醫療保健中的數據隱私和安​​全。誰需要遵守 HIPAA?

誰需要遵守 HIPAA

健康保險流通與責任法案 (HIPAA) 是每位從事醫療保健工作的 CISO 的重要文件之一。它寫於 20 多年前,遠早於智能手機、WiFI 或 Google 的發明,它仍然規範著行業中的醫療保健信息安全。了解當今如何應用它來確保安全的醫療服務。

為什麼數據安全在醫療保健中很重要?

名稱。地址。身份證。處方。相片。

這只是醫療保健組織已經、已經和將要擁有的有關其客戶的數據的一小部分。未經授權訪問此類信息可能會對披露的個人造成嚴重後果。他們可能面臨身份盜用、欺詐、盜竊金錢以及精神上的損害。研究發現,醫院數據洩露的健康記錄在黑市上每份可能要花費數百美元。

對於醫療機構而言,患者數據安全問題的風險很高。醫療保健中的安全漏洞會導致獨立取證專家的費用、內部調查、與員工和客戶的溝通、和解、罰款以及最終的聲譽損害和客戶信任度的喪失,這會影響組織的長期利潤。

這就是為什麼 CISO 角色在醫療保健行業中最重要的原因。他們的工作是開發一個能夠充分降低風險並防範預期威脅的系統。

PHI 的數據安全性是什麼?

HIPAA 確保健康數據安全 (PHI),規範 HIPAA 涵蓋的實體(醫療保健提供者、健康計劃或健康保險公司、醫療保健票據交換所)或此類實體的業務夥伴如何使用、維護、存儲或傳輸數據。

PHI 代表受保護的健康信息,根據 HIPAA,它涵蓋與個人健康狀況相關的任何信息。它包括醫療記錄、健康史、實驗室測試結果和醫療賬單。無論採用何種形式,包括物理記錄、電子記錄或口頭信息,PHI 都受到保護。一旦健康信息包含個人標識符,它就會成為 PHI 並受到 HIPAA 的保護。
共有 18 個 PHI 標識符:
  • 名稱
  • 地址(包括小於州的細分,如街道地址、城市、縣或郵政編碼)
  • 與個人直接相關的任何日期(年份除外)。它包括生日、入院或出院日期、死亡日期或確切年齡。
  • 電話號碼
  • 傳真號碼
  • 電子郵件地址
  • 社會安全號碼
  • 病歷號
  • 健康計劃受益人編號
  • 賬號
  • 證書/許可證號
  • 車輛標識符、序列號或車牌號
  • 設備標識符或序列號
  • 網址
  • IP地址
  • 生物特徵標識符,例如指紋或聲紋
  • 正面照片
  • 任何其他獨特的識別號碼、特徵或代碼。

HIPAA 涵蓋的實體及其業務夥伴必須遵守電子 PHI (ePHI) 的機密性、完整性和可用性要求。保密性是指在未經患者適當授權的情況下不會非法披露 ePHI。完整性確保由醫療保健組織傳輸或維護的 ePHI 只能由適當的授權方訪問。可用性允許患者根據 HIPAA 安全標準訪問他們的 ePHI。

PHI 和非 PHI 之間的分界線

人們通常認為,根據 HIPAA,所有健康信息都被視為 PHI,但也有一些例外。

HIPAA 僅適用於涵蓋的實體及其業務夥伴。這意味著如果健康信息不與此類實體共享,則不被視為 PHI。

讓我們以記錄心率或血壓等健康信息的健康追踪器(可穿戴或移動應用程序)為例。除非設備製造商或應用開發者與 HIPAA 涵蓋的實體共享此數據,否則它不被視為 HIPAA 下的 PHI。

HIPAA 不適用於教育或就業記錄。醫院可能持有其員工的數據,其中可能包括一些健康信息,如過敏或血型,但不屬於 PHI。

如果 PHI 被剝離了所有可以將其與個人聯繫起來的標識符,它就變成了去標識化的 PHI,並且 HIPAA 規則不再適用。

什麼是醫療保健中的數據洩露?

