Garantire che la tua tecnologia medica sia conforme all'HIPAA: Cosa sapere

La scrittrice tecnica freelance Kayla Matthews discute come assicurarsi che il tuo prodotto medtech sia HIPAA compliant. 

Fornire un aiuto competente e di alta qualità a chi ne ha bisogno è la priorità assoluta dell'associazione. assistenza sanitaria sector. These days, data security and integrity comes in at a very close second.  Mantenere al sicuro le informazioni sanitarie protette (PHI) dei pazienti è il vero motivo per cui l'HIPAA (Health Information and Portability and Accountability Act) è stato creato, e perché ha visto diversi aggiornamenti da quando la tecnologia e le aspettative di sicurezza sono maturate ulteriormente.

Uno di questi cambiamenti, noto come HITECH Act del 2009, ha rafforzato l'HIPAA rimuovendo le scappatoie sfruttabili per le organizzazioni sanitarie e la creazione di incentivi per la comunità sanitaria a passare alle cartelle cliniche elettroniche (EHR). L'assistenza sanitaria moderna - comprese le cartelle cliniche storiche e recenti - deve essere mobile, sicura e in grado di seguire i pazienti tra medici e strutture.

Lavorare nell'assistenza sanitaria significa praticare la dovuta diligenza e stabilire una cultura che rispetti l'HIPAA e la sovranità e l'importanza dei dati accurati dei pazienti. Le aspettative sono diventate più severe nel corso degli anni, dato che la comunità medica ha trovato nuovi modi per raccogliere e mettere al lavoro i dati dei pazienti.

Scoprite cosa serve per mantenere la tecnologia medica - medtech - conforme alla serie di requisiti HIPAA in continua evoluzione.

Perché la conformità HIPAA è essenziale nel settore MedTech?

La conformità con l'HIPAA non è opzionale per i fornitori di servizi medici, noti come Covered Entities. Poiché i dati sanitari hanno assunto un ruolo centrale negli ambienti di cura di tutti i tipi, le entità hanno dovuto rivalutare le tecniche che usano per catturare, memorizzare, trasmettere e comunicare i record dei pazienti.

Financial concerns are the first and probably most significant worry for assistenza sanitaria providers. In 2018, Fresenius Medical Care North America was ha scontato una multa di $3,5 milioni dall'Office for Civil Rights e dal Department of Health and Human Services. FMCNA ha accettato i termini, compreso l'obbligo di redigere un piano d'azione a tutto campo per correggere molteplici violazioni HIPAA.

Le perdite finanziarie sono una parte enorme del motivo per cui le organizzazioni sanitarie devono garantire una stretta aderenza ai requisiti HIPAA. Le reputazioni compromesse sono un'altra. 

FMCNA fornisce prodotti e servizi a 170.000 pazienti e impiega più di 60.000 persone in diverse sedi e tipi di strutture. Una multa come questa porta quasi invariabilmente a una perdita di fiducia e di affari.

Ora che sappiamo perché questo è essenziale per le entità sanitarie, perché medtech e HIPAA sono vitali per i pazienti?

Per iniziare, le informazioni sanitarie protette sono alcuni dei dati più preziosi sul mercato nero oggi - più dei dati finanziari, compresi i numeri delle carte di credito. Le violazioni di PHI possono richiedere più tempo per essere rilevate rispetto alla perdita di dati finanziari, ma non sono meno utili ai criminali informatici.

Con PHI, gli hacker possono ordinare dispositivi medici e prescrizioni sotto il nome di qualcun altro, commettere frodi assicurative e realizzare qualsiasi numero di altri crimini che possono far arretrare considerevolmente i pazienti e le strutture di assistenza.

Considerate alcuni dei requisiti specifici che le organizzazioni sanitarie devono rispettare quando adottano le tecnologie mediche e cercano nuovi modi per migliorare i risultati dei pazienti.

1. I backup dei dati devono essere completi e criptati

Secondo l'HIPAA, le organizzazioni sanitarie devono rimanere coerenti su come, quanto spesso e per quanto tempo eseguono il backup dei dati dei pazienti. Questi requisiti rientrano in due categorie - il piano di backup dei dati dell'organizzazione sanitaria e il periodo di conservazione richiesto.

