Dla większości organizacji opieki zdrowotnej, ochrona prywatności pacjentów jest najważniejszym aspektem HIPAA, a także najtrudniejszym. HIPAA używa terminu Protected Health Information (PHI) w odniesieniu do danych chronionych, ale koncepcja ta jest bardzo podobna do terminu Personally Identifiable Information (PII), który jest używany w innych systemach zgodności. Zrozumienie, w jaki sposób PII i PHI nakładają się na siebie, może pomóc organizacjom w ujednoliceniu wysiłków związanych z zachowaniem zgodności w różnych systemach, zmniejszając ryzyko, koszty i złożoność utrzymania bezpieczeństwa danych.
PHI vs. PII:
Jak sama nazwa wskazuje, informacje umożliwiające identyfikację osoby to wszelkie dane, które mogą zidentyfikować osobę. Niektóre informacje, takie jak pełne imię i nazwisko, data urodzenia, adres i dane biometryczne są zawsze uważane za PII. Inne dane, takie jak imię, inicjał imienia i nazwisko, a nawet wzrost lub waga, mogą być zaliczane do PII tylko w pewnych okolicznościach lub w połączeniu z innymi informacjami.
Na przykład, rekord, który odnosił się do „Pana Smitha w Nowym Jorku”, prawdopodobnie nie zawierałby wystarczającej ilości informacji, aby zdradzić tożsamość podmiotu. Jeśli pacjent miał mniej popularne nazwisko i mieszkał w małym mieście, jednak prawdopodobnie liczyłoby się jako PII, ponieważ byłoby łatwo wywnioskować, kto był przedmiotem.
Ale nie wyraźnie adresuje informacje umożliwiające identyfikację osoby, HIPAA reguluje sytuacje takie jak ta pod terminem Chronione informacje zdrowotne. PHI obejmuje wszystko, co jest używane w kontekście medycznym, co może zidentyfikować pacjentów, takie jak:
- Nazwisko
- Adres
- Dzień urodzin
- Numer karty kredytowej
- Prawo jazdy
- Dokumentacja medyczna
PHI podlega ścisłym wymaganiom dotyczącym poufności i ujawniania, które nie dotyczą większości innych branż w Stanach Zjednoczonych. Innymi słowy, ochrona PHI jest zawsze wymagana prawnie, ale ochrona PII jest wymagana tylko w niektórych przypadkach.
Opracowanie jednolitego podejścia do zgodności
Stany Zjednoczone są nietypowe, ponieważ nie mają jednego standardu ochrony prywatności i danych ani jednostki rządowej. Zamiast tego amerykańskie firmy borykają się z przepisami branżowymi oraz miejskimi, stanowymi i międzynarodowymi regulacjami dotyczącymi zgodności.
Choć pozwala to wielu branżom na szersze wykorzystanie danych konsumentów, stwarza również poważne zagrożenia związane ze zgodnością. Na przykład, ponieważ Kalifornia ma surowsze prawa dotyczące PII niż inne stany, firma, która legalnie śledzi użytkowników z Nevady, gdy odwiedzają jej witrynę internetową, może naruszyć zgodność, jeśli Kalifornijczyk surfuje w witrynie.
Mimo że wymagania dotyczące PHI są surowe, lista kontrolna zgodności z HIPAA niekoniecznie uwzględnia PCI, przepisy UE dotyczące ochrony danych i inne regulacje. Zamiast opracowywać indywidualne programy dla każdego systemu, organizacje powinny wdrażać najlepsze praktyki w zakresie bezpieczeństwa PII we wszystkich obszarach, a następnie aktualizować je w celu spełnienia pozostałych, specyficznych dla danego systemu zasad.
