DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Conformità HIPAA

Conformità HIPAA

HIPAA, o The Health Insurance Portability and Accountability Act, protegge le informazioni sensibili dei pazienti. È stato stabilito nel 1996 e contiene diverse regole che regolano come i dati sanitari privati devono essere protetti, utilizzati e divulgati in ogni fase della loro esistenza. Tutti gli enti coperti, partner commerciali e terze parti che lavorano con dati sensibili devono seguire queste regole e proteggere e salvaguardare le Informazioni Sanitarie Protette (PHI). Questo atto influisce sull’industria sanitaria negli Stati Uniti. La legge consiste in regole di protezione dei dati rigorose, poiché i dati dei pazienti sono informazioni molto attraenti per i criminali. HIPAA è regolamentato dal Dipartimento della Salute e dei Servizi Umani (HHS) e applicata dall’Ufficio per i Diritti Civili (OCR). Esaminiamo più da vicino le definizioni e le regole per chiarire come essere conformi con HIPAA.

Definizioni Principali

HIPAA ha alcune definizioni importanti per la comprensione. Qui le descriveremo.

PHI o Protected Health Information sono i dati di tutti connessi all’assistenza sanitaria. Include informazioni come nome, indirizzo, data di nascita, numero di previdenza sociale e molti altri dati sensibili come rapporti su tutti i trattamenti medici, condizioni di salute mentale, pagamenti, ecc.

ePHI o Electronic Health Information è uguale alla PHI, ma tutte queste informazioni sono conservate, trasmesse e ricevute in formato elettronico.

Enti Coperti sono tutti coloro che lavorano con PHI. Possono essere medici, infermieri, qualsiasi altro personale sanitario che ha accesso alle informazioni, clearinghouse sanitarie e agenzie assicurative. Vale la pena menzionare che gli enti coperti sono responsabili di segnalare le violazioni e pagare multe se si verificano.

Partner Commerciali sono tutti coloro che forniscono servizi diversi per gli enti coperti e hanno accesso alla PHI, ad esempio avvocati, aziende IT, contabili e altri personale non medico.

È necessario conoscere queste cose per comprendere come e con chi funziona la conformità HIPAA.

Regole di Privacy e Sicurezza HIPAA

La Regola sulla Privacy HIPAA è una regola fondamentale dell’atto. Si applica solo agli enti coperti, il che significa che ogni fornitore di assistenza sanitaria, clearinghouse sanitaria e altre agenzie sanitarie devono conformarsi a essa. Questo dovrebbe essere il tuo primo passo verso la conformità HIPAA. Questa regola specifica le salvaguardie per la PHI, limita l’accesso alle informazioni e fornisce condizioni per l’uso e la divulgazione delle informazioni private senza il consenso del paziente. Inoltre, i pazienti hanno alcuni diritti speciali, ad esempio richiedere correzioni alla loro PHI e avere una copia di queste informazioni.

La Regola sulla Sicurezza HIPAA si applica solo alla ePHI e non si occupa della PHI trasmessa oralmente o per iscritto. Questa regola specifica le salvaguardie amministrative e tecniche che gli enti coperti dovrebbero implementare per la protezione dei dati. La Regola sulla Sicurezza protegge la riservatezza, l’integrità e la disponibilità di tutti i dati che gli enti coperti creano, mantengono o trasmettono. Inoltre, ci sono punti che affermano che è necessario identificare e eliminare le minacce alla sicurezza delle informazioni. Inoltre, tutto il personale degli enti coperti deve conformarsi ai requisiti normativi. La Regola sulla Sicurezza consente di scegliere quali soluzioni implementare per le misure di sicurezza. Dipende dalla dimensione, dalle risorse e dalla natura dell’ente coperto.

È necessario implementare le seguenti misure per salvaguardare le informazioni:

  • Tecniche salvaguardia riguarda la protezione e la concessione dell’accesso alle informazioni. Se vuoi essere conforme a HIPAA devi essere sicuro che i dati siano sicuri in tutte le fasi della loro esistenza implementando politiche e procedure. Questa salvaguardia consiste in 4 categorie: controllo dell’accesso, controllo dell’audit, controlli di integrità e sicurezza della trasmissione.
  • Fisiche salvaguardia riguarda la prevenzione dell’accesso fisico alla ePHI, indipendentemente da dove si trova. Solo le persone autorizzate devono avere accesso per utilizzare queste informazioni e la loro ubicazione.
  • Amministrative salvaguardia riguarda l’implementazione di politiche e procedure. Gli ufficiali della privacy e della sicurezza saranno responsabili della formazione del personale, dell’analisi e dell’identificazione dei rischi alla sicurezza, ecc.

Violazioni Comuni

Per essere conforme a HIPAA devi capire che la maggior parte delle violazioni sono interne. Se qualcuno smarrisce il documento con le informazioni di un paziente o lascia la postazione di lavoro sbloccata involontariamente, queste sono ancora violazioni. Ecco alcune violazioni comuni:

  • Dispositivi rubati con PHI o ePHI;
  • Attacchi informatici (malware, ransomware, ecc.);
  • Intrusione in ufficio;
  • Invio di PHI alla persona o al partner sbagliato;
  • Discussione della PHI in pubblico;
  • Pubblicazione della PHI sui social media.

