Соответствие требованиям HIPAA в области ИТ: правила конфиденциальности и безопасности, которые вы должны знать

Опубликовано: 1 Апреля, 2023
Соответствие требованиям HIPAA в области ИТ: правила конфиденциальности и безопасности, которые вы должны знать

Любой, кто работает в сфере здравоохранения, наверняка слышал о HIPAA — наборе стандартов безопасности для защиты медицинской информации. Однако даже те, кто не работает в больнице или медицинской практике — например, поставщики услуг, которые обрабатывают данные пациентов от имени сектора, — также подпадают под действие правил. Включая субподрядчиков, тех, кто занимается страховыми процессами, и компании, которые управляют сетями. Пациенты имеют право хранить свои медицинские записи и личную информацию в безопасности и конфиденциальности. Таким образом, эти данные должны быть защищены и должным образом управляться, а доступ к ним должен постоянно контролироваться. Соответствие ИТ требованиям HIPAA в основном касается обеспечения соблюдения всех положений правил безопасности HIPAA.

Что такое ХИПАА?

Изображение 10041
Шаттерсток

HIPAA — это аббревиатура Закона о переносимости и подотчетности медицинского страхования. В индустрии здравоохранения все знают это как «обязательное санитарное правило», которому необходимо строго следовать. Впервые принятый Конгрессом США в 1996 г., закон направлен, во-первых, на обеспечение безопасности и конфиденциальности информации о пациентах и, во-вторых, на обеспечение непрерывного медицинского страхования.

В двух словах, изначально речь шла о повышении эффективности и действенности системы здравоохранения в США. Для этого в ней содержится множество положений, обеспечивающих национальные стандарты электронного здравоохранения, уникальных идентификаторов и безопасности. Кроме того, с развитием электронных технологий возникла заметная угроза конфиденциальности медицинской информации. Таким образом, в конце 2000 г. были включены положения для защиты конфиденциальности информации, позволяющей установить личность, в форме «Правила конфиденциальности HIPAA» (последнее обновление в 2002 г.). В начале 2003 г. было опубликовано «Правило безопасности HIPAA», которое устанавливает стандарты защиты конфиденциальности, целостности и доступности электронной медицинской информации с соблюдением обязательных требований с 2005 по 2006 г.

Правило безопасности помогает удовлетворить правило конфиденциальности, предоставляя организационные рекомендации для технических и организационных процессов. Организации должны внедрить их для соблюдения и защиты информации о пациентах, в том числе в электронной форме (ePHI).

Спустя двадцать с лишним лет HIPAA продолжает оставаться в центре внимания везде, где обрабатываются данные пациентов. Поскольку медицинские данные высоко ценятся как человеком, которому они принадлежат, так и преступниками, которые хотят их использовать, требования HIPAA должны быть удовлетворены. Если нарушение действительно происходит, процедура, которой необходимо следовать, изложена в «правиле уведомления о нарушении». Хотя HIPAA может показаться на первый взгляд расплывчатым, все требования изложены, и незнание закона не допускается в качестве уважительной причины для несоблюдения.

Ответственность за защиту данных пациентов распределена между многими предприятиями. Поэтому очень важно знать важность HIPAA и понимать свою роль ИТ-специалиста. Это включает в себя всех, кто работает в секторе здравоохранения, и даже тех, кто не работает в больнице или медицинской практике. Поставщики услуг, которые обрабатывают данные пациентов от имени отрасли, также подпадают под действие правил.

Для соответствия требованиям ИТ правило безопасности HIPAA и правило конфиденциальности, в частности, имеют первостепенное значение для защиты пациентов и их данных.

Кто должен соблюдать

Те, кто должен соблюдать, сгруппированы следующим образом:

  • Застрахованные лица: организации здравоохранения, обрабатывающие ePHI.
  • Деловые партнеры: поставщики услуг, которые обрабатывают (получают, создают, поддерживают или передают) ePHI для организации, на которую распространяется действие.
  • Рабочая сила: Любой, кто работает (платно или бесплатно) на застрахованную организацию или деловых партнеров, таких как сотрудники, стажеры и волонтеры.

Информация, которую вы должны защищать

Вся индивидуально идентифицируемая медицинская информация, включая цифровую, бумажную или устную, должна быть защищена. Его часто называют PHI или ePHI, если он цифровой.

Данные включают:

  • Имя, адрес, дата рождения, номер социального страхования
  • Данные о здоровье пациентов — физическое или психическое состояние
  • Осуществляется уход и лечение пациентов
  • Платежные реквизиты и личная информация
  • Любые данные, которые могут идентифицировать пациента

Соблюдение правила конфиденциальности и безопасности HIPAA

  • Правило конфиденциальности HIPAA

Это правило контролирует, как можно использовать и раскрывать ePHI, а также устанавливает ограничения. Он требует соответствующих мер защиты для защиты конфиденциальности личной медицинской информации. Он предоставляет пациентам первичные права на их информацию (как и GDPR). Пациенты также могут решать, как их информация будет использоваться и передаваться.

