1.5 миллиона долларов США. Это наказание применимо к медицинским организациям, которые нарушают Закон о переносимости и подотчетности медицинского страхования (HIPAA). Сегодня несколько организаций здравоохранения и связанных с ними предприятий рискуют не соответствовать требованиям из-за неправильного использования мобильных устройств на работе.
Организации могут не соблюдать требования, поскольку медицинский персонал использует свои личные устройства на работе или загружает неавторизованные приложения, которые могут поставить под угрозу данные пациентов. Любая операция мобильного устройства, которая может привести к компрометации медицинской информации, может привести к Нарушение HIPAA, что приводит к финансовым потерям. К счастью, у компаний есть возможность сотрудничать со специалистами по управлению устройствами, чтобы обеспечить соответствие требованиям HIPAA.
Этот блог посвящен предоставлению информации о том, как добиться соответствия требованиям HIPAA с помощью Scalefusion. Платформа управления мобильными устройствами (MDM). В нем изложены ключевые функции Scalefusion MDM, которые помогают организациям соответствовать требованиям HIPAA по защите защищенной медицинской информации (PHI) на мобильных устройствах. В блоге предлагаются практические советы и лучшие практики по обеспечению соответствия требованиям Hipaa с помощью Scalefusion MDM для обеспечения конфиденциальности и безопасности данных.
Что такое соответствие HIPAA?
Соблюдение HIPAA необходимо для обеспечения конфиденциальности и безопасности конфиденциальной информации о пациентах и предотвращения любых юридических или финансовых санкций за несоблюдение требований. Короче говоря, соблюдение HIPAA является важнейшим аспектом обеспечения конфиденциальности и безопасности медицинской информации в эпоху цифровых технологий.
Соблюдение HIPAA предполагает выполнение требований Закона о переносимости и подотчетности медицинского страхования 1996 года, его последующих поправок и любого соответствующего законодательства, такого как Закон HITECH. Основной целью HIPAA является:
- Защищайте и обрабатывайте защищенную медицинскую информацию (PHI).
- Содействие передаче медицинских записей для обеспечения непрерывного медицинского обслуживания.
- Сократите мошенничество в системе здравоохранения.
- Создайте стандартизированную информацию об электронных счетах и медицинской информации.
Правила HIPPA применяются к каждому типу Защищенных организаций — поставщикам медицинских услуг, планам медицинского страхования или информационным центрам здравоохранения — и деловым партнерам, которые создают, хранят или передают данные PHI. Деловой партнер — это физическое лицо или компания, предоставляющая услуги Защищенной организации, когда эта услуга, функция или деятельность включает доступ к данным PHI.
Деловые партнеры включают в себя ИТ-компании, юристы, бухгалтеры, биллинговые компании, службы облачного хранения, службы шифрования электронной почты и многое другое.
Соответствие HIPAA возможно только в том случае, если Застрахованное лицо или деловой партнер реализует необходимые меры контроля и защиты для любых соответствующих данных PHI. Медицинские компании, имеющие доступ к закрытой медицинской информации, должны обеспечить наличие и соблюдение физических, технических и административных правил.
Как соответствие HIPAA обеспечивает конфиденциальность и безопасность
Проще говоря, HIPAA существует для защиты прав пациентов. HIPAA запрещает компаниям и медицинским учреждениям раскрывать медицинскую информацию без согласия пациента. Соответствие требованиям HIPAA гарантирует, что поставщики медицинских услуг, планы медицинского страхования, координационные центры здравоохранения и деловые партнеры будут иметь меры безопасности для защиты конфиденциальной личной и медицинской информации.
Рост программ контроля затрат в отрасли здравоохранения подталкивает организации воспользоваться преимуществами мобильных устройств, помогая свести затраты к минимуму. Политика BYOD разрешить врачам, медсестрам и другим работникам здравоохранения приносить на работу личные устройства. Лишь немногие организации решают поставлять корпоративные устройства для обеспечения контроля и защиты своих сетей.
