Конфіденційність пацієнта та засекречення медичних даних є надзвичайно важливими для провайдерів охорони здоров'я. Однак зі зростанням електронних медичних записів несанкціонований доступ та порушення захисту даних пацієнтів стають все більш поширеними. Саме для цього і був прийнятий Закон про переносимість медичного страхування та відповідальність (HIPAA).
HIPAA - це федеральний закон, прийнятий в 1996 році, який встановлює стандарти щодо конфіденційності та безпеки захищеної інформації про здоров'я (PHI). Мета HIPAA - забезпечити рамки для захисту конфіденційності пацієнтів та гарантувати конфіденційність, цілісність та доступність PHI. Закон має дві основні частини: Правило про конфіденційність та Правило про безпеку. У цій статті ми сфокусуємося на Правилі про конфіденційність та дослідимо, що саме воно включає та чому воно важливе.
Значення HIPAA
HIPAA - це абревіатура від Закону про переносимість медичного страхування та відповідальність, федерального закону, прийнятого в 1996 році. Закон містить положення, що стосуються медичного страхування, медичних накопичувальних рахунків та конфіденційності та безпеки PHI. Правило про конфіденційність є частиною HIPAA, яка встановлює стандарти використання та розкриття PHI керованими суб'єктами.
Чому було створено HIPAA
HIPAA було створено з метою вирішення кількох проблем, включаючи переносимість медичного страхування, спрощення адміністративних процедур та конфіденційність та безпеку PHI. До прийняття HIPAA не існувало федеральних регуляцій, що регулюють конфіденційність та безпеку PHI. HIPAA спрямований на створення рамок для захисту конфіденційності пацієнтів та забезпечення конфіденційності, цілісності та доступності PHI.
Положення HIPAA розділені на п'ять заголовків, при цьому Заголовок II спеціально зосереджується на конфіденційності та безпеці PHI. Згідно з Заголовком II, HIPAA має дві основні правила: Правило про конфіденційність та Правило про безпеку. Правило про конфіденційність встановлює національні стандарти захисту PHI і застосовується до провайдерів охорони здоров'я, медичних планів та медичних обмінних платформ. Правило про безпеку встановлює стандарти захисту електронного PHI (ePHI) і застосовується тільки до керованих суб'єктів, які створюють, отримують, зберігають або передають ePHI.
HIPAA проти FERPA
HIPAA і FERPA це два федеральні закони, які регулюють конфіденційність та безпеку різних типів інформації. В той час як HIPAA фокусується на захищеній інформації про стан здоров'я (PHI) і застосовується до провайдерів охорони здоров'я, медичних планів та медичних обмінних платформ, FERPA застосовується до навчальних записів і освітніх установ, які отримують федеральне фінансування. Хоча є деякі схожості між цими двома законами, такими як вимоги до оцінки ризику та управління ризиком, також існують важливі відмінності у типах інформації, що охоплюються, типах організацій, яким потрібно дотримуватися, а також конкретним вимогам до виконання. Організації з охорони здоров'я повинні бути усвідомлені цих відмінностей при розробці своїх стратегій виконання та впровадження заходів безпеки для захисту чутливих даних пацієнтів.
Стандарти HIPAA щодо конфіденційності
HIPAA встановлює строгі стандарти щодо конфіденційності PHI. Керовані суб'єкти повинні використовувати та розкривати PHI тільки для лікування, оплати та медичних операцій або за згодою пацієнта або в інших випадках, дозволених законом. Керовані суб'єкти також повинні впроваджувати заходи захисту PHI, включаючи адміністративні, фізичні та технічні заходи безпеки. Ці заходи безпеки повинні періодично переглядатися і оновлюватися для забезпечення безперервного виконання.
Правило вимагає від організацій охорони здоров'я отримувати письмову згоду від пацієнтів перед використанням або розкриттям їх PHI, за винятком певних ситуацій, таких як лікування, оплата та медичні операції.
