Betydelse av HIPAA
HIPAA är en akronym som står för Health Insurance Portability and Accountability Act.
Denna amerikanska lag har utformats för att tillhandahålla integritetsnormer för att skydda patienters medicinska journaler. Hälsoinformation som lämnas till hälsoplaner, sjukhus, vårdgivare och läkare bör skyddas av HIPAA.
Vad är HIPAA-överensstämmelse?
HIPAA (Health Insurance Portability and Accountability Act) följer de fysiska, administrativa och tekniska skyddsåtgärder som anges i HIPAA.
Hur blir du HIPAA-kompatibel?
Det finns många saker som måste uppnås för att bli HIPAA-kompatibla.
Sedan den 104:e amerikanska kongressen antog den och president Bill Clinton undertecknade lagen den 21 augusti 1996 har det gjorts fyra större ändringar:
- Ändringen av säkerhetsregeln (2003)
- Ändringen av sekretessreglerna (2003)
- Regeln om anmälan av överträdelser (2009)
- Den slutliga Omnibus-regeln (2013)
Checklista för efterlevnad av HIPAA 2022: HIPAA-regler
Tekniskt skydd
- Kryptering av nätverk: All ePHI bör uppfylla NIST:s kryptografiska standarder när den överförs via ett externt nätverk.
- Kontroll/logg Tillgång: Varje användare måste tilldelas ett centralt kontrollerat unikt användarnamn och en PIN-kod. Detaljerad loggning krävs för att spåra all åtkomst (och försök) till ePHI.
- Automatisk avstängning: Användarna måste loggas ut efter en viss tidsperiod som rekommenderas mellan 30 sekunder och 3 minuter.
Fysiskt skydd
- Kontrollera åtkomst: Personer som har fysisk tillgång till datalagring bör följas noggrant. Rimliga åtgärder måste vidtas för att hindra obehörigt tillträde.
- Hantera arbetsstationer: En policy måste skrivas för att beskriva vilka arbetsstationer som kan få tillgång till hälsodata och vilka som är begränsade. Den bör beskriva hur en skärm ska skyddas mot parter och lämplig användning av en arbetsstation.
- Skydda och spåra: Om en mobil enhet används av en användare och sedan överlåts till en annan användare måste en policy för mobila enheter skrivas som tar bort data innan enheten överlåts till en annan användare.
Administrativa skyddsåtgärder
- Riskbedömningar: En omfattande riskbedömning bör göras för alla hälsouppgifter.
- Tågpersonal: Alla anställda bör utbildas i alla protokoll för åtkomst till ePHI och förstå hur man identifierar och känner igen potentiella cybersäkerhetshot som phishing-attacker. Alla utbildningstillfällen ska registreras och bevaras.
- Bygg upp beredskap: Kontinuitet i verksamheten måste uppnås genom att förbereda processer för att skydda data.
- Block Access: Kontrollera att underleverantörer och andra parter inte har fått åtkomst och inte kan se ePHI. Affärsavtal bör undertecknas med alla partner.
- Dokumentera säkerhetsincidenter: Alla säkerhetsincidenter måste uppmärksammas av personalen och personalen måste rapportera dem.
HIPAA:s sekretessregler
- Svara på förfrågningar: Begäran om patientåtkomst måste besvaras inom 30 dagar.
- Informera patienterna: Ett nationellt dataskyddsprogram måste informera patienterna om policyn för datadelning.
- Tågpersonal: All personal bör utbildas i sekretess och förstå vad som kan och inte kan delas internt och externt.
- Integritet av ePHI: Lämpliga åtgärder måste vidtas för att upprätthålla integriteten hos ePHI och patienternas individuella personliga identifierare.
- Tillstånd att använda ePHI: Patienten måste ge sitt tillstånd för att använda redigerad ePHI för forskning eller marknadsföring.
- Uppdatera blanketter/kopior: Tillståndsformulären bör innehålla hänvisningar till ändringar i behandlingen av skolvaccinationer, begränsningar för ePHI i samband med nedläggning av hälsoplaner och patientens rättigheter till sina elektroniska journaler.
HIPAA-regeln om anmälan av överträdelser
- Meddela patienterna: Patienterna och HHS-avdelningen måste informeras om varje intrång i ePHI. Om mer än 500 personers register har blivit kränkta måste media informeras. Om antalet överträdelser är mindre än 500 måste ett formulär för småskalig hackning skickas in via OCR:s webbplats. Alla anmälningar måste göras inom 60 dagar efter att de upptäckts.
- 4 element: Meddelanden om överträdelser måste innehålla fyra delar, bland annat följande: En beskrivning av den ePHI och de personliga identifierare som är inblandade i brottet, vem som fick obehörig åtkomst, om uppgifterna visades eller förvärvades och i vilken utsträckning riskminimeringen har varit framgångsrik.
