O que é a conformidade HIPAA?
A Health Insurance Portability and Accountability Act (HIPAA) de 1996 cobre todas as entidades de saúde dos EUA que lidam com a Informação Electrónica sobre Saúde dos Pacientes (ePHI). O as regras de conformidade HIPAA são rigorosas e exigir a observância de várias salvaguardas técnicas, administrativas, físicas e de privacidade, todas elas aplicadas pela Departamento de Saúde e Serviços Humanos dos EUA (HHS).
Computação em nuvem em conformidade com HIPAA
A computação em nuvem compatível com HIPAA cria um conjunto único de desafios para as organizações de saúde dos EUA, com muitos profissionais médicos a optarem por externalizar esta responsabilidade para um parceiro de alojamento em nuvem.
A adesão estrita às regras de segurança e privacidade da HIPAA é obrigatória, e uma assinatura Acordo de Associação Empresarial (BAA) deve ser acordado entre todas as entidades.
Salvaguardas técnicas
Estes concentram-se na implementação de controlos de infra-estruturas de nuvens para proteger o ePHI. Os requisitos obrigatórios incluem controlos de acesso para utilizadores aprovados da plataforma, utilizando nomes de utilizador únicos e aplicando uma forte política de palavra-passe, utilizando Autenticação Multi-Factor (AMF) e listas de controlo de acesso são altamente recomendados.
Todas as ePHI devem ser encriptadas em trânsito (rede) e em repouso (armazenamento), utilizando um mínimo da norma de encriptação AES256. Há muitos controlos de auditoria necessários para qualquer hardware, software ou infra-estrutura de processamento de ePHI. São necessárias funcionalidades como o registo melhorado, auditoria do acesso do utilizador, auditoria das permissões e utilização do sistema.
Todas as infra-estruturas da nuvem devem estar em conformidade com os níveis apropriados de actualizações de firmware e de segurança de software (patching). Esta abordagem limita a exposição dos serviços de computação em nuvem às vulnerabilidades do sistema operativo e às quebras de dados.
Todas as entidades da BAA têm a responsabilidade de proteger a integridade dos dados do ePHI. Os controlos técnicos dos dados asseguram que estes não são acedidos, alterados ou destruídos de uma forma não aprovada. As plataformas de Gestão de Eventos de Informação de Segurança (SIEM) são configuradas para auditar e alertar sobre quaisquer alterações feitas ao ePHI, os alertas são monitorizados e escalonados conforme necessário.
Salvaguardas físicas
São criadas salvaguardas físicas para todas as entidades BAA, especificamente relacionadas com instalações físicas (edifícios), utilização de estações de trabalho e etiqueta de dispositivos electrónicos. Os controlos dos edifícios são implementados para auditar o acesso dos empregados aos edifícios, salas de servidores e instalações que albergam o ePHI. O principal objectivo é evitar a adulteração ou roubo de dados de ePHI. Qualquer acesso pode ser rastreado e reportado em 24 horas por dia, 7 dias por semana.
Inclui também a criação e teste de uma estratégia de recuperação de desastres (DR), o objectivo principal é ser capaz de restabelecer o acesso ao ePHI na eventualidade de um incidente grave. Os cenários comuns incluem o acesso a um centro de controlo de DR alternativo e a uma solução técnica de DR hospedada noutras instalações.
Qualquer indivíduo ou entidade que desempenhe funções ou actividades em nome de uma entidade coberta que requeira ao associado comercial o acesso às PHI é considerado associado comercial, de acordo com o HHS. Este indivíduo ou organização pode também prestar serviços a uma entidade coberta. Exemplos incluem um consultor que faz revisões de utilização hospitalar ou um advogado que tem acesso a DCC ao prestar serviços jurídicos a um prestador de cuidados de saúde.
Health IT Security
A etiqueta do dispositivo é um desafio, mas um requisito obrigatório da HIPAA, inclui qualquer dispositivo digital, estação de trabalho/servidor, e suportes digitais. Todos os terminais informáticos são protegidos como padrão com medidas que incluem ecrãs de bloqueio automático, e software para impedir a cópia de dados a partir de um USB.
