Che cos'è la conformità HIPAA?
L’Health Insurance Portability and Accountability Act (HIPAA) del 1996 si applica a tutti gli enti sanitari statunitensi che gestiscono informazioni sanitarie elettroniche sui pazienti (ePHI). Il Le regole di conformità all’HIPAA sono rigorose e richiedono l’osservanza di diverse salvaguardie tecniche, amministrative, fisiche e di privacy, tutte applicate dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS).
Cloud computing conforme a HIPAA
Il cloud computing conforme alla normativa HIPAA crea una serie di sfide uniche per le organizzazioni sanitarie statunitensi, e molti professionisti del settore medico scelgono di esternalizzare questa responsabilità a un partner di cloud hosting.

Il rispetto rigoroso delle norme HIPAA in materia di sicurezza e privacy è obbligatorio, e un accordo firmato accordo di associazione d’affari (BAA) deve essere concordato tra tutte le entità.
Salvaguardie tecniche
Questi si concentrano sull’implementazione dei controlli dell’infrastruttura cloud per proteggere le ePHI. I requisiti obbligatori includono il controllo degli accessi per gli utenti approvati della piattaforma, l’utilizzo di nomi utente univoci e l’applicazione di una forte politica di password. L’autenticazione a più fattori (MFA) e gli elenchi di controllo degli accessi sono altamente raccomandati.
Tutte le ePHI devono essere crittografate in transito (rete) e a riposo (archiviazione), utilizzando almeno lo standard di crittografia AES256. Sono numerosi i controlli di revisione richiesti per qualsiasi hardware, software o infrastruttura che elabora ePHI. È necessario abilitare funzioni come la registrazione avanzata, la verifica dell’accesso degli utenti, la verifica delle autorizzazioni e dell’utilizzo del sistema.
Tutte le infrastrutture cloud devono essere conformi ai livelli appropriati di aggiornamenti di sicurezza del firmware e del software (patching). Questo approccio limita l’esposizione dei servizi di cloud computing alle vulnerabilità del sistema operativo e alle violazioni dei dati.
Tutte le entità BAA hanno la responsabilità di proteggere l’integrità dei dati ePHI. I controlli tecnici sui dati garantiscono che non siano accessibili, alterati o distrutti in modo non approvato. Le piattaforme di Security Information Event Management (SIEM) sono configurate per eseguire audit e avvisi su qualsiasi modifica apportata alle ePHI; gli avvisi vengono monitorati e intensificati in base alle esigenze.
Protezioni fisiche
Per tutte le entità BAA vengono messe in atto misure di salvaguardia fisica, in particolare per quanto riguarda le strutture fisiche (edifici), l’utilizzo delle postazioni di lavoro e l’etichetta dei dispositivi elettronici. I controlli sugli edifici sono implementati per verificare l’accesso dei dipendenti agli edifici, alle sale server e alle strutture che ospitano ePHI. L’obiettivo principale è prevenire la manomissione o il furto dei dati ePHI. Qualsiasi accesso può essere tracciato e segnalato 24 ore su 24, 7 giorni su 7.
Include anche la creazione e la verifica di una strategia di disaster recovery (DR), con l’obiettivo primario di essere in grado di ripristinare l’accesso alle ePHI in caso di incidente grave. Gli scenari più comuni includono l’accesso a un centro di controllo DR alternativo e a una soluzione tecnica DR ospitata in altre sedi.
Secondo l'HHS, qualsiasi individuo o entità che svolga funzioni o attività per conto di un'entità coperta che richieda l'accesso a PHI da parte dell'associato d'affari è considerato un associato d'affari. Questo individuo o organizzazione può anche fornire servizi a un'entità coperta. Tra gli esempi si possono citare un consulente che si occupa di analisi dell'utilizzo degli ospedali o un avvocato che ha accesso ai dati personali quando fornisce servizi legali a un fornitore di servizi sanitari.
Health IT Security
L’etichetta dei dispositivi è un requisito impegnativo ma obbligatorio dell’HIPAA e comprende qualsiasi dispositivo digitale, workstation/server e supporto digitale. Tutti i terminali informatici sono protetti di serie con misure che includono schermate di blocco automatiche e software per impedire la copia dei dati da una USB.
