Personligt identificerbare oplysninger: HIPAA Best Practices

author
7 minutes, 23 seconds Read

For de fleste sundhedsorganisationer er beskyttelse af patienters privatliv det vigtigste aspekt af HIPAA, og det vanskeligste. HIPAA bruger udtrykket Protected Health Information (PHI) til at henvise til beskyttede data, men begrebet minder meget om udtrykket Personally Identifiable Information (PII), som bruges i andre ordninger for overholdelse af reglerne. En forståelse af, hvordan PII og PHI overlapper hinanden, kan hjælpe organisationer med at forene overensstemmelsesindsatsen på tværs af regimer og reducere risikoen, omkostningerne og kompleksiteten ved at holde data sikre.

PHI vs. PII:

Som navnet antyder, er personligt identificerbare oplysninger alle data, der kan identificere en person. Visse oplysninger som f.eks. fulde navn, fødselsdato, adresse og biometriske data betragtes altid som PII. Andre data som f.eks. fornavn, fornavn og efternavn eller endda højde eller vægt kan kun tælle som PII under visse omstændigheder, eller når de kombineres med andre oplysninger.

F.eks. vil en registrering, der henviser til “Mr. Smith i New York”, sandsynligvis ikke indeholde nok oplysninger til at afsløre personens identitet. Hvis patienten derimod havde et mindre almindeligt navn og boede i en mindre by, ville det sandsynligvis tælle som PII, da det ville være let at udlede, hvem den pågældende var.

Og selv om HIPAA ikke udtrykkeligt omhandler personligt identificerbare oplysninger, regulerer HIPAA situationer som denne under betegnelsen Protected Health Information (beskyttede sundhedsoplysninger). PHI omfatter alt, der anvendes i en medicinsk sammenhæng, og som kan identificere patienter, såsom:

  • Navn
  • Adresse
  • Fødselsdato
  • Kreditkortnummer
  • Kørekortnummer
  • Lægejournaler

PHI er underlagt strenge krav om fortrolighed og videregivelse, som ikke gælder for de fleste andre brancher i USA. Med andre ord er det altid lovpligtigt at beskytte PHI, men beskyttelse af PII er kun påkrævet i nogle tilfælde.

Udvikling af en ensartet tilgang til overholdelse

Det er usædvanligt, at USA ikke har en enkelt standard for beskyttelse af privatlivets fred og databeskyttelse eller en enkelt statslig enhed. I stedet står amerikanske virksomheder over for branchespecifikke love sammen med by-, stats- og internationale regler om overholdelse.

Selv om dette giver mange brancher mulighed for at bruge forbrugerdata i større omfang, skaber det også alvorlige risici for overholdelse. Fordi Californien f.eks. har strengere PII-lovgivning end andre stater, kan en virksomhed, der lovligt sporer brugere fra Nevada, når de besøger dens websted, bryde med overensstemmelsen, hvis en californier surfer ind.

Selv om PHI-kravene er strenge, vil en tjekliste for overholdelse af HIPAA ikke nødvendigvis omfatte PCI, EU’s databeskyttelseslove og andre bestemmelser. I stedet for at udvikle individuelle programmer for hver enkelt ordning bør organisationer implementere bedste praksis for PII-sikkerhed over hele linjen og derefter iterere for at opfylde resterende, ordningsspecifikke regler.

Auditering af PII: Udvikling af sikkerhed, der er klar til overholdelse

God sikkerhed starter med at identificere PII i hele din organisation, uanset om det er i medicinske databaser, e-mail, sikkerhedskopier eller en partners it-miljø. PII skal derefter kategoriseres efter, hvor stor skade et brud kan forårsage – en måling, der er kendt som fortrolighedskonsekvensniveauet. NIST anbefaler, at man tager følgende faktorer i betragtning:

  • Identificerbarhed:
  • Mængden af PII: Hvor mange identiteter kan blive kompromitteret af et brud? Den måde, hvorpå dine data er organiseret, er en faktor. For eksempel vil en klinik sandsynligvis have flere PII i fare, hvis den deler en database med allierede klinikker, end hvis den opretholder en separat database.
  • Datafeltets følsomhed: Hvor stor skade kan dataene forårsage, hvis de bliver brudt? Et telefonnummer er f.eks. mindre følsomt end et kreditkort eller et socialsikringsnummer. Men hvis et brud på telefonnummeret højst sandsynligt også ville kompromittere navn, SSN eller andre personlige data, bør det pågældende telefonnummer betragtes som følsomt.
  • Anvendelseskontekst: Har den måde, hvorpå oplysningerne anvendes, indflydelse på deres virkning? Forestil dig for eksempel, at dit hospital havde et nyhedsbrev med opt-in til patienter, læger, organisationer og andre medlemmer af samfundet. En liste over nyhedsbrevsabonnenter ville indeholde PII for nogle patienter, men disse oplysninger ville være mindre følsomme end de samme PII i patientjournalerne, da de ikke nødvendigvis ville angive patientstatus.
  • Forpligtelser til at beskytte fortrolighed: Hvilke oplysninger er du forpligtet til at beskytte i henhold til HIPAA, HITECH, PCI og andre ordninger? Dette er naturligvis en vigtig overvejelse for sundhedsorganisationer.
  • Adgang til og placering af PII: De personligt identificerbare oplysninger, som HIPAA regulerer, opbevares, transporteres og behandles ofte af tredjeparts IT-tjenester, og medicinske fagfolk, som ikke er ansatte i organisationen, har adgang til dem uden for organisationen og behandles af en række forskellige samarbejdspartnere. Dette skaber risici, som f.eks. ikke ville være til stede, hvis PII’erne var låst inde i en boks og kun kunne tilgås af én læge.