醫療保健中的數據洩露意味著一個或多個記錄有被暴露的風險,或者已知會在未經授權的情況下被訪問或披露。對數據的潛在訪問也算作數據安全漏洞。

大數據安全漏洞每年都會發生,甚至針對最大的醫療保健公司。對美國醫療收集機構的一次攻擊影響了 2500 萬患者。

研究表明,勒索軟件和 SQL 注入攻擊是醫療保健數據洩露的最常見原因。當壓力大和/或不知情的員工未能識別惡意電子郵件、網站或軟件時,它們通常會發生。

另一個常見的挑戰是遵守用戶身份驗證策略。醫療保健專業人員使用多個共享工作站,這通常會導致無意中洩露信息。醫療保健數據安全不是也不應該是他們的第一要務。 CISO 的工作是提供一種對最終用戶既安全又方便的訪問管理解決方案。

安全醫療解決方案

Hideez 專門為醫療保健行業開發了一流的身份驗證解決方案。它確保在多個並髮用戶訪問的共享計算機的潛在風險環境中患者數據的安全。

Hideez Enterprise Solution中內置的密碼管理器功能通過僅為受信任的域提供密碼來保護用戶免受網絡釣魚攻擊。該鑰匙還提供額外的個性化層和高級無線接近控制,使醫療保健中的數據保護更容易實現。無人值守的計算機是 CISO 在醫療保健行業中根據 HIPAA 必須解決的最艱鉅的挑戰之一。歸結為人為因素,簡單的超時是不夠的。

使用接近控制,您可以在計算機不再使用時以優雅的方式鎖定計算機。醫療保健專業人員只需離開計算機三四步,它就會自動鎖定。減輕醫療專業人員的數據安全認知負擔。只需使用 Hideez 解決方案,即可將您的同事從密碼中解放出來並節省他們的時間。

Related Posts

  • <b>破解密碼的問題。如何防止密碼破解?</b>
    破解密碼的問題。如何防止密碼破解?

    密碼已被廣泛採用,作為保護重要數據免遭未經授權訪問的最有效方式。它們簡單易用,但足夠可靠以阻止大多數黑客企圖。 然而,隨著多年來技術的進步,採用密碼的傳統安全系統似乎正在慢慢落後。弱密碼或容易猜到的密碼很容易被破解,即使是強密碼似乎...

  • <b>什麼是密碼管理?適用於企業和個人的最佳密碼管理器示例</b>
    什麼是密碼管理?適用於企業和個人的最佳密碼管理器示例

    密碼是保護我們寶貴信息的基本工具。不使用密碼就不可能存在於網絡世界中,更不用說它的業務部分了。現在,健康和負責任的密碼管理實踐比以往任何時候都在我們的日常生活中發揮著重要作用。 這就是密碼管理器的用武之地。在過去的幾年裡,這些漂亮的...

  • <b>如何使用密碼保護文件?<br>終極指南</b>
    如何使用密碼保護文件?
    終極指南

    保護您的文件至關重要,因為在保護有價值的數據免受不受歡迎的入侵者時,您永遠不會太安全。您的密碼是您的數據與您希望保密的人之間的最後一道防線。 在我們之前的一頁中,我們討論瞭如何使用密碼保護文件或文件夾。該頁面提供了廣泛的信息,甚至還...

  • <b>虛擬釣魚解釋:什麼是虛擬釣魚和網絡釣魚? |海得茲</b>
    虛擬釣魚解釋:什麼是虛擬釣魚和網絡釣魚? |海得茲

    當您的電話響起並且您看到一個您不熟悉的號碼時,除非您接聽,否則您無法辨別電話的另一端是誰。但是,這樣做可能會為詐騙者敞開大門,並使自己處於落入釣魚詐騙的危險之中。 不幸的是,大多數人並不熟悉網絡釣魚的工作原理以及它到底有多危險。如果...