  • Правило безопасности HIPAA

Это правило включает стандарты защиты ePHI при хранении и передаче. Он указывает, как защитить данные, и применяется к любому лицу или системе, имеющим доступ к данным. Он направлен на предотвращение нарушений при обработке (совместном использовании, создании, хранении и уничтожении) медицинской информации.

Правило безопасности включает в себя следующие необходимые меры безопасности:
Технические меры безопасности, которые включают технологии, используемые для защиты информации .
Физические меры безопасности, предполагающие физический доступ к информации (независимо от ее местонахождения).
Административные меры безопасности, такие как политики и процедуры, которым должны следовать сотрудники (они согласуются с правилом конфиденциальности и безопасности).

Все они требуют разных стандартов, и некоторые защитные механизмы являются явными, в то время как другие являются предметом переговоров в отношении используемых процедур и предоставляют организации некоторую гибкость и выбор. В этом случае необходимо обратиться к спецификации, но не обязательно делать это особым образом.

Контрольный список: технические меры безопасности

Изображение 10042
Шаттерсток

Контроль доступа

  • Назначьте централизованно управляемое уникальное имя пользователя и PIN-код для каждого пользователя.
  • Установите процедуры для управления доступом к данным во время чрезвычайной ситуации, чтобы к данным можно было получить доступ в такое время.
  • Иметь возможности автоматического выхода из системы там, где обрабатывается или хранится ePHI, включая устройства и ПК, используемые сотрудниками для доступа и передачи этих данных.
  • Шифрование требуется для защиты всех ePHI.

Аутентификация

  • Требуется механизм аутентификации ePHI, чтобы только те, у кого есть доступ к данным, могли получить к ним доступ. Это помогает управлять целостностью данных. Таким образом, организация может продемонстрировать, что данные не были изменены или уничтожены без разрешения.

Шифрование и дешифрование

  • Шифрование является обязательным требованием, и организация должна иметь систему для шифрования связи при передаче и хранении. Когда сообщения выходят за пределы внутреннего сервера брандмауэра организации, они должны быть зашифрованы и доступны только получателю с авторизованным доступом посредством расшифровки.
  • ePHI никогда не должен быть доступен для чтения кем-либо без авторизации, а благодаря внедрению эффективного механизма шифрования в случае взлома данные становятся непригодными для использования.

Контроль аудита

  • Основным компонентом безопасности данных является возможность отслеживать попытки доступа к данным, когда осуществляется доступ к данным и как они используются. Таким образом, система, которая регистрирует доступ, имеет важное значение.
  • Мониторинг, ведение журналов, отчетность — все это необходимо для надлежащего управления безопасностью данных и демонстрации соответствия требованиям.

Контрольный список: физические меры безопасности

Изображение 556
Шаттерсток

Контроль доступа к объекту

  • Установите процедуры для контроля и управления доступом к физической среде (включая всех, у кого есть доступ).
  • Установите процедуры для контроля и управления доступом к физическому хранилищу данных.
  • Разработайте подробный план обеспечения безопасности объекта с мерами безопасности, которые регулируют доступ к оборудованию и хранилищам данных ePHI для предотвращения несанкционированного доступа и потери данных.
  • Отслеживайте, регистрируйте и сообщайте о доступе.
  • Документируйте любые изменения, внесенные в физическую среду.

Управление рабочими станциями

  • Установите правила использования рабочих станций.
  • Ограничьте использование рабочих станций, имеющих доступ к ePHI.
  • Внедрите меры безопасности для обеспечения безопасности рабочих станций и управления использованием оборудования.

Инвентаризация оборудования

  • Поддерживайте инвентаризацию оборудования, местоположение оборудования должно быть известно, а изменения в местоположении регистрируются.
  • Перед перемещением любого оборудования необходимо создать извлекаемую копию ePHI, обнаруженную на оборудовании.
  • Утилизация оборудования, содержащего ePHI, должна регулироваться.

Мобильные устройства

  • Если для доступа к ePHI используются мобильные устройства, должны существовать политики для управления доступом, использованием и удалением ePHI.
  • Должна быть внедрена система, обеспечивающая защиту ePHI, даже если устройство потеряно, утилизировано, сотрудник уволится или оно будет использоваться кем-то другим. Это гарантирует, что независимо от обстоятельств поддерживается только авторизованный доступ к данным.
  • Требуются процедуры и резервное копирование данных.

Контрольный список: административные гарантии

Необходимо принять меры для защиты личной медицинской информации и в то же время для регулирования рабочей силы. Административные меры направлены на решение этой проблемы.