Згідно з HIPAA, пацієнти мають право:
- доступати до своїх медичних записів і подавати запити на виправлення
- отримувати повідомлення про конфіденційність практик від їх провайдера охорони здоров'я
- подавати скарги до OCR, якщо вони вважають, що їхні права порушено.
Правило про конфіденційність HIPAA також вимагає від організацій охорони здоров'я:
- призначити приватного офіцера з конфіденційності для нагляду за виконанням HIPAA
- проводити регулярну підготовку працівників з правил HIPAA
- отримувати письмові угоди з бізнес-асоціатами від постачальників, які обробляють ePHI
- розробляти політики та процедури для забезпечення виконання Правила про конфіденційність.
Що таке Правила HIPAA щодо безпеки?
Правило HIPAA щодо безпеки встановлює стандарти для захисту ePHI. Правило вимагає від організацій охорони здоров'я впроваджувати конкретні адміністративні, фізичні та технічні заходи захисту для забезпечення конфіденційності, цілісності та доступності ePHI.
Правило HIPAA щодо безпеки вимагає від організацій охорони здоров'я:
- впроваджувати політики та процедури для запобігання, виявлення, обмеження та виправлення порушень безпеки
- проводити регулярні оцінки ризиків для ідентифікації потенційних вразливостей
- впроваджувати програми навчання та підвищення обізнаності персоналу щодо безпеки
- встановлювати контролі доступу для обмеження доступу до ePHI тільки авторизованому персоналу
- шифрувати та дешифрувати ePHI під час зберігання або передачі
- впроваджувати контроль аудиту для реєстрації та аналізу діяльності в інформаційних системах, що містять ePHI
- впроваджувати контроль цілісності для переконання, що ePHI не було змінено або знищено
- розробляти плани надзвичайних ситуацій для реагування на надзвичайні події або інші інциденти, що пошкоджують системи, що містять ePHI.
Безпека та оцінки ризиків HIPAA
HIPAA вимагає від організацій охорони здоров'я проводити оцінки ризиків для ідентифікації потенційних вразливостей та впровадження відповідних заходів захисту для захисту ePHI. Оцінка ризиків є важливою складовою стратегії безпеки організації охорони здоров'я та ідентифікації потенційних загроз і вразливостей та пріоритетизації заходів забезпечення безпеки. Проведення оцінки ризиків для відповідності HIPAA включає оцінку адміністративних, фізичних та технічних заходів безпеки, які зараз вже існують. Організації повинні оцінювати ймовірність і наслідки потенційних загроз для ePHI, ідентифікувати відповідні заходи для усунення цих загроз і впроваджувати відповідні заходи для захисту. Правило HIPAA щодо безпеки також вимагає від організацій охорони здоров'я впроваджувати розумні та відповідні заходи безпеки на основі результатів їх оцінок ризиків. Це включає впровадження політик і процедур з безпеки, тренінгів для персоналу, контролю доступу, шифрування, контролю аудиту, інтегрального контролю та розробки планів надзвичайних ситуацій.
Що таке порушення HIPAA?
Порушення HIPAA може призвести до значних наслідків для керованих суб'єктів і бізнес-асоціатів. Види покарань і штрафів, які можуть бути накладені, залежать від серйозності порушення, кількості постраждалих осіб та ступеня умислу.
Одним з поширених порушень HIPAA є невиконання письмової згоди пацієнта перед розкриттям PHI. Це відбувається, коли провайдери охорони здоров'я розкривають захищену інформацію про здоров'я пацієнтів особам чи організаціям без отримання письмової згоди пацієнта. Інше поширене порушення полягає у невпровадженні заходів захисту PHI, що може відбутися, коли організації охорони здоров'я не належним чином захищають дані пацієнтів.
