Informații de identificare personală: Cele mai bune practici HIPAA

author
9 minutes, 7 seconds Read

Pentru majoritatea organizațiilor din domeniul sănătății, protejarea confidențialității pacienților este cel mai important aspect al HIPAA, dar și cel mai dificil. HIPAA utilizează termenul Informații medicale protejate (PHI) pentru a se referi la datele protejate, dar conceptul este foarte asemănător cu termenul Informații de identificare personală (PII), care este utilizat în alte regimuri de conformitate. Înțelegerea modului în care PII și PHI se suprapun poate ajuta organizațiile să unifice eforturile de conformitate între regimuri, reducând riscul, costul și complexitatea menținerii datelor în siguranță.

PHI vs. PII:

După cum sugerează și numele, informațiile de identificare personală sunt orice date care pot identifica o persoană. Anumite informații precum numele complet, data nașterii, adresa și datele biometrice sunt întotdeauna considerate PII. Alte date, cum ar fi prenumele, inițiala prenumelui și numele de familie sau chiar înălțimea sau greutatea pot fi considerate ca IIP doar în anumite circumstanțe sau atunci când sunt combinate cu alte informații.

De exemplu, este puțin probabil ca o înregistrare care se referă la „domnul Smith din New York” să conțină suficiente informații pentru a dezvălui identitatea subiectului. Cu toate acestea, dacă pacientul ar avea un nume mai puțin comun și ar locui într-un oraș mic, probabil că ar conta ca PII, deoarece ar fi ușor de dedus cine este subiectul.

Deși nu se referă în mod explicit la informațiile de identificare personală, HIPAA reglementează situații ca aceasta sub termenul de Informații medicale protejate. PHI include orice lucru folosit într-un context medical care poate identifica pacienții, cum ar fi:

  • Nume
  • Adresa
  • Data de naștere
  • Numărul cărții de credit
  • Permisul de conducere
  • Dosarele medicale

PHI sunt supuse unor cerințe stricte de confidențialitate și divulgare care nu se aplică în majoritatea celorlalte industrii din Statele Unite. Cu alte cuvinte, protejarea PHI este întotdeauna cerută din punct de vedere legal, dar protejarea PII este impusă doar în unele cazuri.

Dezvoltarea unei abordări unificate de conformitate

Statele Unite sunt neobișnuite prin faptul că nu au un singur standard de confidențialitate și protecție a datelor sau o singură entitate guvernamentală. În schimb, companiile americane se confruntă cu legi specifice industriei, împreună cu reglementări de conformitate la nivel de oraș, stat și internațional.

Deși acest lucru permite multor industrii să utilizeze mai mult datele consumatorilor, creează, de asemenea, riscuri serioase de conformitate. De exemplu, deoarece California are legi PII mai stricte decât alte state, o companie care urmărește în mod legal utilizatorii din Nevada atunci când aceștia îi vizitează site-ul web ar putea încălca conformitatea dacă un californian navighează.

Deși cerințele PHI sunt stricte, o listă de verificare a conformității HIPAA nu va aborda neapărat PCI, legile UE privind protecția datelor și alte reglementări. Mai degrabă decât să dezvolte programe individuale pentru fiecare regim, organizațiile ar trebui să implementeze cele mai bune practici de securitate PII la nivel general, apoi să itereze pentru a respecta regulile rămase, specifice fiecărui regim.

Auditul PII: Dezvoltarea unei securități pregătite pentru conformitate

O bună securitate începe cu identificarea PII în întreaga organizație, indiferent dacă se află în bazele de date medicale, în e-mail, în copiile de rezervă sau în mediul IT al unui partener. Informațiile PII trebuie apoi clasificate în funcție de cât de mult rău ar putea cauza o încălcare – o măsură cunoscută sub numele de nivel de impact al confidențialității. NIST recomandă să se ia în considerare următorii factori:

  • Identificabilitatea: Este ușor de identificat în mod unic persoana care utilizează informațiile PII?
  • Cantitatea de PII: Câte identități ar putea fi compromise de o încălcare? Modul în care sunt organizate datele dumneavoastră este un factor. De exemplu, o clinică ar avea probabil mai multe IAP în pericol dacă ar împărți o bază de date cu clinici aliate decât dacă ar menține o bază de date separată.
  • Sensibilitatea câmpurilor de date: Cât de mult rău ar putea cauza datele, dacă ar fi încălcate? Un număr de telefon este mai puțin sensibil decât un număr de card de credit sau de securitate socială, de exemplu. Cu toate acestea, dacă o încălcare a numărului de telefon ar compromite, cel mai probabil, și numele, SSN sau alte date cu caracter personal, acel număr de telefon ar trebui să fie considerat sensibil.
  • Context de utilizare: Modul în care sunt utilizate informațiile afectează impactul acestora? De exemplu, imaginați-vă că spitalul dvs. avea un buletin informativ de tip opt-in către pacienți, medici, organizații și alți membri ai comunității. O listă de abonați la buletinul informativ ar conține informațiile cu caracter personal ale unor pacienți, dar aceste informații ar fi mai puțin sensibile decât aceleași informații cu caracter personal din dosarele medicale ale pacienților, deoarece nu ar indica neapărat statutul pacientului.
  • Obligații de protecție a confidențialității: Ce informații sunteți obligat să protejați în conformitate cu HIPAA, HITECH, PCI și alte regimuri? Acesta este, în mod evident, un aspect esențial pentru organizațiile din domeniul sănătății.
  • Accesul și localizarea informațiilor de identificare personală: Informațiile de identificare personală reglementate de HIPAA sunt adesea stocate, transportate și procesate de servicii IT terțe, accesate în afara sediului de către profesioniști din domeniul medical care nu sunt angajați ai organizației și procesate de o varietate de asociați comerciali. Acest lucru creează riscuri care nu ar fi prezente, de exemplu, dacă informațiile PII ar fi închise într-un seif și ar putea fi accesate doar de un singur medic.