Оценка рисков и управление рисками

  • Оценка рисков является основной областью и является обязательной.
  • Необходимо провести оценку рисков, чтобы определить, где используется ePHI, и установить различные способы потенциального взлома ePHI.
  • Оценка рисков не является одноразовым процессом, ее следует проводить периодически.
  • Меры должны быть обновлены и введены по мере необходимости для снижения уровня риска до надлежащего уровня.
  • Должна быть введена политика управления рисками.
  • Поведение рабочей силы и деятельность системы должны регулироваться и контролироваться. Чтобы сотрудники постоянно работали, соблюдая политики и процедуры безопасности, и в случае обнаружения несоблюдения должны быть предприняты соответствующие действия во избежание повторения.
  • Оценки рисков будут проверяться в рамках аудита HIPAA, поэтому они должны проводиться комплексно и регулярно.

Обучение и информирование сотрудников по вопросам безопасности

  • Обучите сотрудников политикам и процедурам безопасности медицинской информации (ePHI).
  • Следуйте регулярным графикам обучения, чтобы поддерживать высокий уровень осведомленности о безопасности.
  • Информируйте сотрудников о вредоносных программах, типах вредоносных атак и способах выявления злонамеренного поведения.
  • Держите сотрудников в курсе текущих типов вредоносных программ.
  • Документируйте все тренировки.

Разработайте план на случай непредвиденных обстоятельств и протестируйте его

  • План на случай непредвиденных обстоятельств, который следует соблюдать после чрезвычайной ситуации, чтобы обеспечить продолжение критических бизнес-процессов, является важным и обязательным.
  • Планы на случай непредвиденных обстоятельств должны быть проверены, отработаны и пересмотрены, чтобы гарантировать, что они абсолютны и эффективны.
  • Должен существовать план, который должен позволять продолжать критически важные бизнес-процессы. При этом ePHI должна быть защищена и доступна для сотрудников, имеющих право доступа к ней в аварийном режиме работы.
  • План резервного копирования данных имеет важное значение, резервные копии должны быть актуальными и восстанавливаемыми, чтобы при необходимости можно было восстановить ePHI.
  • Внедрите план аварийного восстановления в случае нарушения.

Управление доступом к информации

  • Доступ к информации не должен осуществляться неуполномоченными сторонними организациями (субподрядчиками или головными организациями).
  • Доступ третьих лиц к ePHI должен надлежащим образом управляться, а доступ должен быть изолирован и ограничен.
  • Доступ сотрудников к ePHI должен быть ограничен и контролироваться для защиты данных и их целостности и ограничения риска.
  • Контракты и соглашения должны быть подписаны с партнерами и деловыми партнерами, имеющими доступ к ePHI.
  • Деловые партнеры должны согласиться соблюдать меры безопасности организации ePHI.
  • Мониторинг жизненно важен для обнаружения любого несанкционированного доступа или попытки несанкционированного доступа к ePHI.

Процедуры инцидентов и отчетность

  • Иметь документированную процедуру реагирования и сообщения о нарушениях и инцидентах безопасности.
  • Последствия инцидента или нарушения должны быть задокументированы и сообщены

Наказания выходят за рамки штрафов

Соответствие HIPAA является юридическим требованием, поскольку информация о состоянии здоровья является очень конфиденциальной, ценной и упорядоченной. Утерянные или украденные данные в результате атаки или случайной ошибки могут привести к далеко идущим последствиям. Хотя финансовые штрафы за несоблюдение требований высоки, штраф может варьироваться от минимума 100 долларов США за нарушение до максимума 50 000 долларов США за нарушение в зависимости от типа нарушения. С максимальным ежегодным штрафом в размере 1,5 миллиона долларов за повторные нарушения. Таким образом, это обоснованная проблема, но это не единственное последствие, если произойдет нарушение.

Ущерб репутации и дальнейшие юридические проблемы также значительны. Соответствие HIPAA не гарантирует полной защиты от любых случайностей или угроз. Тем не менее, он обеспечивает прочную основу для защиты информации и процессов в отрасли. Вот почему в секторе здравоохранения это является обязательным минимумом, на котором отрасль может развиваться дальше.

Правило обеспечения соблюдения HIPAA — это способ, с помощью которого регулирующий орган может контролировать соблюдение HIPAA, и за несоблюдение могут быть наложены штрафы.

Аудиты подтвердят, соблюдаются ли требования по защите ePHI в таких областях, как управление рисками, практика конфиденциальности, управление доступом, обучение, безопасность передачи и безопасность устройств, и это лишь некоторые из них.

Как правило, деловые партнеры уделяют первоочередное внимание соблюдению требований HIPAA, уделяя особое внимание правилам конфиденциальности и безопасности. Возможно, на это повлияло введение в действие GDPR в 2018 году, поскольку эти два правила имеют сходство и общие требования.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023