Che cos'è la conformità HIPAA?
Definizione di conformità HIPAA
Fondata nel 1996, l'Health Insurance Portability and Accountability Act (HIPAA) mira a proteggere la privacy e la sicurezza delle informazioni sanitarie sensibili.
Più che in qualsiasi altro settore, la conformità è vitale per le organizzazioni sanitarie. La raccolta e il trattamento di informazioni sanitarie protette (PHI), compresi i dati personali e medici, sono necessari per fornire ai pazienti opzioni sanitarie ottimizzate. Tuttavia, le conseguenze di una violazione delle PHI possono essere devastanti. Non solo può causare danni alla reputazione, perdite finanziarie e responsabilità legale, ma le violazioni hanno causato danni ai pazienti.
Regola di sicurezza della conformità HIPPA
La Regola di sicurezza HIPAA protegge un sottoinsieme di informazioni coperte dalla Regola sulla privacy HIPAA. Essenzialmente, si concentra su ciò che le organizzazioni devono fare per proteggere le informazioni sanitarie protette elettroniche (e-PHI).
La Regola di sicurezza non stabilisce quali misure di sicurezza vengono utilizzate, se sono efficaci. Tuttavia, richiedono tre standard di implementazione noti anche come garanzie:
- Amministrativo: È necessaria un'analisi del rischio per determinare quali misure di sicurezza sono necessarie per la tua organizzazione. Questo dovrebbe essere un processo continuo.
- Fisico: Si riferisce alla sicurezza degli uffici in cui possono essere archiviate le e-PHI. Le misure di sicurezza devono includere le misure di accesso e controllo della struttura e la sicurezza di workstation e dispositivi.
- Tecnico: Le misure, come firewall, crittografia e backup dei dati, vengono utilizzate per mantenere sicure le e-PHI e le protezioni devono consistere in controlli di accesso, controlli di audit, controlli di integrità e sicurezza della trasmissione.
Recenti violazioni dei dati sanitari
Secondo un rapporto sulle minacce informatiche di SonicWall del 2022, l'assistenza sanitaria ha continuato a registrare un forte picco di malware nel 2021, al 121%. Mentre il più grande salto negli attacchi malware IoT apparteneva al settore sanitario, che ha visto un aumento del 71% su base annua.
Per far luce sul significato che il malware può avere, è importante osservare alcune violazioni negli ultimi anni che avrebbero potuto essere aggirate rispettando le regole e le misure di protezione HIPAA.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
A maggio 2021, più di 205.000 pazienti di RMCHCS sono stati informati di un tentativo di estorsione dei dati che ha costretto l'ospedale a inattività delle cartelle cliniche elettroniche (HER). RMCHCS è stata vittima di un attacco lanciato da Conti, un gruppo di hacking ransomware che ha preso di mira attivamente il settore sanitario nel corso del 2020.
In seguito è stato stabilito che gli attori di Conti hanno esfiltrato i dati, compresi i numeri di previdenza sociale, i passaporti e le informazioni sanitarie protette (PHI) dei pazienti, dal sistema per circa due settimane dal 21 gennaio al 5 febbraio. RMCHCS ha segnalato di aver informato immediatamente le forze dell'ordine, ma non ha iniziato a inviare avvisi fino alla fine di aprile, motivo di preoccupazione.
Poiché si trattava di un attacco ransomware, vi è una chiara mancanza di misure di salvaguardia tecniche e di regolari valutazioni del rischio. Sebbene RMCHCS abbia informato i pazienti della violazione, la mancanza di tempestività compromette ulteriormente la sicurezza personale e l'integrità delle e-PHI. I pazienti dovrebbero essere stati informati tempestivamente in modo da poter chiudere o modificare i loro grafici, aggiornare il portale online o le informazioni bancarie o richiedere un nuovo passaporto.
Un solo punto di contatto
Questo fornitore di servizi postali e di stampa di Hartland, Wisconsin, è stato vittima di un attacco ransomware il 28 aprile 2022. Oltre 2,6 milioni di persone in almeno 34 organizzazioni sono state colpite dalla violazione.