São postos em prática controlos adicionais sobre a forma como a infra-estrutura de computação em nuvem é apoiada, incluindo políticas de retenção de dados, requisitos de replicação, e redundância de hardware. Existem regras adicionais que regem a forma como os dados e os meios de comunicação são destruídos, geralmente através de destruição certificada.
Salvaguardas administrativas
Estas são as políticas e procedimentos que regem a conduta da força de trabalho da entidade BAA. Os requisitos incluem medidas para conduzir uma avaliação de risco, gestão de risco e aplicação de relatórios e planos de contingência.
Oficiais dedicados da HIPAA são designados por cada entidade BAA, estes funcionários supervisionam todo o panorama do cumprimento. Assegurar que cada processo acordado é documentado e continuamente revisto. Outras tarefas como a elaboração de relatórios, gestão de senhas, monitorização do login e atribuição de horários de formação são concluídas.
As entidades BAA devem saber o que ePHI é retido, e onde o ePHI reside na infra-estrutura. Os utilizadores devem ter acesso adequado ao ePHI para completar o seu trabalho, mas o acesso requer controlo e monitorização. Os direitos de acesso devem ser sempre concedidos utilizando o princípio do privilégio mínimo.
Privacidade e Aplicação da Lei
As regras de privacidade e aplicação são a cola que liga a legislação HIPAA. A regra de privacidade define como o ePHI pode ser processado, utilizado ou divulgado por todas as entidades do BAA. A regra de privacidade está subjacente a muitas das salvaguardas administrativas acima mencionadas, que formam uma política de privacidade preeminente.
O que é Informação Sanitária Protegida?
PHI refere-se a qualquer coisa relacionada com a saúde, tratamento, ou facturação. É qualquer coisa que possa identificar um paciente, incluindo:
- Nome
- Datas (por exemplo, data de nascimento, data do tratamento)
- Localização (endereço postal, código postal, etc.)
- Números de contacto (número de telefone, fax, etc.)
- Informação de contacto Web (e-mail, URL ou IP)
- Números de identificação (Segurança Social, licença, conta médica, VIN, etc.)
- Informação de identidade física (fotografia, impressões digitais, etc.)
Os pacientes têm o direito de ver as informações de saúde que lhes dizem respeito, e a mão-de-obra recebe formação sobre a política de privacidade, com medidas postas em prática para mitigar as violações da regra – tais como processos de despedimento. Todas as entidades do BAA têm a responsabilidade de assegurar que não haja divulgação de ePHI, no entanto, se ocorrerem violações, há um processo rigoroso de violações a seguir.
Se qualquer empregado de uma empresa violar as estipulações da HIPAA, mesmo involuntariamente, a empresa pode ser multada em até $1,5 milhões (o limite anual por empresa). Algumas das infracções mais comuns incluem ePHI com informação em falta, entidades que negligenciam a assinatura do BAA, utilizando computadores portáteis para armazenar ePHI, deitando fora documentos de saúde confidenciais. O nosso guia de violações do HIPAA entra em detalhes significativos sobre violações e práticas de aplicação da lei.
Escolha de um Parceiro de Alojamento em Conformidade com a HIPAA
As consequências de violar a HIPAA podem ser extremas. Mesmo que não seja multado em milhões, não é uma boa maneira de gastar dinheiro; e não é divertido acabar no Muro da Vergonha HIPAA.
Por estas razões, é extraordinariamente importante escolher um parceiro tecnológico especializado no acolhimento de cuidados de saúde e que seja Certificação SOC 2 TIPO II e SOC 3 TIPO II e HIPAA e HITECH auditados, como Atlantic.Net. Os seus SSD Cloud Servers oferecem uma garantia de 100% de uptime e podem ser lançados em menos de 30 segundos, apenas duas das muitas razões pelas quais ganharam a nossa recomendação para a escolha #1 por Alojamento compatível com HIPAA.