Wykresów w bezpiecznych lokalizacjach dostęp do nich mają tylko upoważnione osoby
- Korzystanie z kontroli dostępu, aby uniemożliwić nieupoważnionym osobom dostęp do PHI
- udostępnianie PHI tylko osobom lub organizacjom w celu ułatwienia świadczenia, koordynacji lub zarządzania opieką zdrowotną i powiązanymi usługami, takimi jak płatności i fakturowanie
- udostępnianie informacji Phi tylko ograniczonej liczbie osób trzecich po
- ponownie szkolić wszystkich pracowników (co roku) w celu zachowania wysokich standardów prywatności i bezpieczeństwa danych
- korzystasz z najnowszych wersji oprogramowania i zapewniasz, że całe oprogramowanie i system operacyjny są na bieżąco aktualizowane, a także używasz rozwiązań antywirusowych do blokowania złośliwego oprogramowania
jeśli pacjenci potrzebują więcej informacji lub chcą uzyskać szczegółowe informacje, możesz wyjaśnić, że ze względów bezpieczeństwa nie możesz podaj szczegółowe informacje na temat stosowanych zabezpieczeń. Tak jak nie powiesz nikomu, gdzie znajduje się twój sejf i ile obrotów tarczy jest wymaganych, aby go otworzyć.