È stato scoperto che i server di OneTouchPoint sono stati compromessi solo un giorno prima, lasciando a rischio i dati sensibili. Oltre sei settimane dopo, OneTouchPoint ha rivelato che i file contenevano dati dei clienti insieme a informazioni sensibili di dipendenti attuali ed ex dipendenti. Ciò includeva nomi e indirizzi di clienti e dipendenti, abbonati e ID dei membri sanitari, nonché diagnosi e farmaci dei clienti. Ciò ha portato molti dei clienti di OneTouchPoint a offrire servizi di monitoraggio del credito e di protezione dai furti di identità ai propri membri a proprie spese.
È stata intentata almeno una causa di azione collettiva contro OneTouchPoint a causa della violazione dei dati.
Come mantenere la conformità HIPAA
Nell'ambito di un maggiore sforzo per aiutare la conformità HIPAA nel settore della cybersecurity, l'OCR ha allineato l'HIPAA con il National Institute of Standards and Technology Framework (NIST). Essendo uno dei più grandi standard del settore ad essere riconosciuto, se sei già conforme al NIST, è successivamente più facile essere conforme all'HIPAA.
Per garantire il mantenimento di standard e consapevolezza elevati, molte aziende forniscono formazione e credenziali sulla conformità HIPAA. Ci sono molte consulenze che forniscono formazione, tra cui l'OCR, che offre diversi moduli di formazione per soddisfare l'ampia gamma di entità che devono rispettare l'HIPAA.
Conformità HIPPA - Best practice
Le seguenti best practice possono aiutarti a raggiungere la conformità:
Comprendere le regole HIPAA
La Regola sulla privacy HIPAA stabilisce come le PHI possono essere utilizzate e divulgate nel settore sanitario. Una panoramica della regola offre informazioni sui diritti dei pazienti, compreso il diritto di accedere alle loro cartelle cliniche e di richiedere correzioni.
La Regola di sicurezza HIPAA fornisce le protezioni tecniche, fisiche e amministrative necessarie per proteggere le PHI dei clienti.
La Regola di notifica delle violazioni dell'HIPAA richiede che i pazienti, i media e il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti siano informati in caso di violazione dei dati.
Condurre una valutazione del rischio
Ciò comporta l'identificazione di tutte le PHI che la tua organizzazione raccoglie, elabora e archivia. La valutazione del rischio dovrebbe anche identificare le vulnerabilità della tua organizzazione che potrebbero mettere a rischio le PHI. Ciò include minacce informatiche interne o esterne note, furto o perdita di dispositivi fisici e la probabilità dell'organizzazione di un attacco in base al Cyber Risk Index.
Implementare politiche e procedure
Sulla base dei risultati della valutazione del rischio, sviluppa e implementa politiche e procedure che affrontano ogni rischio identificato. Ciò include aree come il controllo degli accessi, il backup e il ripristino dei dati, la risposta agli incidenti e la formazione sulla consapevolezza della sicurezza per i dipendenti. Rivedi e aggiorna regolarmente queste politiche e procedure per assicurarti che rimangano pertinenti.
Formare i dipendenti
Assicurati che i tuoi dipendenti siano aggiornati sulle politiche e sulle procedure della tua organizzazione. Tutti i dipendenti che gestiscono le PHI devono essere consapevoli di come salvaguardare le PHI e riconoscere le conseguenze della non conformità. È necessaria una formazione regolare sulla consapevolezza della sicurezza per garantire che i dipendenti siano sempre aggiornati sulle minacce più recenti e conoscano le best practice per la protezione delle PHI.
Monitoraggio e verifica
Rivedi frequentemente le misure di sicurezza della tua organizzazione, sottoponiti a test di penetrazione e soddisfa le valutazioni delle vulnerabilità. Questo manterrà te e i tuoi team aggiornati sui rischi o sulle minacce emergenti alle PHI e su come gestire correttamente una violazione. Un controllo regolare è fondamentale per mantenere la conformità e la preparazione.