Несанкціонований доступ до або розкриття PHI також є значним порушенням HIPAA. Це може статися, коли працівники або інші особи мають доступ до PHI, до якого вони не мають права, або коли PHI розкривається несанкціонованим сторонам. Інше порушення, яке може відбутися, - це відмова надавати пацієнтам доступ до їх власного PHI, коли провайдери охорони здоров'я не дають пацієнтам можливість переглядати або отримувати копії їх медичних записів.
Нарешті, невиконання навчання працівників з правил HIPAA і процедур може призвести до порушень HIPAA. Це може статися, коли організації охорони здоров'я не належним чином навчають своїх працівників щодо важливості захисту даних пацієнтів чи конкретних політик і процедур, пов'язаних з виконанням HIPAA.
Штрафи за порушення HIPAA
Порушення HIPAA несуть значні штрафи, які коливаються від $100 до $50,000 за кожне порушення, з максимальним штрафом $1.5 мільйона на рік за кожне порушення однакової положеності. Окрім грошових штрафів, є інші негативні наслідки, які супроводжують порушення правил HIPAA. Порушення можуть призвести до втрати довіри з боку пацієнтів і клієнтів, негативної уваги з боку ЗМІ та пошкодження репутації організації. У деяких випадках порушення HIPAA можуть навіть призвести до кримінальних звинувачень та ув'язнення.
Для ілюстрації серйозності порушень HIPAA варто згадати деякі випадки, коли організації охорони здоров'я були оштрафовані за їх невиконання. Наприклад, у 2020 році Premera Blue Cross зобов'язали сплатити $6.85 мільйона для врегулювання потенційних порушень HIPAA. OCR виявила, що Premera не провела належний аналіз ризиків, впроваджувала плани управління ризиками або систематично шифрувала ePHI, що призвело до витоку даних, що вплинув на понад 10 мільйонів осіб.
Так само у 2019 році OCR оштрафувала медичний центр Університету Рочестеру (URMC) на $3 мільйони за порушення HIPAA. OCR виявила, що URMC не шифрувала ePHI на своїх мобільних пристроях, що призвело до витоку даних, що вплинув на більше 3,000 осіб. URMC також не провела аналіз ризиків, не впровадила плани управління ризиками і не навчила свій персонал правилам HIPAA. Щоб уникнути таких штрафів, організації охорони здоров'я повинні надавати перевагу дотриманню HIPAA та вживати активних заходів для захисту PHI. Це включає проведення регулярних аналізів ризиків, впровадження планів управління ризиками, шифрування ePHI та навчання персоналу правилам HIPAA. Це також означає укладання угод з бізнес-партнерами з обробки ePHI та впровадження технологічних рішень, що підтримують безпеку.
Служба аутентифікації Hideez: Допомагає організаціям охорони здоров'я дотримуватися HIPAA
Служба аутентифікації Hideez - це рішення для безпарольного управління ідентичністю та доступом, яке може допомогти організаціям охорони здоров'я дотримуватися HIPAA та його правил безпеки. Рішення надає безпарольну одиничну увіковічену автентифікацію та багатофакторну автентифікацію, інструменти управління доступом на основі ролей та централізоване управління ідентичністю для покращення безпеки та захисту ePHI.
Служба Hideez елімінує потребу у паролях, які є джерелом загроз безпеки. Рішення використовує мобільний додаток, який забезпечує безпечну аутентифікацію на робочому столі з біометричною верифікацією та апаратні ключі безпеки для автентифікації користувачів і надання доступу до захищених систем та даних.
Крім того, Служба аутентифікації Hideez допомагає організаціям охорони здоров'я дотримуватися правил безпеки HIPAA, надаючи комплексні політики і процедури безпеки, контроль доступу та журналізації. Для підтримки організацій охорони здоров'я Hideez пропонує безкоштовну пробну версію на 30 днів Служби аутентифікації та закликає читачів записатися на демо рішення. Імплементуючи Службу аутентифікації Hideez, організації охорони здоров'я можуть покращити безпеку, захистити ePHI та дотримуватися вимог HIPAA і його правил безпеки.