Punerea în aplicare a celor mai bune practici de securitate a informațiilor PII

Toate datele pe care le stocați sunt potențial vulnerabile. Colectarea mai puține date și epurarea informațiilor PII inutile din înregistrările dvs. este cea mai ușoară modalitate de a reduce această vulnerabilitate. De asemenea, ar trebui să de-identificați datele atunci când este posibil. Atunci când sunt luate în mod corespunzător, măsuri precum anonimizarea feedback-ului pacienților și eliminarea sau tokenizarea informațiilor PII pot scoate acele date în totalitate din sfera de aplicare a HIPAA.

Controlul accesului este o altă bună practică valoroasă de securitate a informațiilor PII. Informațiile sensibile ar trebui să fie accesibile doar persoanelor care au nevoie de ele pentru a-și face treaba. De exemplu, personalul de la recepție care nu se ocupă de facturare, nu are nevoie de acces la dosarele medicale complete.

În orice regim de conformitate, toate informațiile sensibile ar trebui să fie criptate în mod implicit. E-mailurile conforme cu HIPAA și stocarea criptată în cloud împiedică hackerii să descifreze informațiile PII, chiar dacă le interceptează.

Politicile explicite și instruirile periodice pot ajuta la asigurarea faptului că lucrătorii dvs. folosesc e-mailuri și stocarea securizată, dar convingerea pacienților să folosească criptarea e-mailurilor este mai dificilă. Mulți se feresc de inconvenientele oferite de portalurile de sănătate, ceea ce duce la rate de adoptare foarte scăzute. Virtru Pro le permite pacienților să își folosească propriile conturi de e-mail și să cripteze mesajele și atașamentele cu un singur clic, eliminând inconvenientele care împiedică utilizarea semnificativă.

Dincolo de informațiile cu caracter personal identificabil – Asociații de afaceri HIPAA

HIPAA depășește cele mai bune practici de securitate PII în cerințele sale pentru organizațiile partenere. În conformitate cu regula de confidențialitate HIPAA, furnizorii de asistență medicală au o răspundere juridică considerabilă pentru încălcările cauzate de asociații de afaceri.

Serviciile în cloud, contractanții, procesatorii de cereri de rambursare a cheltuielilor medicale și majoritatea celorlalte organizații care utilizează, stochează sau procesează ISP, toate acestea contează ca asociați de afaceri. Trebuie să semnați Acorduri cu asociații de afaceri (BAA) cu fiecare dintre aceste organizații, care să descrie:

  • Utilizarea adecvată a PHI
  • Măsuri de protecție împotriva breșelor
  • Măsuri pentru remedierea breșelor și a încălcărilor
  • Proceduri de notificare a breșelor

Organizația dvs. ar trebui să evalueze cu atenție asociații de afaceri pentru a se asigura că aceștia sunt într-adevăr capabili să își respecte partea lor de înțelegere. Organizațiile ar trebui să dispună de politici și practici de securitate a datelor clar documentate înainte de a semna un BAA și ar trebui să se supună în mod voluntar unor audituri periodice pentru a asigura conformitatea.

Dincolo de informațiile cu caracter personal identificabil – Avize și notificări HIPAA

HiPAA are, de asemenea, cerințe stricte cu privire la modul în care pot fi utilizate și dezvăluite informațiile privind sănătatea și impune ca pacientului să i se furnizeze o notificare privind practicile de confidențialitate. Notificarea privind confidențialitatea ar trebui să acopere o serie de informații, inclusiv:

  • Cum poate organizația să utilizeze și să divulge informațiile pacientului
  • Drepturile pacientului
  • Datoria organizației de a proteja informațiile, precum și alte obligații legale
  • Cine ar trebui să contacteze pacientul pentru mai multe informații

HIPAA are, de asemenea, reguli specifice pentru notificarea încălcărilor. Conform celor mai bune practici de conformitate HIPAA, organizațiile trebuie să notifice orice persoană ale cărei date au fost compromise în termen de 60 de zile de la încălcare. Este esențial să vă asigurați că partenerii dvs. utilizează criptarea. Datele criptate sunt exceptate de la notificarea încălcărilor, cu excepția cazului în care este expusă și cheia. În multe cazuri, acest lucru poate face diferența între un incident la limită și o notificare de încălcare costisitoare.

Să urmeze cele mai bune practici de securitate PII ajută organizațiile să greșească de partea precauției. HIPAA nu este un set de reguli obscure și arbitrare care să vă îngreuneze viața – este un cadru util pentru a asigura un standard ridicat de îngrijire și confidențialitate pentru pacienții dumneavoastră. O abordare bazată pe cele mai bune practici PII simplifică conformitatea, transformând-o într-un set unic de reguli care pot fi utilizate în întreaga organizație. Astfel, este mai ușor să păstrați pacienții în siguranță și să vă asigurați că informațiile sensibile nu scapă printre fisuri.

Descoperiți cum Virtru protejează conformitatea HIPAA în cloud sau contactați-ne pentru a configura o demonstrație.

Similar Posts

Lasă un răspuns

Adresa ta de email nu va fi publicată.