Vengono effettuati ulteriori controlli sulle modalità di backup dell’infrastruttura di cloud computing, compresi i criteri di conservazione dei dati, i requisiti di replica e la ridondanza dell’hardware. Esistono norme aggiuntive che regolano le modalità di distruzione dei dati e dei supporti, di solito mediante distruzione certificata.
Salvaguardie amministrative
Si tratta delle politiche e delle procedure che regolano la condotta della forza lavoro dell’entità BAA. I requisiti includono misure per condurre una valutazione del rischio, la gestione del rischio e l’applicazione della reportistica e dei piani di emergenza.
Ciascuna entità BAA assegna dei responsabili HIPAA dedicati, che supervisionano l’intero panorama della conformità. Garantire che ogni processo concordato sia documentato e continuamente rivisto. Vengono completate altre attività come la creazione di rapporti, la gestione delle password, il monitoraggio dei login e l’assegnazione di programmi di formazione.
Le entità BAA devono sapere quali ePHI vengono conservate e dove risiedono le ePHI nell’infrastruttura. Gli utenti devono avere un accesso adeguato alle ePHI per svolgere il proprio lavoro, ma l’accesso richiede controllo e monitoraggio. I diritti di accesso devono sempre essere concessi secondo il principio del minor privilegio.
Privacy e applicazione
Le norme sulla privacy e sull’applicazione sono il collante della legislazione HIPAA. La norma sulla privacy definisce le modalità di trattamento, utilizzo o divulgazione delle ePHI da parte di tutte le entità BAA. La norma sulla privacy è alla base di molte delle salvaguardie amministrative menzionate in precedenza, che costituiscono una politica di privacy preminente.
Cosa sono le informazioni sanitarie protette?
Per PHI si intende tutto ciò che riguarda la salute, il trattamento o la fatturazione. Si tratta di qualsiasi cosa che possa identificare un paziente, tra cui:
- Nome
- Date (ad es. data di nascita, data del trattamento)
- Ubicazione (indirizzo, codice postale, ecc.)
- Numeri di contatto (numero di telefono, fax, ecc.)
- Informazioni di contatto web (e-mail, URL o IP)
- Numeri identificativi (previdenza sociale, patente, conto medico, VIN, ecc.)
- Informazioni sull’identità fisica (foto, impronte digitali, ecc.)
I pazienti hanno il diritto di visionare le informazioni sanitarie in loro possesso e il personale viene istruito sulle norme sulla privacy, con l’adozione di misure per mitigare le violazioni della norma, come ad esempio le procedure di licenziamento. Tutte le entità BAA hanno la responsabilità di garantire che non vi siano divulgazioni di ePHI, tuttavia, se si verificano violazioni, è necessario seguire un rigoroso processo di violazione.
Se un dipendente di un’azienda viola le disposizioni HIPAA, anche involontariamente, l’azienda può essere multata fino a 1,5 milioni di dollari (il tetto massimo annuale per azienda). Alcune delle infrazioni più comuni includono ePHI con informazioni mancanti, entità che trascurano di firmare il BAA, l’uso di computer portatili per archiviare ePHI, l’abbandono di documenti sanitari riservati. La nostra guida alle violazioni HIPAA approfondisce in modo significativo le violazioni e le pratiche di applicazione.
Scegliere un partner di hosting conforme alla normativa HIPAA
Le conseguenze di una violazione dell’HIPAA possono essere estreme. Anche se non si viene multati per milioni di euro, non è un bel modo di spendere soldi; e non è divertente finire sulla Il muro della vergogna HIPAA.

Per questi motivi, è estremamente importante scegliere un partner tecnologico specializzato nell’hosting sanitario e certificato SOC 2 TYPE e SOC 3 TYPE. certificato SOC 2 TIPO II e SOC 3 TIPO II e sottoposto a verifica HIPAA e HITECH, come Atlantic.Net. I loro server cloud SSD offrono una garanzia di uptime del 100% e possono essere avviati in meno di 30 secondi, solo due dei tanti motivi per cui si sono guadagnati la nostra raccomandazione per la scelta numero 1 per i server cloud SSD. Hosting conforme alla normativa HIPAA.