Audyt PII: Opracowanie zabezpieczeń gotowych do spełnienia wymogów zgodności
Dobre bezpieczeństwo zaczyna się od zidentyfikowania PII w całej organizacji, niezależnie od tego, czy znajdują się one w medycznych bazach danych, poczcie elektronicznej, kopiach zapasowych czy środowisku IT partnera. Następnie PII należy skategoryzować pod kątem tego, jak duże szkody może spowodować naruszenie – jest to miara znana jako poziom wpływu na poufność. NIST zaleca uwzględnienie następujących czynników:
- Możliwość identyfikacji: Czy łatwo jest jednoznacznie zidentyfikować osobę korzystającą z PII?
- Ilość PII: Ile tożsamości może zostać narażonych w wyniku naruszenia? Sposób, w jaki dane są zorganizowane, jest ważnym czynnikiem. Na przykład, klinika będzie prawdopodobnie bardziej narażona na ryzyko, jeśli będzie współdzielić bazę danych z innymi klinikami, niż jeśli będzie prowadzić oddzielną bazę danych.
- Wrażliwość pola danych: Jak duże szkody mogą wyrządzić dane, jeśli zostaną naruszone? Na przykład numer telefonu jest mniej wrażliwy niż numer karty kredytowej lub numer ubezpieczenia społecznego. Jeśli jednak naruszenie numeru telefonu najprawdopodobniej spowodowałoby również ujawnienie nazwiska, numeru SSN lub innych danych osobowych, numer telefonu należy uznać za wrażliwy.
- Kontekst użycia: Czy sposób, w jaki informacje są wykorzystywane, wpływa na ich wpływ? Na przykład, wyobraź sobie, że Twój szpital prowadzi biuletyn opt-in skierowany do pacjentów, lekarzy, organizacji i innych członków społeczności. Lista subskrybentów biuletynu zawierałaby informacje PII niektórych pacjentów, ale te informacje byłyby mniej wrażliwe niż te same informacje PII w dokumentacji medycznej pacjenta, ponieważ niekoniecznie wskazywałyby na status pacjenta.
- Obowiązki w zakresie ochrony poufności: Jakie informacje są wymagane do ochrony w ramach HIPAA, HITECH, PCI i innych reżimów? Jest to oczywiście kluczowa kwestia dla organizacji opieki zdrowotnej.
- Dostęp i lokalizacja PII: Informacje umożliwiające identyfikację osób, którymi rządzi się HIPAA, są często przechowywane, transportowane i przetwarzane przez zewnętrzne służby informatyczne, a dostęp do nich mają pracownicy medyczni, którzy nie są pracownikami organizacji, i są one przetwarzane przez różnych partnerów biznesowych. Stwarza to ryzyko, którego nie byłoby, na przykład, gdyby informacje PII były zamknięte w skarbcu, a dostęp do nich miałby tylko jeden lekarz.
Wdrażanie najlepszych praktyk w zakresie bezpieczeństwa informacji PII
Każde przechowywane dane są potencjalnie podatne na zagrożenia. Zbieranie mniejszej ilości danych i usuwanie niepotrzebnych informacji PII z dokumentacji jest najprostszym sposobem zmniejszenia tej podatności na zagrożenia. W miarę możliwości należy również pozbawiać dane cech identyfikacyjnych. Prawidłowo zastosowane środki, takie jak anonimizacja informacji zwrotnych od pacjentów i usuwanie lub tokenizacja informacji PII, mogą całkowicie wyłączyć te dane z zakresu HIPAA.
Kontrola dostępu to kolejna cenna najlepsza praktyka w zakresie bezpieczeństwa informacji PII. Wrażliwe informacje powinny być dostępne tylko dla osób, które potrzebują ich do wykonywania swojej pracy. Na przykład pracownicy recepcji, którzy nie zajmują się rozliczeniami, nie potrzebują dostępu do kompletnej dokumentacji medycznej.
W każdym systemie zgodności wszystkie wrażliwe informacje powinny być domyślnie zaszyfrowane. Zgodna z HIPAA poczta elektroniczna i szyfrowana pamięć masowa w chmurze uniemożliwiają hakerom rozszyfrowanie PII, nawet jeśli je przechwycą.