Однако организации или деловые партнеры, на которые распространяется действие HIPAA, которые решают использовать мобильные устройства в своих организациях, должны знать, как реализовать политику мобильных устройств Hipaa для защитить данные пациентов. Мобильные устройства приносят удобство, но они также сопряжены с рядом рисков. Без надлежащего контроля мобильные устройства могут быть взломаны и раскрыта хранящаяся на них ePHI.
Соответствие MDM и HIPAA
Организации несут ответственность и подотчетны за разработка процедур и политик для мобильных устройств которые защищают информацию о здоровье пациентов. Чтобы управлять мобильными устройствами в медицинских учреждениях, организациям необходимо разработать стратегию управления рисками, которая включает внедрение средств защиты устройств для снижения рисков. Стратегия также должна включать регулярное обслуживание мобильных устройств.
Важным моментом, который следует учитывать при разработке политик и процедур для мобильных устройств для обеспечения соответствия HIPAA, является решение по управлению мобильными устройствами для управления политиками BYOD, установки ограничений на использование и настройки безопасности.
Как Scalefusion MDM помогает обеспечить соответствие требованиям HIPAA?
Доступно Слияние масштабов, организации здравоохранения могут обеспечить контроль безопасности для управления личными устройствами сотрудников без ущерба для конфиденциальности.
1. Шифрование для защиты ePHI.
Правила HIPAA предписывают устройствам «реализовать технические меры безопасности для защиты от несанкционированного доступа к медицинской информации, защищенной электронным способом, которая передается по сети электронных коммуникаций». Шифрование помогает при передаче данных пациентов между Защищенными организациями и Деловыми партнерами. Используя Scalefusion, администраторы могут обеспечить принудительное шифрование носителей данных, используемых на мобильных устройствах.
2. Защита на уровне устройства с помощью политик паролей и удаленной блокировки устройства.
Развертывание паролей — это первая линия защиты устройства. С помощью Scalefusion организации могут установить сильные политика паролей которые определяют длину и сложность паролей. Администраторы могут удаленно блокировать устройства, если они потеряны или украдены. Они также могут удаленно стереть любые данные о пациентах, имеющиеся на таких устройствах.
3. Настройте параметры VPN для защиты сетевого подключения.
Администраторы могут удаленно настраивать параметры VPN, чтобы обеспечить безопасный доступ к корпоративным сетям. Можно настроить элементы управления, запрещающие пользователям подключаться к общедоступным сетям Wi-Fi. Администраторы могут применять политики, чтобы пользователи оставались подключенными к корпоративным сетям при удаленном доступе.
4. Контролируйте использование приложений
Использование нерегулируемых мобильных приложений представляет собой серьезную угрозу безопасности. Scalefusion's управление мобильными приложениями распространяет только разрешенные приложения и обеспечивает актуальность обновлений безопасности для этих приложений. Организации также могут продвигать свои собственные приложения, созданные для своих сотрудников.
5. Совместное использование устройств для посменных работников
Scalefusion помогает организациям управлять расходами, обеспечивая совместное использование устройств медицинскими работниками. Администраторы могут настроить несколько профилей с динамическими политиками. Профили автоматически меняются при общие устройства в зависимости от определенного времени или географического местоположения, как запланировано. Это также гарантирует, что при выносе устройств, используемых в пределах физических границ медицинского учреждения, доступ к рабочим приложениям и данным может быть заблокирован.
6. Управление BYOD
Привычность и удобство использования персональных устройств на работе повышают производительность и рабочий процесс медицинского персонала. Однако BYOD ограничивает контроль над управлением конфиденциальными данными, увеличивая вероятность утечек или неправильного использования. Используя Scalefusion MDM, компании могут создавать два отдельных профиля для личного и рабочего использования, тем самым предотвращая обмен данными. ИТ-администраторы имеют контроль над рабочим профилем (контентом, приложениями, политиками) и не имеют контроля над личным профилем.
7. Внедрите систему предотвращения потери данных (DLP).
Целью DLP является предотвращение несанкционированного доступа к конфиденциальной информации. Организации могут определять политики DLP по защите данных. Например, Политика DLP следует запретить сотрудникам делать снимки экрана с рабочими данными. ИТ-администраторы могут реализовать такую политику мобильных устройств HIPAA с помощью Scalefusion для защиты данных в приложениях Office 365 на устройствах Android и iOS с помощью Microsoft DLP.
