Co to jest HIPAA?
Definicja zgodności z przepisami HIPAA
Założona w 1996 r. ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (Health Insurance Portability and Accountability Act, HIPAA) ma na celu ochronę prywatności i bezpieczeństwa wrażliwych informacji zdrowotnych.
Nie tylko w innych branżach, ale także w organizacjach opieki zdrowotnej niezbędna jest zgodność. Gromadzenie i przetwarzanie chronionych informacji zdrowotnych (PHI), w tym danych osobowych i medycznych, jest niezbędne do zapewnienia pacjentom optymalnych opcji opieki zdrowotnej. Konsekwencje naruszenia chronionych informacji zdrowotnych mogą być jednak katastrofalne. Może to nie tylko prowadzić do utraty reputacji, strat finansowych i odpowiedzialności prawnej, ale także spowodować szkody dla pacjentów.
Zasada bezpieczeństwa zgodności z przepisami HIPPA
Reguła bezpieczeństwa HIPAA chroni podzbiór informacji objętych Regułą prywatności HIPAA. Zasadniczo skupia się na tym, co organizacje muszą zrobić, aby chronić elektroniczne chronione informacje zdrowotne (e-PHI).
Zasada bezpieczeństwa nie określa, które środki bezpieczeństwa są stosowane, jeśli są skuteczne. Wymagają one jednak trzech standardów wdrożenia znanych również jako zabezpieczenia:
- Administracja: Analiza ryzyka jest wymagana w celu określenia, jakie środki bezpieczeństwa są wymagane w organizacji. To powinien być ciągły proces.
- Fizyczne: Odnosi się to do bezpieczeństwa biur, w których mogą być przechowywane informacje e-PHI. Środki bezpieczeństwa muszą obejmować środki dostępu i kontroli obiektu oraz zabezpieczenia stacji roboczych i urządzeń.
- Techniczne: Środki, takie jak zapory sieciowe, szyfrowanie i kopie zapasowe danych, są stosowane w celu zapewnienia bezpieczeństwa danych e-PHI, a zabezpieczenia muszą obejmować kontrolę dostępu, kontrolę audytu, kontrolę integralności i bezpieczeństwo transmisji.
Ostatnie naruszenia ochrony danych medycznych
Według raportu o cyberzagrożeniu SonicWall z 2022 r. sektor ochrony zdrowia w 2021 r. odnotował 121% wzrost liczby złośliwego oprogramowania. Największy skok w atakach na złośliwe oprogramowanie IoT należał do sektora ochrony zdrowia, który odnotował wzrost o 71% rok do roku.
Aby rzucić światło na znaczenie złośliwego oprogramowania, ważne jest, aby przyjrzeć się niektórym włamaniom w ciągu ostatnich kilku lat, które mogły zostać ominięte przez przestrzeganie zasad i zabezpieczeń ustawy HIPAA.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
W maju 2021 r. ponad 205 000 pacjentów RMCHCS zostało powiadomionych o próbach wymuszenia danych, które zmusiły szpital do przestoju w elektronicznej dokumentacji medycznej (HER). RMCHCS padł ofiarą ataku przeprowadzonego przez Conti, grupę hakerów atakującą ransomware, która aktywnie atakowała branżę opieki zdrowotnej w 2020 r.
Później ustalono, że aktorzy Conti wydobyli z systemu dane, w tym numery ubezpieczenia społecznego, paszporty i chronione informacje zdrowotne pacjentów (PHI), przez około dwa tygodnie od 21 stycznia do 5 lutego. RMCHCS zgłosiło, że natychmiast powiadomiło organy ścigania, ale nie rozpoczęło wysyłania powiadomień do końca kwietnia, co jest powodem do niepokoju.
Ponieważ był to atak typu ransomware, istnieje wyraźny brak zabezpieczeń technicznych i regularnych ocen ryzyka. Chociaż RMCHCS powiadomiła pacjentów o naruszeniu, brak terminowości dodatkowo zagraża bezpieczeństwu osobistemu i integralności e-PHI. Pacjenci powinni zostać o tym powiadomieni w odpowiednim czasie, aby mogli zamknąć lub zmienić swoje karty, zaktualizować portal internetowy lub dane bankowe bądź poprosić o nowy paszport.
Jeden punkt kontaktu
Ten dostawca usług pocztowych i drukarskich w Hartland w stanie Wisconsin padł ofiarą ataku ransomware 28 kwietnia 2022 r. Naruszenie dotknęło ponad 2,6 miliona osób z co najmniej 34 organizacji.