Per proteggerti devi analizzare la natura della tua attività e i partner con cui lavori. È essenziale lavorare solo con partner che sono anche conformi a HIPAA. Questo ti aiuterà a ridurre la possibilità di ricevere multe se si verifica una violazione in qualsiasi modo.

La Regola di Notifica delle Violazioni HIPAA

Prima di tutto, dobbiamo chiarire cos’è una violazione dei dati secondo HIPAA. Qui abbiamo che una violazione è “un uso o divulgazione non permesso che compromette la sicurezza o la privacy delle informazioni sanitarie protette”. In altre parole, una violazione dei dati è solo un accesso non autorizzato alla PHI. Puoi prevenire le violazioni dei dati utilizzando misure di sicurezza robuste, formazione e software per rilevare attacchi e minacce.

La Regola di Notifica delle Violazioni ha 2 tipi di violazioni che differiscono l’una dall’altra per il numero di individui colpiti. Se una violazione colpisce meno di 500 individui un ente coperto deve notificare l’HHS una volta all’anno, non oltre 60 giorni fino alla fine dell’anno solare in cui è stata scoperta la violazione. Inoltre, le entità devono notificare gli individui colpiti entro 60 giorni dal momento in cui si è verificata la violazione.

Se una violazione colpisce più di 500 individui un ente coperto deve notificare l’HHS e l’OCR entro 60 giorni dal momento in cui è stata scoperta la violazione. Inoltre, è necessario notificare le agenzie di polizia locali. Inoltre, tutte le violazioni significative sono pubblicate sul Portale del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.

Il Sistema di Multe e Sanzioni

Indipendentemente da quanto ben preparato sei per la conformità HIPAA, devi sempre essere consapevole di multe e sanzioni. HIPAA ha 2 categorie di sanzioni: Causa Ragionevole e Negligenza Volontaria. La somma minima per la violazione di Causa Ragionevole è di $100 per incidente, e la somma massima per entrambi i casi è di 50000$ per incidente.

La somma dipende dalla tua conoscenza di una violazione e dal grado di negligenza. Se non sapevi della violazione e non potevi prevenirla, la somma minima è di $100 per violazione. Il livello successivo è quando l’entità avrebbe dovuto sapere della violazione, ma non avrebbe potuto prevenirla per qualche motivo. Questo costerà all’entità fino a $50000. Se l’entità era negligente e non ha corretto la violazione in 30 giorni, la multa minima sarà di $50000 per violazione. Inoltre, può esserci una sanzione sotto forma di reclusione.

HIPAA e COVID-19

Dal momento della pandemia, la situazione nell’industria sanitaria è cambiata. E HIPAA è cambiata anch’essa. Ci sono nuovi bollettini, linee guida e altre diverse cose per aiutare gli enti e i partner commerciali a condurre la conformità in questo periodo. La cosa più importante per la conformità in quel periodo è il lavoro a distanza e la telemedicina. La PHI è conservata in diversi posti, anche nei dispositivi dei pazienti. Ecco perché le sanzioni e le multe sono state sospese per un po’ di tempo.

Ma nonostante questo fatto, tutti i fornitori di servizi medici devono proteggere le informazioni dei pazienti e utilizzare misure supplementari per proteggere informazioni sensibili. È necessario rivedere tutte le procedure e le politiche per ridurre il rischio di una violazione in quel periodo. Inoltre, l’educazione attiva e la formazione del personale sulle regole su come proteggere la PHI quando si lavora da casa ti aiuteranno a ridurre le possibilità di una violazione dei dati. Potrebbe essere una formazione aggiuntiva rispetto a quella annuale obbligatoria. Inoltre, puoi implementare l’autenticazione a due fattori o le biometrie per i dispositivi con PHI.

HIPAA è uno dei regolamenti più rigorosi e complessi per la protezione dei dati sensibili. È stato creato appositamente per mantenere privata la PHI dei pazienti, non importa cosa. Per essere conforme a HIPAA devi avere scritti di tutto. Devi documentare tutte le violazioni, ogni organizzazione con cui la PHI è condivisa. Inoltre, devi avere piani di rimedio e devi documentare ogni gap che è stato risolto e le date in cui è stato fatto. Il nostro DataSunrise Database Regulatory Compliance (DDRC) ti aiuterà a essere conforme alla maggior parte degli atti e delle leggi, incluso HIPAA. La nostra funzionalità di mascheramento offusca i dati sensibili, quindi i criminali informatici non avranno le informazioni originali. Inoltre, abbiamo una valutazione della vulnerabilità che ti permette di trovare e correggere le vulnerabilità per sfuggire ad alcuni attacchi informatici. Con un audit del database, puoi monitorare l’attività del database e fornire diversi livelli di accesso a esso. Inoltre, in DataSunrise possiamo trovare e nascondere dati sensibili ovunque.

Successivo

Conformità PCI DSS

Conformità PCI DSS

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]