Indførelse af bedste praksis for PII-sikkerhed

Alle data, du opbevarer, er potentielt sårbare. At indsamle færre data og rense unødvendige PII fra dine registre er den nemmeste måde at reducere denne sårbarhed på. Du bør også afidentificere data, hvor det er muligt. Når det gøres korrekt, kan foranstaltninger som anonymisering af patientfeedback og fjernelse eller tokenisering af PII tage disse data helt ud af HIPAA’s anvendelsesområde.

Access control er en anden værdifuld bedste praksis for PII-sikkerhed. Følsomme oplysninger bør kun være tilgængelige for personer, der har brug for dem for at udføre deres arbejde. F.eks. har receptionspersonale, der ikke håndterer fakturering, ikke brug for adgang til komplette patientjournaler.

I alle overensstemmelsesordninger bør alle følsomme oplysninger som standard være krypteret. HIPAA-kompatibel e-mail og krypteret cloudlagring forhindrer hackere i at tyde PII, selv hvis de opsnapper den.

Eksplicitte politikker og regelmæssig træning kan hjælpe med at sikre, at dine medarbejdere bruger sikker e-mail og lagring, men det er vanskeligere at få patienterne til at bruge e-mail-kryptering. Mange vægrer sig ved ulejligheden ved sundhedsportaler, hvilket fører til en meget lav gennemførelsesprocent. Virtru Pro giver patienterne mulighed for at bruge deres egne e-mail-konti og kryptere beskeder og vedhæftede filer med et enkelt klik, hvilket fjerner den ulempe, der forhindrer meningsfuld brug.

Beyond Personally Identifiably Information – HIPAA Business Associates

HIPAA går videre end PII-sikkerhedens bedste praksis i sine krav til partnerorganisationer. I henhold til HIPAA’s regler om beskyttelse af personlige oplysninger har udbydere af sundhedsydelser et betydeligt juridisk ansvar for brud forårsaget af forretningsforbindelser.

Cloud-tjenester, entreprenører, behandlere af medicinske krav og de fleste andre organisationer, der bruger, opbevarer eller behandler PHI, regnes alle som forretningsforbindelser. Du skal underskrive Business Associate Agreements (BAA’er) med hver af disse organisationer, som beskriver:

  • Ansigtet brug af PHI
  • Sikkerhedsforanstaltninger til beskyttelse af brud
  • Stræk til at afhjælpe brud og overtrædelser
  • Procedurer for anmeldelse af brud

Din organisation bør evaluere business associates omhyggeligt for at sikre, at de rent faktisk er i stand til at overholde deres del af aftalen. Organisationer bør have klart dokumenterede datasikkerhedspolitikker og -praksis på plads, før de underskriver en BAA, og bør frivilligt underkaste sig regelmæssige revisioner for at sikre overholdelse.

Beyond Personally Identifiably Information – HIPAA Notices and Notifications

HIPAA har også strenge krav til, hvordan sundhedsoplysninger kan bruges og videregives, og kræver, at der gives en meddelelse om fortrolighedspraksis til patienten. Meddelelsen om privatlivets fred skal dække en række oplysninger, herunder:

  • Hvordan organisationen kan bruge og videregive patientens oplysninger
  • Patientens rettigheder
  • Organisationens pligt til at beskytte oplysningerne og andre juridiske forpligtelser
  • Hvem patienten skal kontakte for at få flere oplysninger

HIPAA har også særlige regler for underretning om brud på reglerne. I henhold til bedste praksis for overholdelse af HIPAA skal organisationer underrette alle, hvis data er blevet kompromitteret, inden for 60 dage efter bruddet. Det er afgørende at sørge for, at dine partnere bruger kryptering. Krypterede data er undtaget fra anmeldelse af brud, medmindre nøglen også er afsløret. I mange tilfælde kan dette gøre forskellen mellem en tæt på og en dyr anmeldelse af brud.

Følge bedste praksis for PII-sikkerhed hjælper organisationer til at være på den sikre side. HIPAA er ikke et sæt af uigennemskuelige og vilkårlige regler, der skal gøre dit liv svært – det er en nyttig ramme til at sikre en høj standard for pleje og fortrolighed for dine patienter. En tilgang til bedste praksis for PII forenkler overholdelsen ved at gøre den til et enkelt sæt regler, der kan bruges i hele din organisation. Det gør det nemmere at holde patienterne sikre og sikre, at følsomme oplysninger ikke falder mellem to stole.

Læs mere om, hvordan Virtru beskytter HIPAA-overholdelse i skyen, eller kontakt os for at arrangere en demo.

Similar Posts

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.