Per la maggior parte delle organizzazioni sanitarie, proteggere la privacy del paziente è l’aspetto più importante della HIPAA, e il più difficile. HIPAA usa il termine Protected Health Information (PHI) per riferirsi ai dati protetti, ma il concetto è molto simile al termine Personally Identifiable Information (PII), che è usato in altri regimi di conformità. Capire come PII e PHI si sovrappongono può aiutare le organizzazioni a unificare gli sforzi di conformità tra i vari regimi, riducendo il rischio, il costo e la complessità di mantenere i dati al sicuro.
PHI vs. PII:
Come implica il nome, le informazioni di identificazione personale sono tutti i dati che possono identificare una persona. Alcune informazioni come nome e cognome, data di nascita, indirizzo e dati biometrici sono sempre considerati PII. Altri dati, come il nome, l’iniziale e il cognome o anche l’altezza o il peso possono contare come PII solo in determinate circostanze, o quando combinati con altre informazioni.
Per esempio, un record che si riferisce al “signor Smith a New York” sarebbe improbabile che contenga abbastanza informazioni per rivelare l’identità del soggetto. Se il paziente avesse un nome meno comune e vivesse in una piccola città, tuttavia, probabilmente conterebbe come PII, dal momento che sarebbe facile dedurre chi fosse il soggetto.
Anche se non affronta esplicitamente le informazioni di identificazione personale, l’HIPAA regola situazioni come questa sotto il termine Informazioni sanitarie protette. PHI include qualsiasi cosa usata in un contesto medico che può identificare i pazienti, come:
- Nome
- Indirizzo
- Numero di carta di credito
- Patente di guida
- Registri medici
PHI è soggetto a rigidi requisiti di riservatezza e divulgazione che non si applicano a molte altre industrie negli Stati Uniti. In altre parole, la protezione delle informazioni personali è sempre richiesta dalla legge, ma la protezione delle informazioni personali è obbligatoria solo in alcuni casi.
Sviluppare un approccio di conformità unificato
Gli Stati Uniti sono insoliti per non avere un unico standard di privacy e protezione dei dati o un’entità governativa. Invece, le aziende americane devono affrontare leggi specifiche del settore, insieme a regolamenti di conformità della città, dello stato e internazionali.
Anche se questo permette a molte industrie di utilizzare i dati dei consumatori in modo più esteso, crea anche seri rischi di conformità. Per esempio, poiché la California ha leggi PII più severe di altri stati, un’azienda che traccia legalmente gli utenti del Nevada quando visitano il suo sito web potrebbe violare la conformità se un californiano vi naviga.
Anche se i requisiti PHI sono rigorosi, una lista di controllo di conformità HIPAA non necessariamente affronta PCI, leggi sulla protezione dei dati dell’UE e altri regolamenti. Piuttosto che sviluppare programmi individuali per ogni regime, le organizzazioni dovrebbero implementare le best practice per la sicurezza delle PII in generale, quindi iterare per soddisfare le restanti regole specifiche del regime.
Auditing delle PII: sviluppare una sicurezza pronta per la conformità
Una buona sicurezza inizia con l’identificazione delle PII nella vostra organizzazione, sia nei database medici, nelle e-mail, nei backup o nell’ambiente IT di un partner. Le PII devono poi essere classificate in base a quanto danno potrebbe causare una violazione – una misura nota come livello di impatto della riservatezza. Il NIST raccomanda di considerare i seguenti fattori:
- Identificabilità: È facile identificare in modo univoco l’individuo che usa le PII?
- Quantità di PII: Quante identità potrebbero essere compromesse da una violazione? Il modo in cui i vostri dati sono organizzati è un fattore. Per esempio, una clinica avrebbe probabilmente più PII a rischio se condividesse un database con cliniche alleate che se mantenesse un database separato.
- Sensibilità del campo dati: Quanto danno potrebbero causare i dati, se violati? Un numero di telefono è meno sensibile di una carta di credito o di un numero di previdenza sociale, per esempio. Tuttavia, se una violazione del numero di telefono molto probabilmente comprometterebbe anche il nome, SSN o altri dati personali, quel numero di telefono dovrebbe essere considerato sensibile.
- Contesto d’uso: Il modo in cui le informazioni vengono utilizzate influenza il loro impatto? Per esempio, immaginate che il vostro ospedale abbia una newsletter opt-in per pazienti, medici, organizzazioni e altri membri della comunità. Una lista di iscritti alla newsletter conterrebbe le PII di alcuni pazienti, ma queste informazioni sarebbero meno sensibili delle stesse PII nelle cartelle cliniche dei pazienti, poiché non indicherebbero necessariamente lo stato del paziente.
- Obblighi di protezione della riservatezza: Quali informazioni siete tenuti a proteggere secondo HIPAA, HITECH, PCI e altri regimi? Questa è ovviamente una considerazione chiave per le organizzazioni sanitarie.
