HIPAA kräver vårdorganisationer av alla storlekar för att säkra skyddad hälsoinformation (PHI), men hur kan täckta enheter säkra patientinformation? Om du blir frågad hur du säkrar patientinformation, kan du ge ett svar?
Hur Kan Du Säkra Patientinformation?
HIPAA kräver vårdorganisationer och deras affärspartners att genomföra skyddsåtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet av PHI, även om det finns liten detalj om hur man säkrar patientinformation i HIPAA-reglerna.
detta är avsiktligt, eftersom den takt som tekniken går framåt är mycket större än den hastighet med vilken HIPAA kan uppdateras. Om detaljer inkluderades skulle de snart vara inaktuella.
tekniken förändras ständigt och nya sårbarheter upptäcks i system och programvara som tidigare ansågs vara säkra. Att säkra patientinformation handlar därför inte om att implementera säkerhetslösningar och glömma bort dem. För att verkligen säkra patientinformation måste du regelbundet granska dina säkerhetskontroller, uppdatera policyer och procedurer, underhålla programvara och säkerhetslösningar och uppgradera när nya, bättre lösningar utvecklas.
det finns ingen enda säkerhetslösning som kan användas för att säkra patientinformation. För att hålla patientinformationen säker måste du implementera skiktade försvar – en rad skyddsmekanismer som saktar ner eventuella attacker och gör dataåtkomst mycket svårare. Detta kallas ofta försvar på djupet.
typiska säkerhetsåtgärder som kan implementeras som en del av en lagrad säkerhetsstrategi inkluderar:
- en brandvägg för att förhindra obehöriga från att komma åt ditt nätverk och data
- ett spamfilter för att blockera skadlig e – post och skadlig kod
- en antiviruslösning för att blockera och upptäcka skadlig kod på ditt system
- ett webbfilter för att förhindra anställda från att komma åt skadliga webbplatser
- åtkomst-och sekretesskontroller för att förhindra felaktig åtkomst från organisationen
- datakryptering på alla bärbara enheter
- kryptering för att skydda data i transit-krypterad e-post till exempel
- en säker (HIPAA-kompatibel) meddelandeplattform som krypterar all kommunikation
- ett intrångsdetekteringssystem som övervakar för filändringar och oregelbunden nätverksaktivitet
- Granskningslösningar som övervakar för felaktig åtkomst av patientinformation
- Katastrofåterställningskontroller för att säkerställa fortsatt åtkomst till data i händelse av en nödsituation
- omfattande säkerhetskopior för att säkerställa att patientinformationen aldrig går förlorad
- säkerhetslösningar som möjliggör fjärradering av data lagrade på mobila enheter enheter i händelse av förlust eller stöld
- säkerhetsmedvetenhet och anti-phishing utbildning för personal
- fysiska kontroller för att förhindra stöld av data och utrustning
- Sårbarhetsskanning och penetrationstestning för att identifiera sårbarheter innan de upptäcks av hackare
- bra patchhanteringspolicyer för att säkerställa att programvaran hålls uppdaterad och fri från sårbarheter
HIPAA-täckta enheter kan implementera alla eller ett urval av dessa säkerhetskontroller eller kan lägga ut dessa tjänster till managed service provider (MSP).
patienter kan fråga hur deras PHI är säkrad
om en patient frågade dig hur säkrar du patientinformation, skulle du kunna ge dem ett svar? För många läkare skulle svaret vara nej. Läkare sysslar med att ge vård till patienter, inte med nitty gritty att genomföra säkerhetslösningar och skyddsåtgärder för att säkerställa sekretess, integritet och tillgänglighet av PHI. Den uppgiften lämnas ofta till deras IT-avdelningar och den person som ansvarar för HIPAA-efterlevnad. Många vårdpersonal skulle vara i en liknande båt.
men med tanke på volymen av vårddataöverträdelser som nu inträffar och risken för skada och förlust till följd av stöld av PHI, är många patienter oroade över datasäkerhet och kan ställa frågan.
patienter vill vara säkra på att all information som tillhandahålls, skapas av och underhålls av deras vårdgivare är säker och förblir konfidentiell. Det kan vara bra att veta vilka åtgärder som har använts för att säkra deras information, så att du kan ge information i allmänna termer.
i de flesta fall är en enkel förklaring allt som krävs. Patienter vill bara försäkra sig om att deras hälsoinformation är säker och kommer att förbli konfidentiell.
generellt sett kan du förklara att du säkrar patientinformation genom att:
- kryptering av PHI i vila och i transit (om så är fallet)
- endast lagring av PHI på interna system som skyddas av brandväggar
- lagring av diagram på säkra platser de kan endast nås av auktoriserade individer
- använda åtkomstkontroller för att förhindra obehöriga att komma åt PHI
- endast delning av PHI med individer eller organisationer för att underlätta tillhandahållande, samordning eller hantering av hälso-och sjukvård och relaterade tjänster såsom betalning och fakturering
- endast dela Phi med en begränsad uppsättning tredje parter efter en kontrakt har ingåtts för att säkerställa att de följer strikta regler som omfattar användning och utlämnande av PHI och datasäkerhet
- re-train all personal (årligen) för att upprätthålla hög integritet och datasäkerhetsstandarder
- du använder de senaste programversionerna och se till att alla program och operativsystem hålls uppdaterade och använda antiviruslösningar för att blockera skadlig kod
om patienter behöver mer information eller vill ha detaljer, kan du förklara att av säkerhetsskäl kan du inte ge detaljerad information om säkerhetskontroller du har på plats. Precis som du inte skulle berätta för någon var ditt kassaskåp är beläget och hur många varv på ratten som krävs för att öppna den.