Regulations

Privacy e sicurezza dei dati nel settore sanitario. Chi deve conformarsi all'HIPAA?

L'Health Insurance Portability and Accountability Act (HIPAA) è uno dei documenti chiave per ogni CISO che lavora nel settore sanitario. Scritto oltre 20 anni fa, molto prima che venissero inventati...

·6 min read· Denis ZaliznyakWritten by Denis Zaliznyak
data protection in healthcare hippa

Who needs to comply with HIPAA

 

L'Health Insurance Portability and Accountability Act (HIPAA) è uno dei documenti chiave per ogni CISO che lavora nel settore sanitarioScritto oltre 20 anni fa, molto prima che fossero inventati smartphone, WiFI o Google, regola ancora la sicurezza delle informazioni sanitarie nel settoreScopri come viene applicato al giorno d'oggi per garantire cure mediche sicure

Perché la sicurezza dei dati è importante nel settore sanitario?

NomeIndirizzoIDPrescrizioniFotografie

È solo una frazione dei dati che le organizzazioni sanitarie avevano, hanno e avranno sui loro clientiL'accesso non autorizzato a tali informazioni può comportare gravi conseguenze per l'individuo divulgatoPotrebbero subire furto di identità, frode, furto di denaro e danni moraliLa ricerca ha scoperto che le cartelle cliniche delle violazioni dei dati ospedalieri possono costare centinaia di dollari ciascuna su un mercato nero

Per un'organizzazione sanitaria, la posta in gioco è alta quando si tratta di problemi di sicurezza dei dati dei pazientiLe violazioni della sicurezza nel settore sanitario comportano spese per esperti forensi indipendenti, indagini interne, comunicazioni con dipendenti e clienti, accordi, multe e, in ultima analisi, danni alla reputazione e perdita della fiducia dei clienti che colpiscono il profitto a lungo termine dell'organizzazione

Ecco perché un ruolo CISO è della massima importanza nel settore sanitarioÈ loro compito sviluppare un sistema che mitighi adeguatamente i rischi e protegga dalle minacce previste 

Cos'è la sicurezza dei dati per PHI?

HIPAA garantisce la sicurezza dei dati sanitari (PHI) regolando il modo in cui vengono utilizzati, mantenuti, archiviati o trasmessi da un'entità coperta da HIPAA (un operatore sanitario, un piano sanitario o un assicuratore sanitario, una stanza di compensazione sanitaria) o un socio in affari di tale entità

PHI è l'acronimo di Protected Health Information e, sotto HIPAA, copre qualsiasi informazione relativa allo stato di salute di un individuoInclude cartelle cliniche, storie di salute, risultati dei test di laboratorio e spese medicheLe PHI sono protette indipendentemente dalla forma che assumono, inclusi documenti fisici, record elettronici o informazioni vocaliUna volta che le informazioni sulla salute includono identificatori individuali, diventano PHI e sono protette dall'HIPAA
Ci sono 18 identificatori PHI:
  • Nome
  • Indirizzo (comprese le suddivisioni più piccole di uno stato, come indirizzo, città, provincia o codice postale)
  • Qualsiasi data (tranne gli anni) direttamente correlata a un individuoInclude il compleanno, la data di ricovero o dimissione, la data di morte o l'età esatta
  • Numero di telefono
  • Numero di fax
  • Indirizzo e-mail
  • Numero di previdenza sociale
  • Numero di cartella clinica
  • Numero beneficiario piano sanitario
  • Numero di conto
  • Numero certificato/licenza
  • Identificativi del veicolo, numeri di serie o numeri di targa
  • Identificatori del dispositivo o numeri di serie
  • URL web
  • Indirizzo IP
  • Identificatori biometrici come impronte digitali o impronte vocali
  • Foto a figura intera
  • Qualsiasi altro numero identificativo univoco, caratteristica o codice