Wyraźne zasady i regularne szkolenia mogą pomóc w zapewnieniu, że pracownicy korzystają z bezpiecznej poczty elektronicznej i pamięci masowej, ale nakłonienie pacjentów do korzystania z szyfrowania poczty elektronicznej jest trudniejsze. Wielu z nich balk na niedogodności portali opieki zdrowotnej, co prowadzi do bardzo niskich wskaźników adopcji. Virtru Pro pozwala pacjentom korzystać z własnych kont e-mail i szyfrować wiadomości i załączniki za pomocą jednego kliknięcia, usuwając niedogodności, które uniemożliwiają znaczące wykorzystanie.
Poza danymi osobowymi – HIPAA Business Associates
HIPAA wykracza poza najlepsze praktyki bezpieczeństwa PII w swoich wymaganiach dla organizacji partnerskich. Zgodnie z zasadą ochrony prywatności HIPAA dostawcy usług opieki zdrowotnej ponoszą znaczną odpowiedzialność prawną za naruszenia spowodowane przez partnerów biznesowych.
Usługi w chmurze, kontrahenci, podmioty przetwarzające roszczenia medyczne i większość innych organizacji, które wykorzystują, przechowują lub przetwarzają PHI, zaliczają się do partnerów biznesowych. Z każdą z tych organizacji należy podpisać umowy o współpracy biznesowej (BAA), opisujące:
- odpowiednie wykorzystanie PHI
- zabezpieczenia chroniące przed naruszeniami
- kroki zaradcze w przypadku naruszeń i naruszeń
- procedury powiadamiania o naruszeniach
Państwa organizacja powinna dokładnie ocenić współpracowników biznesowych, aby upewnić się, że są oni rzeczywiście w stanie dotrzymać swojej części umowy. Organizacje powinny mieć jasno udokumentowane polityki i praktyki bezpieczeństwa danych, zanim podpiszą BAA, i powinny dobrowolnie poddawać się regularnym audytom w celu zapewnienia zgodności.
Poza informacjami umożliwiającymi identyfikację osoby – zawiadomienia i powiadomienia HIPAA
HIPAA ma również surowe wymagania dotyczące sposobu, w jaki informacje zdrowotne mogą być wykorzystywane i ujawniane, i wymaga zawiadomienia o praktykach ochrony prywatności być dostarczane do pacjenta. Powiadomienie o ochronie prywatności powinno obejmować szereg informacji, w tym:
- Jak organizacja może wykorzystywać i ujawniać informacje o pacjencie
- Prawa pacjenta
- Obowiązki organizacji w zakresie ochrony informacji oraz inne obowiązki prawne
- Kto powinien skontaktować się z pacjentem, aby uzyskać więcej informacji
HIPAA zawiera również szczegółowe zasady dotyczące powiadamiania o naruszeniach. Zgodnie z najlepszymi praktykami zgodności z HIPAA organizacje muszą powiadomić każdego, kogo dane zostały naruszone, w ciągu 60 dni od naruszenia. Upewnienie się, że Twoi partnerzy używają szyfrowania, ma kluczowe znaczenie. Zaszyfrowane dane są zwolnione z obowiązku powiadamiania o naruszeniu, chyba że ujawniony zostanie również klucz. W wielu przypadkach może to stanowić różnicę między bliską rozmową a kosztownym zgłoszeniem naruszenia.
Przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa PII pomaga organizacjom zachować ostrożność. HIPAA nie jest zbiorem niejasnych i arbitralnych zasad, które mają utrudniać życie – to użyteczne ramy zapewniające wysoki standard opieki i poufności dla pacjentów. Podejście oparte na najlepszych praktykach w zakresie PII upraszcza przestrzeganie przepisów, przekształcając je w pojedynczy zestaw zasad, które można stosować w całej organizacji. To sprawia, że łatwiej jest utrzymać bezpieczeństwo pacjentów i zapewnić, że wrażliwe informacje nie prześlizgną się przez szczeliny.
Dowiedz się, jak Virtru chroni zgodność z HIPAA w chmurze lub skontaktuj się z nami, aby umówić się na demo.