Personligt identifierbar information: HIPAA Best Practices

author
8 minutes, 6 seconds Read

För de flesta sjukvårdsorganisationer är skyddet av patienternas privatliv den viktigaste aspekten av HIPAA, och den svåraste. HIPAA använder termen Protected Health Information (PHI) för att hänvisa till skyddade uppgifter, men begreppet är mycket likt termen Personally Identifiable Information (PII), som används i andra regimer för efterlevnad. Att förstå hur PII och PHI överlappar varandra kan hjälpa organisationer att förenhetliga efterlevnadsarbetet mellan olika system, vilket minskar risken, kostnaden och komplexiteten när det gäller att hålla data säkra.

PHI vs. PII:

Som namnet antyder är personligt identifierbar information alla data som kan identifiera en person. Viss information som fullständigt namn, födelsedatum, adress och biometriska uppgifter betraktas alltid som PII. Andra uppgifter, som förnamn, för- och efternamn eller till och med längd eller vikt kan endast räknas som PII under vissa omständigheter eller när de kombineras med annan information.

En post som hänvisar till ”Mr Smith i New York” är till exempel osannolikt att den skulle innehålla tillräckligt med information för att avslöja personens identitet. Om patienten däremot hade ett mindre vanligt namn och bodde i en liten stad skulle det förmodligen räknas som PII, eftersom det skulle vara lätt att härleda vem personen var.

Trots att HIPAA inte uttryckligen tar upp personligt identifierbar information reglerar HIPAA situationer som denna under begreppet Protected Health Information (skyddad hälsoinformation). PHI omfattar allt som används i ett medicinskt sammanhang och som kan identifiera patienter, till exempel:

  • Namn
  • Adress
  • Födelsedag
  • Kreditkortsnummer
  • Förarlegitimation
  • Läkarjournaler

PHI omfattas av strikta krav på konfidentialitet och utlämnande som inte gäller för de flesta andra branscher i USA. Med andra ord är det alltid lagstadgat att skydda PHI, men att skydda PII är endast obligatoriskt i vissa fall.

Utveckling av en enhetlig strategi för efterlevnad

USA är ovanligt genom att det inte finns någon enhetlig standard för integritets- och dataskydd eller någon statlig enhet. Istället möter amerikanska företag branschspecifika lagar tillsammans med stad, delstat och internationella regler för efterlevnad.

Och även om detta gör det möjligt för många branscher att använda konsumentuppgifter i större utsträckning, skapar det också allvarliga risker för efterlevnaden. Eftersom Kalifornien har strängare PII-lagar än andra stater kan till exempel ett företag som lagligt spårar användare från Nevada när de besöker dess webbplats bryta mot kraven om en kalifornier surfar in.

Och även om PHI-kraven är strikta kommer en checklista för HIPAA-efterlevnad inte nödvändigtvis att ta upp PCI, EU:s dataskyddslagar och andra förordningar. I stället för att utveckla individuella program för varje regim bör organisationer implementera bästa praxis för PII-säkerhet över hela linjen och sedan iterera för att uppfylla återstående, regimspecifika regler.

Auditering av PII: Utveckling av säkerhet som är redo för efterlevnad

God säkerhet börjar med att identifiera PII i hela organisationen, oavsett om det finns i medicinska databaser, e-post, säkerhetskopior eller i en partners IT-miljö. PII måste sedan kategoriseras efter hur stor skada ett brott skulle kunna orsaka – ett mått som kallas konfidentialitetskonsekvensnivå. NIST rekommenderar att man tar hänsyn till följande faktorer:

  • Identifierbarhet: Är det lätt att entydigt identifiera den person som använder PII:
  • Mängd PII: Hur många identiteter kan äventyras av ett intrång? Hur dina uppgifter är organiserade är en faktor. Till exempel skulle en klinik sannolikt ha mer PII i riskzonen om den delar en databas med allierade kliniker än om den upprätthåller en separat databas.
  • Datafältskänslighet: Hur stor skada skulle uppgifterna kunna orsaka om de bröts? Ett telefonnummer är mindre känsligt än t.ex. ett kreditkorts- eller personnummer. Men om en överträdelse av telefonnumret med största sannolikhet också skulle äventyra namn, SSN eller andra personuppgifter, bör telefonnumret betraktas som känsligt.
  • Användningssammanhang: Påverkar det sätt på vilket informationen används dess inverkan? Tänk dig till exempel att ditt sjukhus har ett nyhetsbrev med opt-in till patienter, läkare, organisationer och andra samhällsmedlemmar. En lista över prenumeranter på nyhetsbrevet skulle innehålla PII för vissa patienter, men den informationen skulle vara mindre känslig än samma PII i patienternas journaler, eftersom den inte nödvändigtvis skulle ange patientens status.
  • Skyldigheter att skydda konfidentialitet: Vilken information måste du skydda enligt HIPAA, HITECH, PCI och andra system? Detta är naturligtvis en viktig fråga för sjukvårdsorganisationer.
  • Tillgång till och placering av PII: Den personligt identifierbara information som HIPAA reglerar lagras, transporteras och bearbetas ofta av IT-tjänster från tredje part, åtkoms utanför organisationen av sjukvårdspersonal som inte är anställda av organisationen och bearbetas av en mängd olika affärspartner. Detta skapar risker som inte skulle finnas, till exempel om PII var inlåst i ett valv och endast kunde nås av en läkare.