Le entità coperte da HIPAA e i loro soci in affari devono rispettare i requisiti di riservatezza, integrità e disponibilità per le PHI elettroniche (ePHI)La riservatezza consiste nel mantenere che le ePHI non vengano divulgate illegalmente senza l'adeguata autorizzazione del pazienteIntegrità significa garantire che le ePHI trasferite o mantenute da un'organizzazione sanitaria siano accessibili solo a soggetti appropriati e autorizzatiLa disponibilità consente ai pazienti di accedere al proprio ePHI secondo gli standard di sicurezza HIPAA

Una linea tra PHI e non PHI

Si ritiene spesso che tutte le informazioni sanitarie siano considerate PHI sotto HIPAA, ma ci sono alcune eccezioni

HIPAA si applica solo alle entità coperte e ai loro soci in affariSignifica che se le informazioni sanitarie non sono condivise con tali entità, non sono considerate PHI

Prendiamo ad esempio i tracker della salute (indossabili o app per dispositivi mobili) che registrano informazioni sulla salute come la frequenza cardiaca o la pressione sanguignaA meno che il produttore del dispositivo o lo sviluppatore dell'app non condivida questi dati con un'entità coperta da HIPAA, non sono considerati PHI ai sensi di HIPAA

HIPAA non si applica ai registri dell'istruzione o dell'occupazioneUn ospedale può conservare dati sui propri dipendenti, che possono includere alcune informazioni sulla salute come allergie o gruppo sanguigno, ma non è classificato come PHI

Se il PHI viene privato di tutti gli identificatori che possono collegarlo a un individuo, diventa PHI anonimizzato e le regole HIPAA non si applicano più

Cos'è una violazione dei dati nel settore sanitario?

Violazione dei dati nel settore sanitario significa che uno o più record sono a rischio di essere esposti o è noto che sono stati consultati o divulgati senza autorizzazioneAnche il potenziale accesso ai dati conta come una violazione della sicurezza dei dati

Le violazioni della sicurezza dei big data si verificano ogni anno e prendono di mira anche le più grandi aziende sanitarieUn singolo attacco all'American Medical Collection Agency ha colpito 25 milioni di pazienti

La ricerca mostra che gli attacchi ransomware e SQL injection sono la causa più comune di una violazione dei dati sanitariSpesso si verificano quando dipendenti stressati e/o inconsapevoli non riescono a identificare e-mail, siti Web o software dannosi

Un'altra sfida comune è la conformità con i criteri di autenticazione degli utentiGli operatori sanitari utilizzano più postazioni di lavoro condivise, il che spesso può portare alla divulgazione involontaria di informazioniLa sicurezza dei dati sanitari non è, e non dovrebbe essere, la loro priorità numero unoÈ compito del CISO fornire una soluzione di gestione degli accessi che sia sicura e facile per gli utenti finali

Soluzione per un'assistenza sanitaria sicura

Hideez ha sviluppato una soluzione di autenticazione di prim'ordine specifica per il settore sanitarioGarantisce la sicurezza dei dati dei pazienti in un ambiente potenzialmente rischioso di computer condivisi a cui accedono più utenti simultanei

Una funzione di gestione delle password integrata in una Hideez Enterprise Solution protegge gli utenti dagli attacchi di phishing fornendo password solo per domini attendibiliLa chiave offre anche un ulteriore livello di personificazione e controlli di prossimità wireless avanzati che rendono più realizzabile la protezione dei dati nel settore sanitarioI computer incustoditi sono una delle sfide più difficili che i CISO devono affrontare ai sensi dell'HIPAA nel settore sanitarioSi riduce a un fattore umano e un semplice timeout non è sufficiente

Con i controlli di prossimità, hai un modo elegante per bloccare il computer quando non è più in usoUn operatore sanitario deve solo allontanarsi di tre o quattro passi dal computer perché si blocchi automaticamenteElimina il carico cognitivo sulla sicurezza dei dati dai professionisti mediciUsa semplicemente la soluzione Hideez per liberare i tuoi colleghi dalle password e risparmiare tempo