Конфіденційність та безпека даних в охороні здоров'я. Хто повинен дотримуватися HIPAA?

Who needs to comply with HIPAA

 

Закон про перенесення та підзвітність медичного страхування (HIPAA) є одним із ключових документів для кожного CISO, який працює в галузі охорони здоров’я. Написаний понад 20 років тому, задовго до того, як були винайдені смартфони, Wi-Fi або Google, він все ще регулює безпеку інформації в галузі охорони здоров’я в галузі. Дізнайтеся, як це застосовується сьогодні для забезпечення безпечної медичної допомоги.

Чому безпека даних важлива в охороні здоров’я?

Назва. Адреса. ідентифікатори. Рецепти. Фотографії.

Це лише частина даних, які медичні організації мали, мають і будуть мати про своїх клієнтів. Несанкціонований доступ до такої інформації може призвести до тяжких наслідків для розкритої особи. Їм може загрожувати крадіжка особистих даних, шахрайство, крадіжка грошей, а також моральна шкода. Дослідження показало, що медичні картки через порушення даних лікарень можуть коштувати сотні доларів на чорному ринку.

Для організації охорони здоров’я ставки високі, коли йдеться про безпеку даних пацієнтів. Порушення безпеки в охороні здоров’я призводять до витрат на незалежних експертів-криміналістів, внутрішнього розслідування, комунікації як з співробітниками, так і з клієнтами, розрахунків, штрафів, а в кінцевому підсумку псування репутації та втрата довіри клієнтів б’ють по довгостроковому прибутку організації.

Ось чому роль CISO є найважливішою в бізнесі охорони здоров’я. Їхня робота — розробити систему, яка б адекватно пом’якшувала ризики та захищала від очікуваних загроз.  

Що таке безпека даних для PHI?

HIPAA забезпечує безпеку медичних даних (PHI), регулюючи те, як вони використовуються, підтримуються, зберігаються або передаються юридичною особою, що покривається HIPAA (постачальником медичних послуг, планом охорони здоров'я або страховою компанією, центром обміну інформацією з охорони здоров'я) або діловий партнер такого суб'єкта.

PHI означає захищена інформація про здоров’я, а згідно з HIPAA вона охоплює будь-яку інформацію, пов’язану зі станом здоров’я особи. Він включає медичні записи, історії здоров’я, результати лабораторних досліджень та медичні рахунки. PHI захищається незалежно від форми, в якій вона приймає, включаючи фізичні записи, електронні записи або усну інформацію. Як тільки інформація про стан здоров’я включає індивідуальні ідентифікатори, вона стає PHI і захищається відповідно до HIPAA.
Існує 18 ідентифікаторів PHI:
  • Назва
  • Адреса (включаючи підрозділи, менші за штат, як-от вулиця, місто, округ або поштовий індекс)
  • Будь-які дати (крім років), які безпосередньо пов’язані з особою. Він містить день народження, дату вступу чи виписки, дату смерті або точний вік.
  • Номер телефону
  • Номер факсу
  • Адреса електронної пошти
  • Номер соціального страхування
  • Номер медичної книжки
  • Номер отримувача плану охорони здоров'я
  • Номер рахунку
  • Номер сертифіката/ліцензії
  • Ідентифікатори транспортних засобів, серійні номери або номерні знаки
  • Ідентифікатори пристроїв або серійні номери
  • Веб-URL-адреси
  • IP-адреса
  • Біометричні ідентифікатори, такі як відбитки пальців або голосові відбитки
  • Фотографії повного обличчя
  • Будь-які інші унікальні ідентифікаційні номери, характеристики чи коди.

Юридичні особи, які охоплюють HIPAA, та їхні ділові партнери повинні відповідати вимогам конфіденційності, цілісності та доступності до електронної PHI (ePHI). Конфіденційність полягає в тому, що ePHI не розголошується незаконно без належного дозволу пацієнта. Цілісність гарантує, що ePHI, який передається або підтримується організацією охорони здоров’я, має доступ лише відповідні та уповноважені сторони. Доступність дозволяє пацієнтам отримати доступ до свого ePHI відповідно до стандартів безпеки HIPAA.

Рядок між PHI і не PHI

Часто вважається, що вся інформація про стан здоров’я вважається PHI відповідно до HIPAA, але є деякі винятки 

HIPAA застосовується лише до охоплених організацій та їх ділових партнерів. Це означає, що якщо інформація про стан здоров’я не надається таким організаціям, вона не вважається PHI.

Візьмемо, як приклад, засоби для відстеження здоров’я (як для носіння, так і для мобільних пристроїв), які записують інформацію про стан здоров’я, як-от частоту серцевих скорочень або кров’яний тиск. Якщо виробник пристрою або розробник програми не поділиться цими даними з юридичною особою, яка покривається HIPAA, вони не вважаються PHI відповідно до HIPAA.

HIPAA не стосується освітніх чи трудових книжок. Лікарня може зберігати дані про своїх співробітників, які можуть включати деяку інформацію про стан здоров’я, як-от алергію або групу крові, але вони не класифікуються як PHI.

Якщо PHI позбавляється всіх ідентифікаторів, які можуть прив’язати його до окремої особи, PHI стає деідентифікованим, і правила HIPAA більше не застосовуються.

Що таке злом даних у сфері охорони здоров’я?

Порушення даних у сфері охорони здоров’я означає, що один або кілька записів піддаються ризику розкриття або, як відомо, доступ до них чи розголошення без дозволу. Потенційний доступ до даних також вважається порушенням безпеки даних.

Великі порушення безпеки даних трапляються щорічно, спрямовані навіть на найбільші медичні компанії. Одна атака на American Medical Collection Agency постраждала 25 мільйонів пацієнтів.

Дослідження показують, що атаки програм-вимагачів та ін'єкцій SQL є найпоширенішою причиною порушення медичних даних. Вони часто виникають, коли напружені та/або несвідомі співробітники не можуть ідентифікувати шкідливі електронні листи, веб-сайти чи програмне забезпечення.

Іншою поширеною проблемою є дотримання політики автентифікації користувачів. Медичні працівники використовують декілька спільних робочих станцій, що часто може призвести до ненавмисного розкриття інформації. Безпека даних охорони здоров’я не є і не повинна бути пріоритетом номер один. Робота CISO полягає в тому, щоб забезпечити рішення для керування доступом, яке було б безпечним і простим для кінцевих користувачів.

Рішення для безпечної охорони здоров'я

Hideez розробив першокласне рішення для аутентифікації спеціально для галузі охорони здоров’я. Це забезпечує безпеку даних пацієнтів у потенційно небезпечному середовищі спільних комп’ютерів, до яких мають доступ кілька одночасних користувачів.

Функція менеджера паролів, вбудована в Hideez Enterprise Solution захищає користувачів від фішингових атак, надаючи паролі лише для надійних доменів. Ключ також пропонує додатковий рівень персоніфікації та розширені засоби керування бездротовою наближеністю, які роблять захист даних у сфері охорони здоров’я більш досяжним. Комп’ютери без нагляду є однією з найскладніших проблем, які мають вирішити CISO відповідно до HIPAA в галузі охорони здоров’я. Це зводиться до людського фактору, і простого тайм-ауту недостатньо.

За допомогою елементів керування наближенням у вас є елегантний спосіб заблокувати комп’ютер, коли він більше не використовується. Медичному працівнику достатньо зробити три-чотири кроки від комп’ютера, щоб він автоматично заблокувався. Зніміть з медичних працівників когнітивне навантаження щодо безпеки даних. Просто використовуйте рішення Hideez, щоб звільнити своїх колег від паролів і заощадити їхній час.

.