Правила реализации соответствия HIPAA
1. Правило конфиденциальности HIPAA
Это правило устанавливает стандарты права человека понимать и контролировать использование его медицинской информации. Целью Правил конфиденциальности является обеспечение защиты медицинской информации человека, при этом обеспечивая поток медицинской информации, необходимой для предоставления и продвижения высококачественного медицинского обслуживания.
2. Правило безопасности HIPAA
В то время как Правило конфиденциальности защищает PHI, Правило безопасности защищает часть информации, подпадающую под действие Правила конфиденциальности. Этот подмножество защищает всю идентифицирующую информацию, созданную, переданную, полученную или хранимую в электронном формате. Это также известно как электронная защищенная медицинская информация или ePHI.
3. Правило уведомления о нарушении HIPAA
Это набор стандартов, которым должны следовать Застрахованные организации или деловые партнеры в случае нарушения, связанного с PHI или ePHI. Правило требует, чтобы организации уведомляли Министерство здравоохранения и социальных служб и направляли уведомление средствам массовой информации, если нарушение затрагивает более 500 пациентов.
4. Сводное правило HIPAA
Это правило является дополнением к постановлению HIPAA, которое обязывает деловых партнеров соблюдать требования HIPAA и описывает правила, касающиеся соглашений. Соглашения должны быть заключены между Деловым партнером и Застрахованным лицом – или между двумя Деловыми партнерами – до того, как будет передана какая-либо PHI или ePHI.
Как стать совместимым с HIPAA за 5 шагов
Департамент здравоохранения человека (HHS) и Генеральный инспектор (OIG) выпустили краткое руководство о том, как создать программу соответствия. Это называется "Семь фундаментальных элементов эффективной программы обеспечения соответствия''.
- Внедрение письменных политик, процедур и стандартов поведения.
- Назначение специалиста по комплаенсу и комитета по соответствию.
- Проведение эффективного обучения и воспитания.
- Развитие эффективных каналов связи.
- Проведение внутреннего мониторинга и аудита.
- Обеспечение соблюдения стандартов посредством широко разрекламированных дисциплинарных руководств.
- Оперативное реагирование на выявленные нарушения и принятие корректирующих мер.
Учитывая рекомендуемые советы, организациям следует создать эффективный план соблюдения требований HIPAA, чтобы обеспечить наличие всех мер безопасности.
Пошаговое руководство для компаний, которое поможет продемонстрировать, что они могут обрабатывать и защищать конфиденциальную медицинскую информацию
Шаг 1 – Выберите сотрудника по конфиденциальности и сотрудника службы безопасности. Уполномоченный по вопросам конфиденциальности будет отвечать за надзор за разработкой, внедрением, обслуживанием и соблюдением политик конфиденциальности в отношении безопасного использования и обработки ЗМИ. Сотрудник службы безопасности будет контролировать постоянное управление политиками и процедурами информационной безопасности.
Шаг 2 – Проводить оценку рисков и внедрять политики управления безопасностью. Просматривайте и документируйте ежедневные операции по выявлению уязвимостей. Проверьте все активы – мобильные устройства, компьютеры и бумажные записи. Примите необходимые меры безопасности, чтобы обеспечить безопасность всей PHI при использовании, хранении или распространении данных.
Шаг 3 – Разработать и внедрить политику и процедуры и сделать их доступными для персонала. Используйте политики и процедуры для снижения рисков HIPAA. В идеальном мире организации могли бы соблюдать требования каждый день в году. Однако случаются упущения, которые могут быть обнаружены внутренними аудиторами или регулирующими органами. Если нарушение имеет место, внедрите процесс для проведения анализа первопричин и устранения нарушений.
Шаг 4 – Проводить программы повышения осведомленности и обучения сотрудников по правилам HIPAA и плану соответствия организации. Поставщики медицинских услуг также должны доводить до сведения пациентов правила HIPAA.
Шаг 5 – Мониторинг, аудит и обновление мер безопасности объекта на постоянной основе. Поддержание соответствия – это наличие гарантий, как физических, так и цифровых.