Införandet av bästa praxis för PII-säkerhet

Alla data som du lagrar är potentiellt sårbara. Att samla in färre uppgifter och rensa bort onödig PII från dina register är det enklaste sättet att minska sårbarheten. Du bör också avidentifiera uppgifter när det är möjligt. När det görs på rätt sätt kan åtgärder som att anonymisera patientfeedback och ta bort eller tokenisera PII ta dessa data helt och hållet ur HIPAA:s räckvidd.

Accesskontroll är en annan värdefull bästa praxis för PII-säkerhet. Känslig information bör endast vara tillgänglig för personer som behöver den för att utföra sitt arbete. Till exempel behöver inte receptionspersonal som inte hanterar fakturering ha tillgång till fullständiga journaler.

I alla system för efterlevnad bör all känslig information krypteras som standard. HIPAA-kompatibel e-post och krypterad molnlagring förhindrar hackare från att dechiffrera PII, även om de avlyssnar den.

Exakta policyer och regelbunden utbildning kan hjälpa till att se till att dina anställda använder säker e-post och lagring, men det är svårare att få patienterna att använda e-postkryptering. Många skyr besväret med vårdportaler, vilket leder till en mycket låg användningsgrad. Virtru Pro gör det möjligt för patienterna att använda sina egna e-postkonton och kryptera meddelanden och bilagor med ett enda klick, vilket eliminerar de olägenheter som förhindrar meningsfull användning.

Bortom personligt identifierbar information – HIPAA Business Associates

HIPAA går längre än bästa praxis för PII-säkerhet i sina krav på partnerorganisationer. Enligt HIPAA:s sekretessregel har vårdgivare ett betydande juridiskt ansvar för överträdelser som orsakas av affärspartner.

Molntjänster, entreprenörer, behandlare av medicinska anspråk och de flesta andra organisationer som använder, lagrar eller behandlar PHI räknas alla som affärspartner. Du måste underteckna Business Associate Agreements (BAA) med var och en av dessa organisationer, som beskriver:

  • Ansvarig användning av PHI
  • Säkerhetsåtgärder för att skydda överträdelser
  • Stegna åtgärder för att åtgärda överträdelser och överträdelser
  • Förfaranden för anmälan av överträdelser

Din organisation bör utvärdera affärspartnerna noggrant för att se till att de faktiskt är kapabla att hålla sin del av avtalet. Organisationer bör ha klart dokumenterade riktlinjer och rutiner för datasäkerhet innan de undertecknar ett BAA, och bör frivilligt genomgå regelbundna revisioner för att säkerställa efterlevnaden.

Bortom personligt identifierbar information – HIPAA-notiser och anmälningar

HIPAA har också strikta krav på hur hälsoinformation kan användas och avslöjas, och kräver att patienten ska få ett meddelande om sekretessrutiner. Meddelandet om sekretess bör omfatta en rad olika uppgifter, bland annat:

  • Hur organisationen kan använda och lämna ut patientens information
  • Patientens rättigheter
  • Organisationens skyldighet att skydda informationen och andra rättsliga skyldigheter
  • Vem patienten ska kontakta för att få mer information

HIPAA har också särskilda regler för anmälan av överträdelser. Enligt HIPAA:s bästa praxis för efterlevnad måste organisationer meddela alla vars uppgifter har äventyrats inom 60 dagar efter brottet. Att se till att dina partner använder kryptering är avgörande. Krypterade uppgifter är undantagna från anmälan om överträdelse, om inte nyckeln också exponeras. I många fall kan detta göra skillnaden mellan en nära incident och en kostsam anmälan om intrång.

Att följa bästa praxis för PII-säkerhet hjälper organisationer att vara på den försiktiga sidan. HIPAA är inte en uppsättning av oklara och godtyckliga regler som gör ditt liv svårt – det är ett användbart ramverk för att säkerställa en hög standard för vård och konfidentialitet för dina patienter. Ett tillvägagångssätt med bästa praxis för PII förenklar efterlevnaden genom att omvandla den till en enda uppsättning regler som kan användas i hela organisationen. Det gör det lättare att hålla patienterna säkra och se till att känslig information inte faller mellan stolarna.

Lär dig hur Virtru skyddar HIPAA-efterlevnad i molnet eller kontakta oss för att ställa in en demo.

Similar Posts

Lämna ett svar

Din e-postadress kommer inte publiceras.