HIPAA necesită organizații de asistență medicală de toate dimensiunile pentru a asigura informații de sănătate protejate (PHI), dar cum pot entitățile acoperite să asigure informații despre pacienți? Dacă sunteți întrebat cum securizați informațiile despre pacient, ați putea oferi un răspuns?
Cum Puteți Asigura Informațiile Pacientului?
HIPAA cere organizațiilor de asistență medicală și asociaților lor de afaceri să pună în aplicare măsuri de protecție pentru a asigura confidențialitatea, integritatea și disponibilitatea PHI, deși există puține detalii furnizate cu privire la modul de securizare a informațiilor despre pacienți în reglementările HIPAA.
acest lucru este intenționat, deoarece ritmul în care tehnologia avansează este mult mai mare decât viteza cu care HIPAA poate fi actualizat. Dacă ar fi incluse detalii, acestea ar fi în curând depășite.
tehnologia este în continuă schimbare și noi vulnerabilități sunt descoperite în sistemele și software-ul considerat anterior a fi sigur. Prin urmare, asigurarea informațiilor despre pacienți nu înseamnă implementarea soluțiilor de securitate și uitarea acestora. Pentru a asigura cu adevărat informațiile pacientului, trebuie să revizuiți periodic controalele de securitate, să actualizați politicile și procedurile, să mențineți software și soluții de securitate și să faceți upgrade atunci când sunt dezvoltate soluții noi și mai bune.
nu există o singură soluție de securitate care să poată fi utilizată pentru a asigura informațiile pacientului. Pentru a păstra informațiile pacientului în siguranță, trebuie să implementați sisteme de apărare stratificate – o serie de mecanisme de protecție care încetinesc orice potențial atac și îngreunează accesul la date. Acest lucru este adesea denumit apărare în profunzime.
măsurile de securitate tipice care pot fi implementate ca parte a unei strategii de securitate stratificate includ:
- un firewall pentru a împiedica persoanele neautorizate să acceseze rețeaua și datele dvs.
- un filtru de spam pentru a bloca e – mailurile rău intenționate și malware
- o soluție antivirus pentru a bloca și detecta malware pe sistemul dvs.
- un filtru web pentru a împiedica angajații să acceseze site-uri web rău intenționate
- controale de acces și confidențialitate pentru a preveni accesul necorespunzător din cadrul organizației
- criptarea datelor pe toate dispozitivele portabile
- criptare pentru a proteja datele în tranzit-e-mail criptat de exemplu
- a securizat (compatibil HIPAA) platformă de mesagerie care criptează toate comunicațiile
- un sistem de detectare a intruziunilor care monitorizează modificările fișierelor și activitatea neregulată a rețelei
- soluții de audit care monitorizează accesarea necorespunzătoare a informațiilor despre pacient
- controale de recuperare în caz de dezastru pentru a asigura accesul continuu la date în caz de urgență
- backup-uri extinse pentru a asigura că informațiile despre pacient nu se pierd niciodată
- soluții de securitate care permit ștergerea de la distanță a datelor stocate pe dispozitivele mobile în caz de pierdere sau furt
- conștientizare de securitate și anti-phishing instruire pentru personal
- controale fizice pentru a preveni furtul de date și echipamente
- scanarea vulnerabilităților și testarea penetrării pentru a identifica vulnerabilitățile înainte ca acestea să fie descoperite de hackeri
- politici bune de gestionare a corecțiilor pentru a vă asigura că software-ul este actualizat și lipsit de vulnerabilități
entitățile acoperite de HIPAA pot implementa toate sau o selecție a acestor controale de securitate sau pot externaliza aceste servicii către furnizorul de servicii gestionate (MSP).
pacienții s-ar putea întreba cum li se asigură PHI
dacă un pacient v-ar întreba cum securizați informațiile despre pacient, ați putea să le oferiți un răspuns? Pentru mulți medici, răspunsul ar fi nu. Medicii sunt preocupați de furnizarea de îngrijiri pacienților, nu de implementarea de soluții de securitate și de garanții pentru a asigura confidențialitatea, integritatea și disponibilitatea PHI. Această sarcină este adesea lăsată departamentelor IT și persoanei responsabile de conformitatea HIPAA. Mulți profesioniști din domeniul sănătății ar fi într-o barcă similară.
cu toate acestea, având în vedere volumul de încălcări ale datelor din domeniul sănătății care apar acum și riscul de vătămare și pierdere ca urmare a furtului de PHI, mulți pacienți sunt preocupați de securitatea datelor și pot pune întrebarea.
pacienții doresc să fie asigurați că orice informație furnizată, creată și întreținută de furnizorii lor de asistență medicală este sigură și rămâne confidențială. Poate fi util să știți ce măsuri au fost utilizate pentru a le asigura informațiile, astfel încât să puteți furniza informații în termeni generali.
în cele mai multe cazuri, o explicație simplă este tot ceea ce este necesar. Pacienții doresc doar reasigurarea că informațiile lor de sănătate sunt sigure și vor rămâne confidențiale.
în termeni generali, puteți explica faptul că asigurați informațiile pacientului prin:
- criptarea PHI în repaus și în tranzit (dacă este cazul)
- numai stocarea PHI pe sisteme interne protejate de firewall-uri
- stocarea diagramelor în locații sigure acestea pot fi accesate numai de persoane autorizate
- utilizarea controalelor de acces pentru a împiedica persoanele neautorizate să acceseze PHI
- numai partajarea PHI cu persoane facilitarea furnizării, coordonării sau gestionării serviciilor de îngrijire a sănătății și a serviciilor conexe, cum ar fi plata și facturarea
- numai partajarea phi cu un set limitat de terțe părți după o a fost încheiat un contract pentru a se asigura că respectă reguli stricte care acoperă utilizările și dezvăluirile PHI și securitatea datelor
- re-instruirea întregului personal (anual) pentru a menține standarde ridicate de confidențialitate și securitate a datelor
- utilizați cele mai recente versiuni de software și asigurați-vă că toate software-urile și sistemele de operare sunt actualizate și utilizați soluții antivirus pentru a bloca programele malware
dacă pacienții necesită mai multe informații sau doresc detalii, puteți explica faptul că, din motive de securitate, nu puteți face acest lucru furnizați informații detaliate despre controalele de securitate pe care le aveți în vigoare. La fel cum nu ați spune nimănui unde se află seiful dvs. și câte rotații ale cadranului sunt necesare pentru ao deschide.