Контрольный список соответствия HIPAA на 2023 год
В рамках HIPAA существует несколько спецификаций, но не рекомендуется вдаваться в подробности. Вместо этого потратьте время на понимание общей картины, прежде чем углубляться в детали. Контрольный список — это не всеобъемлющее руководство по соблюдению требований, а прагматичный подход, позволяющий предприятиям здравоохранения понять свои приоритеты и готовность к соблюдению требований HIPAA.
Аудиты
- Провели ли вы следующие шесть аудитов?
- Оценка рисков безопасности
- Аудит стандартов конфиденциальности
- HITECH Subtitle D Аудит конфиденциальности
- Аудит стандартов безопасности
- Аудит активов и устройств
- Аудит физического объекта
Документирование пробелов
- Выявили ли вы пробелы в ходе вышеуказанных проверок?
- Аудит стандартов конфиденциальности
Планы восстановления
- Разработали ли вы планы по устранению пробелов, обнаруженных во всех шести аудитах?
- Полностью ли документированы в письменной форме эти планы восстановления?
- Вы обновляете и пересматриваете эти планы ежегодно?
- Сохраняются ли эти планы в вашей документации в течение шести лет?
Информирование и обучение сотрудников
- Все ли сотрудники прошли ежегодное обучение HIPAA?
- Есть ли у вас документация об их обучении?
- Есть ли специальный сотрудник, назначенный ответственным за соблюдение HIPPA?
Политика и процедуры
- Есть ли у вас политики и процедуры, соответствующие ежегодным правилам конфиденциальности, безопасности и уведомления о нарушениях HIPAA?
- Все ли сотрудники прочитали и юридически засвидетельствовали политику и процедуры?
- Есть ли у вас документация об их юридическом заверении?
- Есть ли у вас документация о ежегодных обзорах вашей политики и процедур?
Продавцы и деловые партнеры
- Вы определили всех своих поставщиков и деловых партнеров?
- Есть ли у вас действующие соглашения о деловых партнерствах со всеми деловыми партнерами?
- Провели ли вы комплексную проверку своих деловых партнеров на предмет соблюдения ими требований ведения бизнеса?
- Вы ежегодно отслеживаете и пересматриваете свои соглашения о деловых партнерствах?
- Есть ли у вас соглашения о конфиденциальности с поставщиками, не являющимися деловыми партнерами?
Нарушения данных
- Вы определили всех своих поставщиков и деловых партнеров?
- Есть ли у вас действующие соглашения о деловых партнерствах со всеми деловыми партнерами?
- Провели ли вы комплексную проверку своих деловых партнеров на предмет соблюдения ими требований ведения бизнеса?
- Вы ежегодно отслеживаете и пересматриваете свои соглашения о деловых партнерствах?
- Есть ли у вас соглашения о конфиденциальности с поставщиками, не являющимися деловыми партнерами?
Разрывы
- Есть ли у вас определенный процесс рассмотрения инцидентов и нарушений?
- Есть ли у вас возможность отслеживать и управлять расследованием всех инцидентов?
- Можете ли вы предоставить отчеты о незначительных или значимых нарушениях или инцидентах?
- Есть ли у ваших сотрудников возможность анонимно сообщить о происшествии?
Подводя итог
Правила защиты данных, такие как HIPAA для отрасли здравоохранения, помогают защитить самую личную информацию людей. Хотя переход PHI в электронный формат повысил мобильность и эффективность, он также увеличил риски безопасности. Правильное решение для управления устройствами поможет организациям соблюдать рекомендации, избегая при этом огромных штрафов. Медицинские работники могут сосредоточиться на предоставлении качественных услуг своим пациентам, соблюдая постоянно меняющиеся правила.
Если вы хотите стать совместимым с HIPAA и соблюдать его политики конфиденциальности и безопасности для мобильных устройств вашей организации, мы рекомендуем вам попробовать Scalefusion MDM. Свяжитесь с их командой сегодня, чтобы узнать больше и запланировать демонстрацию. Защитите свои конфиденциальные данные и обеспечьте соответствие HIPAA с помощью Scalefusion MDM.
Ресурсы:
