Significato di HIPAA
HIPAA è un acronimo che sta per Health Insurance Portability and Accountability Act.
Questa legge statunitense è stata concepita per fornire standard di privacy per proteggere le cartelle cliniche dei pazienti. Le informazioni sanitarie fornite a piani sanitari, ospedali, fornitori di assistenza sanitaria e medici devono essere protette dall’HIPAA.
Che cos'è la conformità HIPAA?
La conformità all’HIPAA (Health Insurance Portability and Accountability Act) rispetta le salvaguardie fisiche, amministrative e tecniche descritte nell’HIPAA.
Come si diventa conformi alla normativa HIPAA?
Sono molti gli obiettivi da raggiungere per diventare conformi alla normativa HIPAA.
Da quando è stata promulgata dal 104° Congresso degli Stati Uniti e firmata dal Presidente Bill Clinton il 21 agosto 1996, ci sono stati quattro emendamenti principali:
- Emendamento alla norma di sicurezza (2003)
- La modifica della norma sulla privacy (2003)
- La norma sulla notifica delle violazioni (2009)
- La norma finale Omnibus (2013)
Lista di controllo per la conformità HIPAA 2022: Regole HIPAA
Protezioni tecniche
- Crittografia di rete: Ogni ePHI deve soddisfare gli standard crittografici NIST ogni volta che viene trasmessa su una rete esterna.
- Controllo/registrazione dell’accesso: A ogni utente devono essere assegnati un nome utente e un codice PIN unici e controllati a livello centrale. È necessario un registro dettagliato per tracciare tutti gli accessi (e i tentativi) alle ePHI.
- Disconnessione automatica: Gli utenti devono essere disconnessi dopo un periodo di tempo specifico, consigliato tra 30 secondi e 3 minuti.
Protezioni fisiche
- Controllo degli accessi: Le persone che hanno accesso fisico all’archiviazione dei dati devono essere attentamente monitorate. È necessario adottare misure ragionevoli per bloccare l’ingresso non autorizzato.
- Gestire le postazioni di lavoro: È necessario scrivere una politica per definire quali postazioni di lavoro possono avere accesso ai dati sanitari e quali sono limitate. Dovrebbe descrivere il modo in cui uno schermo deve essere protetto dalle parti e l’uso appropriato della postazione di lavoro.
- Protezione e tracciamento: Se un dispositivo mobile viene utilizzato da un utente e poi passato a un altro, è necessario scrivere un criterio per i dispositivi mobili che rimuova i dati prima che il dispositivo venga dato a un altro utente.
Protezioni amministrative
- Valutazioni del rischio: È necessario completare una valutazione completa dei rischi per tutti i dati sanitari.
- Formare il personale: Tutti i dipendenti devono essere formati su tutti i protocolli di accesso alle ePHI e capire come identificare e riconoscere le potenziali minacce alla sicurezza informatica, come gli attacchi di phishing. Tutte le sessioni di formazione devono essere registrate e conservate.
- Costruire le emergenze: La continuità aziendale continua deve essere raggiunta preparando processi per mantenere i dati al sicuro.
- Bloccare l’accesso: Verificare che i subappaltatori e altri soggetti non abbiano accesso e non possano visualizzare le ePHI. Gli accordi commerciali devono essere firmati con tutti i partner.
- Documentare gli incidenti di sicurezza: Qualsiasi incidente di sicurezza deve essere riconosciuto dal personale e il personale deve segnalare gli eventi.
Regola sulla privacy HIPAA
- Rispondere alle richieste: Le richieste di accesso dei pazienti devono essere evase entro 30 giorni.
- Informare i pazienti: Un NPP è tenuto a informare i pazienti sulle politiche di condivisione dei dati.
- Formare il personale: Tutto il personale deve essere formato sulla privacy e deve capire cosa può e non può essere condiviso internamente o esternamente.
- Integrità delle ePHI: Devono essere adottate misure appropriate per mantenere l’integrità delle ePHI e degli identificatori personali dei pazienti.
- Autorizzazione all’uso delle ePHI: Il paziente deve concedere il permesso di utilizzare le ePHI ridotte per la ricerca o il marketing.
- Aggiornamento dei moduli/copia: I moduli di autorizzazione devono includere riferimenti alle modifiche nel trattamento delle vaccinazioni scolastiche, alla restrizione delle ePHI per quanto riguarda la chiusura dei piani sanitari e ai diritti dei pazienti sulle loro cartelle elettroniche.
Regola di notifica delle violazioni HIPAA
- Informare i pazienti: I pazienti e il dipartimento HHS devono essere informati di qualsiasi violazione di ePHI. Se sono stati violati i dati di più di 500 persone, i media devono essere informati. Se la violazione è inferiore a 500, è necessario inviare un modulo di hacking su piccola scala attraverso il sito web dell’OCR. Tutte le notifiche devono essere completate entro 60 giorni dalla scoperta.
- 4 elementi: I messaggi di notifica della violazione devono contenere quattro elementi, tra cui: Una descrizione delle ePHI e degli identificatori personali coinvolti nella violazione, chi ha ottenuto l’accesso non autorizzato, se i dati sono stati visualizzati o acquisiti e il grado di successo della riduzione del rischio.
Regola HIPAA Omnibus
- Aggiornare i BAA: è necessario aggiornare i contratti di associazione d’impresa (BAA) per riflettere le modifiche apportate dalla norma Omnibus.
- Invio di nuove copie: Per mantenere la conformità, è necessario inviare e firmare nuove copie del BAA.
- Aggiornare l’informativa sulla privacy: Le politiche sulla privacy devono essere aggiornate per riflettere le modifiche apportate dalla norma Omnibus.
- Modernizzare i PNPS: la rivista HIPAA consiglia di “aggiornare i PNPS per coprire i tipi di informazioni che richiedono un’autorizzazione, il diritto di rinunciare alla corrispondenza per scopi di raccolta fondi e di tenere conto dei nuovi requisiti di notifica delle violazioni”.
- Formazione del personale: Tutto il personale deve essere a conoscenza della regola Omnibus attraverso una formazione approfondita.
I servizi sanitari negli Stati Uniti hanno alcuni dei requisiti standard più rigorosi a livello globale. Le informazioni sanitarie elettroniche dei pazienti (ePHI) sono protette dalla legislazione introdotta nel 1996 con l’Health Insurance Portability and Accountability Act. L’HIPAA e le successive modifiche alla Security Rule e alla Privacy Rule prevedono misure di controllo rigorose sulle ePHI.
Di conseguenza, la legislazione HIPAA richiede che vengano messe in atto diverse misure di salvaguardia fisiche, amministrative e tecniche prima di ospitare le ePHI. Queste misure hanno portato molti professionisti del settore sanitario a esternalizzare i servizi IT a fornitori di hosting conformi alla normativa HIPAA, molti dei quali con l’obiettivo di accelerare la trasformazione digitale e migliorare le capacità di collaborazione del cloud VPS.
L’assistenza sanitaria e il cloud computing VPS presentano una sinergia dinamica e un potenziale davvero innovativo. È possibile che una legislazione rigida abbia rallentato la diffusione dei servizi VPS cloud in passato. Oggi, tuttavia, l’integrazione dell’assistenza sanitaria nel cloud sta crescendo a un ritmo significativo.
Cosa bisogna cercare quando si sceglie un fornitore di hosting HIPAA? Ecco le nostre osservazioni sul perché le organizzazioni sanitarie stanno passando al cloud.
1. La sicurezza
Le migliori pratiche di sicurezza sono il fulcro della legislazione HIPAA. Tutti i regolamenti hanno l’unico scopo di proteggere le ePHI. È l’unica ragione per cui esiste l’HIPAA. I partner di hosting hanno il dovere di fornire un’infrastruttura conforme, sicura e solida.
Il provider di hosting e le terze parti interessate devono stipulare un accordo di associazione d’impresa (BAA). Ciò rende tutte le parti responsabili della comprensione di quali sistemi e di quale posizione geografica siano ospitati, trasferiti e conservati i dati ePHI. I dati ePHI devono essere sempre protetti in transito e a riposo.
L’accesso dei dipendenti è controllato, verificato e costantemente mantenuto in base al principio del minor privilegio. I controlli fisici degli edifici sono necessari per verificare gli accessi da e verso i data center che ospitano ePHI. Alcuni provider di hosting cloud VPS portano la sicurezza a un livello superiore, crittografando tutti i dati HIPAA, anche se questa è solo una raccomandazione della legislazione.
Gli amministratori dei provider di VPS cloud sono responsabili degli aggiornamenti di sicurezza, degli aggiornamenti del firmware e delle attività di scansione e correzione delle vulnerabilità. Un antivirus aggiornato di livello enterprise è una necessità, così come un sistema di prevenzione delle intrusioni (IPS) che registra, verifica e automatizza le risposte 24 ore su 24, 7 giorni su 7, a un team di esperti di sicurezza.
Gli operatori sanitari possono utilizzare la sicurezza HIPAA come servizio e collegarsi direttamente alla piattaforma di sicurezza del fornitore di hosting. Si tratta di un enorme vantaggio per l’organizzazione sanitaria e di una delle ragioni principali per cui l’outsourcing a un fornitore HIPAA è così popolare.
2. Continuità operativa e disaster recovery
La norma sulla sicurezza HIPAA ha aggiunto una serie di requisiti dettagliati per la pianificazione della continuità operativa e del disaster recovery. La norma richiede lo sviluppo di un processo da seguire in caso di crisi o disastro.
È inoltre necessario implementare un piano di recupero dei dati. Si tratta di un programma per il backup e la protezione dei sistemi contenenti ePHI. Ciò è possibile grazie a un programma di backup predefinito e alle capacità di replica precedentemente concordate nel BAA. I dati vengono normalmente replicati in almeno un altro data center.
Viene redatto un piano di Disaster Recovery (DRP) che copre le responsabilità tecniche e amministrative del fornitore di hosting. Ciò include la capacità di far fallire i servizi aziendali principali in una sede alternativa in caso di guasto catastrofico e la capacità di recuperare e accedere ai dati ePHI dal backup.
Tutta la pianificazione della continuità deve essere testata e rivista almeno una volta all’anno. Se non esiste un piano prima di collaborare con un partner di hosting HIPAA, è necessaria un’analisi dell’impatto aziendale che identifichi e dia priorità ai componenti IT critici che rientrano nell’ambito del piano.
La pianificazione della continuità operativa e del disaster recovery è essenziale per la conformità HIPAA, ma la complessità tecnica della creazione di una piattaforma ridondante e a prova di errore è difficile da realizzare internamente. Questo è un altro motivo significativo per cui l’outsourcing è così popolare. I partner di hosting HIPAA dispongono già dell’infrastruttura e le organizzazioni sanitarie devono semplicemente collegarsi al servizio.
3. Collaborazione
Le applicazioni regolamentate dall’HIPAA sono progettate per condividere le ePHI tra utenti autorizzati e sistemi autorizzati. La condivisione dei dati apre un enorme potenziale di collaborazione. Questa capacità accelera notevolmente la diagnosi e offre ai medici professionisti un ambiente di lavoro agile e collaborativo.
L’interoperabilità dei dati e il cloud computing sicuro consentono alle organizzazioni sanitarie di rimanere rilevanti nel mondo del lavoro moderno. Apre la porta a nuove opportunità per fornire una migliore assistenza ai pazienti. Più team possono lavorare contemporaneamente sugli stessi progetti, le comunicazioni sono migliorate grazie ai servizi di messaggistica, alle comunicazioni dati 5G e ai set di strumenti collaborativi.
Le piattaforme API consentono alle applicazioni di scambiare dati e condividere informazioni in modo sicuro. I team che si trovano in località geografiche diverse possono collaborare in remoto. Le applicazioni mediche possono condividere le informazioni elettroniche per accelerare il processo di diagnosi.
I team di supporto clinico traggono grande beneficio dalla condivisione delle informazioni mediche. La condivisione di immagini mediche, risultati di esami storici o informazioni sulla storia familiare migliora notevolmente la qualità delle cure. Le apparecchiature mediche possono collegarsi direttamente ai servizi cloud e condividere istantaneamente risultati medici, fotografie a raggi X o letture del polso dei pazienti.
Oltre a tutte queste funzionalità, l’Internet delle cose, combinato con la collaborazione dei dati, può essere utilizzato per creare enormi set di dati. Questi dati possono essere analizzati da piattaforme di intelligenza artificiale e di apprendimento automatico che cercano le tendenze e sono in grado di analizzare enormi volumi di dati in pochissimo tempo. In questo modo i medici possono dedicare il loro tempo a curare i pazienti, invece che a spulciare pile di scartoffie.
4. Scalabilità
Un altro grande vantaggio offerto dall’hosting HIPAA è la scalabilità dei servizi cloud. Ospedali, cliniche e ambulatori ingeriscono enormi quantità di dati. I dati sono archiviati digitalmente su una piattaforma protetta in grado di scalare e proteggere l’integrità dei dati.
I gruppi medici crescono di dimensioni e il provider di hosting deve crescere con voi. I piani di calcolo e di rete possono essere aggiornati con un impatto minimo e le risorse possono essere aggiunte ai server con un semplice clic.
Un esempio è l’hosting di database. I database cloud-native eliminano la complessità della gestione dei database e possono essere scalati in modo rapido e conveniente, spesso su richiesta.
Il provider di hosting gestisce l’intero servizio cloud, rinunciando alla necessità di un reparto IT in loco per gestire e mantenere gli aggiornamenti del sistema o del database. Il fornitore è responsabile del provisioning del software, delle patch di sicurezza e di qualsiasi problema riscontrato, raggiungendo anche un accordo sul livello di servizio del 100%.
5. Esperienza
Un provider di hosting con una vasta esperienza nella fornitura di servizi cloud conformi alla normativa HIPAA può fare la differenza tra una migrazione cloud fluida e di successo o un’esperienza difficile con una curva di apprendimento ripida, che non è l’ideale quando si considera la conformità HIPAA per le startup. È altamente auspicabile scegliere un partner di hosting conforme alle norme HIPAA, un’organizzazione che viene regolarmente sottoposta a verifiche e che pubblica i risultati delle verifiche nel settore pubblico.
L’esperienza porta a compimento una serie di servizi chiave. La conformità è un fattore estremamente importante. Cercate altri accreditamenti come le certificazioni SOC 2 TYPE II e SOC 3 TYPE II e la conformità HITECH. Questo aiuta a garantire che il provider di hosting HIPAA sia stato sottoposto a un audit da parte di una terza parte qualificata e indipendente e che possa dimostrare l’impegno a fornire la migliore sicurezza informatica e un hosting conforme.
Con un fornitore esperto, avrete maggiori probabilità di raggiungere gli obiettivi di Service Level Agreement (SLA), Recovery Time e Recovery Point leader del settore. Ciò è estremamente vantaggioso in caso di catastrofe. Anche il supporto tecnico da parte del fornitore sarà probabilmente migliore se questi fornisce servizi HIPAA da molto tempo.