HIPAA Omnibus Rule
- Uppdatera BAA: Ni måste uppdatera era avtal om affärsförbindelser (Business Associate Agreements, BAA) så att de återspeglar ändringarna i Omnibus-regeln.
- Skicka nya kopior: Nya kopior av BAA ska skickas och undertecknas för att uppfylla kraven.
- Uppdatera sekretesspolicyn: Integritetspolicyn måste uppdateras för att återspegla ändringarna i Omnibus-regeln.
- Modernisera NPPS: HIPAA-journalen rekommenderar att “NPP måste uppdateras för att täcka de typer av information som kräver tillstånd, rätten att välja bort korrespondens för insamlingssyften och måste ta hänsyn till de nya kraven på notifiering av överträdelser”.
- Tågpersonal: All personal måste vara medveten om Omnibus-regeln genom grundlig utbildning.
Hälso- och sjukvårdstjänsterna i USA har några av de strängaste standardkraven i världen. Elektronisk patienthälsoinformation (ePHI) skyddas av den lagstiftning som infördes genom 1996 års Health Insurance Portability and Accountability Act. HIPAA och de efterföljande ändringarna av säkerhets- och integritetsreglerna innebär strikta kontrollåtgärder för ePHI.
HIPAA-lagstiftningen kräver därför att flera fysiska, administrativa och tekniska skyddsåtgärder vidtas innan ePHI lagras. Dessa åtgärder har resulterat i att många vårdpersonal outsourcat IT-tjänster till HIPAA-kompatibla hostingleverantörer, många i syfte att påskynda den digitala omvandlingen och förbättra möjligheterna till samarbete med moln-VPS.
Hälsovård och VPS-datorer i molnet har en dynamisk synergi och en verkligt banbrytande potential. Det är möjligt att sträng lagstiftning kan ha bromsat upptagningen av moln-VPS-tjänster tidigare. I dag ökar dock integrationen av hälso- och sjukvården i molnet i en betydande takt.
Vad ska du tänka på när du väljer HIPAA-värd? Här är våra observationer om varför sjukvårdsorganisationer övergår till molnet.
1. Säkerhet
Bästa säkerhetspraxis är vad HIPAA-lagstiftningen handlar om. Alla bestämmelser har som enda syfte att skydda ePHI. Det är den enda anledningen till att HIPAA finns. Hostingpartner har ett ansvar att tillhandahålla en kompatibel, säker och robust infrastruktur.
Värdleverantören och tredje parter inom tillämpningsområdet måste ingå ett avtal om affärsförbindelser (Business Associate Agreement, BAA). Detta innebär att alla parter är ansvariga för att förstå i vilka system och på vilken geografisk plats ePHI-uppgifter lagras, överförs och lagras. EPHI-uppgifter måste alltid skyddas under transport och i vila.
Anställdas tillgång kontrolleras, granskas och underhålls kontinuerligt med hjälp av principen om minsta möjliga privilegier. Fysiska byggnadskontroller krävs för att granska åtkomsten till och från datacenter som innehåller ePHI. Vissa leverantörer av VPS-hosting i molnet tar säkerheten till nästa nivå genom att kryptera all HIPAA-data, även om detta bara är en rekommendation i lagstiftningen.
Cloud VPS-leverantörens administratörer är ansvariga för säkerhetsuppdateringar, uppdateringar av fast programvara, samt för skanning av sårbarheter och åtgärder för att avhjälpa dem. Ett uppdaterat antivirusprogram av företagsklass är en nödvändighet, liksom ett IPS-system (Intrusion Prevention System) som loggar, granskar och automatiserar svar dygnet runt till ett team av säkerhetsexperter.
Hälsovårdspersonal kan använda HIPAA-säkerhet som en tjänst och ansluta direkt till värdföretagets säkerhetsplattform. Detta är en stor fördel för sjukvårdsorganisationen och en av de viktigaste anledningarna till att outsourcing till en HIPAA-leverantör är så populärt.
2. Verksamhetskontinuitet och katastrofåterställning
HIPAA:s säkerhetsregel innehåller ett antal detaljerade krav på kontinuitetsplanering och katastrofplanering. Regeln kräver att man utarbetar en process som ska följas i händelse av en kris eller ett katastrofscenario.
En plan för dataåterställning bör också genomföras. Detta är ett program för att säkerhetskopiera och skydda system som innehåller ePHI. Detta uppnås genom ett fördefinierat schema för säkerhetskopiering och replikeringsmöjligheter som tidigare överenskommits i BAA. Data replikeras normalt till minst ett annat datacenter.
En katastrofåterställningsplan (DRP) utarbetas som omfattar värdleverantörens tekniska och administrativa ansvar. Detta omfattar möjligheten att vid ett katastrofalt fel kunna övergå till en alternativ plats för kärnverksamheten och möjligheten att återskapa och få tillgång till ePHI-data från säkerhetskopiering.