Odkryto, że serwery OneTouchPoint zostały zaatakowane zaledwie jeden dzień wcześniej, przez co dane wrażliwe są zagrożone. Ponad sześć tygodni później OneTouchPoint ujawniła, że pliki zawierały dane klientów oraz wrażliwe informacje obecnych i byłych pracowników. Obejmuje to imiona i nazwiska oraz adresy klientów i pracowników, abonentów i identyfikatory członków służby zdrowia, a także diagnozy i leki klientów. Dzięki temu wielu klientów OneTouchPoint może na własny koszt oferować swoim członkom usługi monitorowania kredytów i ochrony przed kradzieżą tożsamości.
Co najmniej jeden pozew grupowy został złożony przeciwko OneTouchPoint w związku z naruszeniem bezpieczeństwa danych.
Jak zachować zgodność z HIPAA
W ramach większych wysiłków mających na celu pomoc w zapewnieniu zgodności z przepisami HIPAA w przestrzeni cyberbezpieczeństwa, OCR dostosowała ustawę HIPAA do National Institute of Standards and Technology Framework (NIST). Jako jeden z największych standardów w branży, które należy uznać, jeśli jesteś już zgodny z NIST, łatwiej jest zachować zgodność z HIPAA.
Aby zapewnić utrzymanie wysokich standardów i świadomości, wiele firm zapewnia szkolenia i kwalifikacje w zakresie zgodności z przepisami HIPAA. Istnieje wiele firm konsultingowych, które zapewniają szkolenia, w tym OCR, które oferują różne moduły szkoleniowe, aby pomieścić szeroką gamę podmiotów, które muszą przestrzegać ustawy HIPAA.
Zgodność z przepisami HIPPA – najlepsze praktyki
Poniższe najlepsze praktyki mogą pomóc w osiągnięciu zgodności z przepisami:
Zrozumienie zasad HIPAA
Zasada ochrony prywatności ustawy HIPAA określa, w jaki sposób chronione informacje zdrowotne mogą być wykorzystywane i ujawniane w sektorze opieki zdrowotnej. Przegląd tej reguły daje wgląd w prawa pacjentów, w tym prawo do dostępu do ich dokumentacji medycznej i żądania poprawek.
Zasada bezpieczeństwa HIPAA zapewnia zabezpieczenia techniczne, fizyczne i administracyjne niezbędne do ochrony chronionych informacji zdrowotnych klientów.
Reguła powiadamiania o naruszeniach HIPAA wymaga, aby pacjenci, media i amerykański Departament Zdrowia i Opieki Społecznej (HHS) zostali powiadomieni o naruszeniu bezpieczeństwa danych.
Przeprowadzenie oceny ryzyka
Obejmuje to identyfikację wszystkich chronionych informacji zdrowotnych zbieranych, przetwarzanych i przechowywanych przez organizację. Twoja ocena ryzyka powinna również identyfikować luki w zabezpieczeniach Twojej organizacji, które mogą stanowić zagrożenie dla chronionych informacji zdrowotnych. Obejmuje to znane wewnętrzne lub zewnętrzne zagrożenia cybernetyczne, kradzież lub utratę urządzeń fizycznych oraz prawdopodobieństwo ataku w organizacji na podstawie Twojego Indeksu cyberbezpieczeństwa.
Wdrażanie zasad i procedur
Opierając się na wynikach oceny ryzyka, opracuj i wdroż zasady i procedury, które odnoszą się do każdego zidentyfikowanego ryzyka. Obejmuje to takie obszary, jak kontrola dostępu, tworzenie kopii zapasowych i odzyskiwanie danych, reagowanie na incydenty i szkolenia w zakresie świadomości bezpieczeństwa dla pracowników. Regularnie sprawdzaj i aktualizuj te polityki i procedury, aby mieć pewność, że są one aktualne.
Szkolenie pracowników
Upewnij się, że pracownicy są na bieżąco informowani o zasadach i procedurach Twojej organizacji. Wszyscy pracownicy, którzy mają do czynienia z PHI, muszą wiedzieć, jak chronić PHI i znać konsekwencje nieprzestrzegania tych zasad. Regularne szkolenia w zakresie świadomości bezpieczeństwa są niezbędne, aby pracownicy byli na bieżąco z najnowszymi zagrożeniami i znali najlepsze praktyki ochrony PHI.
Monitorowanie i audyt
Często sprawdzaj środki bezpieczeństwa swojej organizacji, przechodzij testy penetracyjne i wypełniaj oceny luk w zabezpieczeniach. Dzięki temu zarówno Ty, jak i Twoje zespoły będziecie na bieżąco z pojawiającymi się zagrożeniami dla chronionych informacji zdrowotnych oraz z informacjami o tym, jak właściwie radzić sobie z naruszeniem bezpieczeństwa danych. Regularne audyty są kluczem do zachowania zgodności z przepisami i przygotowania się do nich.