- Accesso e localizzazione delle PII: Le informazioni personali identificabili HIPAA sono spesso memorizzate, trasportate ed elaborate da servizi IT di terze parti, accessibili fuori sede da professionisti medici che non sono dipendenti dell’organizzazione ed elaborate da una varietà di partner commerciali. Questo crea dei rischi che non sarebbero presenti, per esempio, se le PII fossero chiuse a chiave in un caveau e potessero essere accessibili solo a un medico.
Implementare le migliori pratiche di sicurezza delle PII
Tutti i dati memorizzati sono potenzialmente vulnerabili. Raccogliere meno dati ed eliminare le PII non necessarie dai vostri archivi è il modo più semplice per ridurre questa vulnerabilità. Dovreste anche de-identificare i dati dove possibile. Se fatto correttamente, misure come l’anonimizzazione del feedback del paziente e la rimozione o la tokenizzazione delle PII possono portare quei dati fuori dall’ambito dell’HIPAA interamente.
Il controllo dell’accesso è un’altra preziosa best practice di sicurezza delle PII. Le informazioni sensibili dovrebbero essere accessibili solo alle persone che ne hanno bisogno per fare il loro lavoro. Per esempio, il personale di front desk che non gestisce la fatturazione, non ha bisogno di accedere alle cartelle cliniche complete.
In qualsiasi regime di conformità, tutte le informazioni sensibili dovrebbero essere criptate per impostazione predefinita. Le e-mail conformi all’HIPAA e l’archiviazione crittografata nel cloud impediscono agli hacker di decifrare le PII, anche se le intercettano.
Politiche esplicite e formazione regolare possono aiutare a garantire che i vostri lavoratori usino e-mail e archiviazione sicure, ma convincere i pazienti a usare la crittografia delle e-mail è più complicato. Molti si oppongono alla scomodità dei portali sanitari, portando a tassi di adozione molto bassi. Virtru Pro permette ai pazienti di utilizzare i propri account di posta elettronica e crittografare i messaggi e gli allegati con un solo clic, eliminando l’inconveniente che impedisce un uso significativo.
Oltre le informazioni di identificazione personale – HIPAA Business Associates
HIPAA va oltre le migliori pratiche di sicurezza PII nei suoi requisiti per le organizzazioni partner. Secondo la regola sulla privacy HIPAA, i fornitori di assistenza sanitaria hanno una considerevole responsabilità legale per le violazioni causate dai soci d’affari.
Servizi cloud, appaltatori, processori di reclami medici e la maggior parte delle altre organizzazioni che utilizzano, memorizzano o elaborano PHI contano tutti come soci d’affari. È necessario firmare accordi di associazione d’affari (BAA) con ciascuna di queste organizzazioni, che descrivono:
- Uso appropriato di PHI
- Salvaguardia per proteggere le violazioni
- Passi per rimediare alle violazioni
- Procedure di notifica delle violazioni
La tua organizzazione dovrebbe valutare attentamente gli associati d’affari per garantire che siano effettivamente in grado di mantenere la loro parte del patto. Le organizzazioni dovrebbero avere politiche e pratiche di sicurezza dei dati chiaramente documentate prima di firmare un BAA, e dovrebbero volontariamente sottoporsi a controlli regolari per garantire la conformità.
Al di là delle informazioni di identificazione personale – avvisi e notifiche HIPAA
HIPAA ha anche requisiti rigorosi per come le informazioni sanitarie possono essere utilizzate e divulgate, e richiede un avviso sulle pratiche di privacy da fornire al paziente. L’avviso sulla privacy dovrebbe coprire una serie di informazioni, tra cui:
- Come l’organizzazione può utilizzare e divulgare le informazioni del paziente
- I diritti del paziente
- Il dovere dell’organizzazione di proteggere le informazioni, e altri doveri legali
- Chi il paziente dovrebbe contattare per ulteriori informazioni
HIPAA ha anche regole specifiche per la notifica della violazione. Secondo le migliori pratiche di conformità HIPAA, le organizzazioni devono notificare chiunque i cui dati sono stati compromessi entro 60 giorni dalla violazione. Assicurarsi che i vostri partner usino la crittografia è fondamentale. I dati crittografati sono esenti dalla notifica di violazione, a meno che anche la chiave sia esposta. In molti casi, questo può fare la differenza tra una chiamata ravvicinata e una notifica di violazione costosa.
Seguire le migliori pratiche di sicurezza PII aiuta le organizzazioni a sbagliare sul lato della prudenza. L’HIPAA non è un insieme di regole arcane e arbitrarie per renderti la vita difficile – è una struttura utile per garantire un elevato standard di cura e riservatezza per i tuoi pazienti. Un approccio alle migliori pratiche PII semplifica la conformità trasformandola in un unico insieme di regole che possono essere utilizzate in tutta la vostra organizzazione. Questo rende più facile mantenere i pazienti al sicuro e garantire che le informazioni sensibili non cadano nel dimenticatoio.
Scopri come Virtru protegge la conformità HIPAA nel cloud o contattaci per impostare una demo.