All kontinuitetsplanering måste testas och ses över minst en gång om året. Om det inte finns någon plan innan du samarbetar med en HIPAA-värdpartner krävs en analys av verksamhetskonsekvenser som identifierar och prioriterar kritiska IT-komponenter som omfattas av planen.
Planering av affärskontinuitet och katastrofåterställning är viktigt för att uppfylla HIPAA-kraven, men det är svårt att skapa en redundant, felsäker plattform på egen hand. Detta är en annan viktig anledning till varför outsourcing är så populärt. HIPAA-värdarna har redan infrastrukturen på plats, och sjukvårdsorganisationerna ansluter sig helt enkelt till tjänsten.
3. Samarbete
HIPAA-reglerade applikationer är utformade för att dela ePHI mellan auktoriserade användare och auktoriserade system. Genom att dela data öppnas enorma möjligheter till samarbete. Den här möjligheten snabbar upp diagnosen dramatiskt och ger sjukvårdspersonal en samarbetsvillig och smidig arbetsmiljö.
Datainteroperabilitet och säker molntjänst gör det möjligt för sjukvårdsorganisationer att förbli relevanta på den moderna arbetsplatsen. Det öppnar dörren för nya möjligheter att ge bättre patientvård. Flera team kan arbeta med samma projekt samtidigt, kommunikationen förbättras genom meddelandetjänster, 5G-datakommunikation och verktyg för samarbete.
API-plattformar gör det möjligt för program att utbyta data och dela information på ett säkert sätt. Team på olika geografiska platser kan samarbeta på distans. Medicinska tillämpningar kan dela ePHI för att påskynda diagnostiseringen.
Kliniska stödteam har stor nytta av att dela medicinsk information. Delade medicinska bilder, historiska testresultat eller information om familjens historia förbättrar vårdkvaliteten avsevärt. Medicinsk utrustning kan kopplas direkt till molntjänster och omedelbart dela medicinska resultat, röntgenbilder eller patientens pulsmätningar.
Utöver alla dessa möjligheter kan sakernas internet i kombination med datasamarbete användas för att skapa enorma datamängder. Dessa data kan analyseras av plattformar för artificiell intelligens och maskininlärning som letar efter trender och kan analysera enorma datamängder på nolltid. Detta gör att läkarna kan ägna sig åt att behandla patienterna i stället för att gå igenom högar av pappersarbete.
4. Skalbarhet
En annan stor fördel med HIPAA-hosting är molntjänsternas skalbarhet. Sjukhus, kliniker och vårdcentraler tar emot enorma mängder data. Uppgifterna lagras digitalt på en säker plattform som kan skalas upp och skydda uppgifternas integritet.
Läkargrupper växer i storlek och hostingleverantören måste växa med dig. Compute- och nätverksplaner kan uppgraderas med minimal påverkan, och resurser kan läggas till på servrar med en knapptryckning.
Ett exempel är databashosting. Molnbaserade databaser eliminerar komplexiteten i databashanteringen och kan snabbt och billigt skalas upp, ofta på begäran.
Hostingleverantören hanterar hela molntjänsten, vilket gör att en IT-avdelning på plats inte behöver hantera och underhålla uppgraderingar av system eller databaser. Leverantören ansvarar för tillhandahållande av programvara, säkerhetsuppdatering och eventuella problem som uppstår samtidigt som han/hon uppnår ett 100-procentigt servicenivåavtal.
5. Erfarenhet
En hostingleverantör med omfattande erfarenhet av att tillhandahålla HIPAA-kompatibla molntjänster kan vara skillnaden mellan en smidig och framgångsrik molnmigrering och en svår upplevelse med en brant inlärningskurva, vilket inte är idealiskt när det gäller HIPAA-kompatibilitet för nystartade företag. Det är mycket önskvärt att välja en värdpartner som uppfyller HIPAA-kraven, en organisation som regelbundet granskas och publicerar sina granskningsresultat inom den offentliga sektorn.
Erfarenheten ger ett antal viktiga tjänster. Efterlevnad är en oerhört viktig faktor. Titta efter andra ackrediteringar som SOC 2 TYPE II- och SOC 3 TYPE II-certifieringar och HITECH-överensstämmelse. Detta hjälper till att garantera att HIPAA-leverantören har granskats av en kvalificerad oberoende tredje part och kan visa att den är fast besluten att tillhandahålla bästa möjliga IT-säkerhet och kompatibla hosting.
Med en erfaren leverantör är det mer sannolikt att du uppnår branschledande servicenivåavtal (SLA), återställningstid och återställningspunkt. Detta är en stor fördel i katastrofsituationer. Den tekniska supporten från leverantören är också sannolikt betydligt bättre om de har tillhandahållit HIPAA-tjänster under en längre tid.