HIPAA richiede alle organizzazioni sanitarie di mantenere backup completi, recuperabili e criptati di tutte le cartelle cliniche elettroniche dei pazienti. Ulteriori dettagli includono: 

• Crittografia: I dati a riposo devono essere criptati con una crittografia AES a 256 bit.
• Ridondanza: Almeno due o tre luoghi di stoccaggio separati.
• Dati in transito: I dati trasferiti tramite reti pubbliche devono essere criptati con AES a 256 bit.
• Monitoraggio: Le organizzazioni devono monitorare i backup dei dati e i piani di backup per gli errori e i fallimenti del backup.

Inoltre, i depositi fisici di dati - come le stanze dei server - devono avere robusti controlli di accesso per garantire che solo il personale qualificato e autorizzato possa entrare.

Per quanto riguarda i periodi di conservazione, le cose si complicano leggermente. Gli stati hanno le loro leggi che riguardano per quanto tempo i fornitori devono conservare le cartelle cliniche. In Florida, sono cinque anni dopo l'ultimo contatto con il paziente. Tuttavia, l'HIPAA richiede che le organizzazioni sanitarie conservino la documentazione relativa all'HIPAA in modo sicuro per sei anni, compresi:

• Autorizzazioni di divulgazione PHI
• Registri di aggiornamento e registrazione PHI
• File di analisi e valutazione dei rischi
• Documentazione relativa alle notifiche di violazione
• Revisioni di sicurezza e cambiamenti di sistema o audit 
• Avvisi sulle pratiche di privacy dell'organizzazione

I fornitori di assistenza sanitaria gestiti da Medicare e Medicaid hanno ulteriori requisiti, compresa la conservazione dei rapporti sui costi per cinque e 10 anni, rispettivamente.

2. I canali di comunicazione devono essere protetti

Mantenere il medico conformità secondo l'HIPAA si estende anche ai metodi di comunicazione usati dalle entità coperte. I moderni canali di comunicazione, come telefono, e-mail, fax e messaggi di testo, sono tutti un po' diversi quando si tratta di essere conformi all'HIPAA medica.

L'HIPAA non proibisce l'uso di messaggi di testo per la trasmissione di PHI. Se l'Entità Inclusa ha dato al paziente avvisi dei rischi, e il paziente ha acconsentito, i fornitori di assistenza sanitaria possono inviare PHI via SMS a quella persona e a nessun'altra parte. L'HIPAA richiede controlli di audit per la creazione e la trasmissione di PHI, ma questo è difficile dato il numero di strumenti di comunicazione e sistemi operativi in uso.

Nella maggior parte delle situazioni, è meglio usare altri metodi. Qualunque sia lo strumento di comunicazione utilizzato, gli enti coperti devono tenere conto di quanto segue:

• Forti controlli di accesso per i dispositivi che inviano e ricevono testi
• Crittografia end-to-end - una preoccupazione affrontabile nell'ambito dell'HIPAA
• Prevenzione delle perdite per dispositivi facilmente smarriti o rubati

Il fax è stato a lungo parte della comunità medica. Infatti, qualcosa come 75% di tutte le comunicazioni nel settore sanitario degli Stati Uniti avviene via fax. I sistemi fax elettronici, basati su cloud, forniscono l'ecosistema strutturato, sicuro e criptato necessario per scambiare questo tipo di informazioni in modo sicuro tra le parti.

A differenza dei sistemi fax tradizionali, dove tutti i record rimangono in sede e rimangono a rischio di furto, i fax elettronici fornire sicurezza e verificabilità dell'accesso per gli enti coperti. I sistemi e-fax memorizzano tutte le informazioni di comunicazione - compresi i messaggi stessi, più tutti i dati storici che li accompagnano - fuori sede in una posizione secondaria protetta del fornitore.

Le Entità coperte devono tenere a mente diverse protezioni essenziali quando comunicano le registrazioni, tra cui

• Password forti o autenticazione biometrica 
• Standard del settore, crittografia sul dispositivo
• Piani completi per la rimozione di PHI dai dispositivi prima di ritirarli
• Protezione fisica e digitale per reti Wi-Fi e infrastrutture IT
• Aggiornamenti firmware e software per tutti i tipi di dispositivi non appena sono disponibili

3. Gli enti sanitari devono eseguire analisi di rischio complete

La mancata esecuzione di un'analisi dei rischi a livello di organizzazione è uno dei motivi principali per cui le organizzazioni sanitarie vengono multate per aver violato l'HIPAA. Le entità coperte dovrebbero eseguire analisi dei rischi regolarmente, anche ogni volta che la loro infrastruttura digitale cambia. Cancer Care Group, Lahey Hospital & Medical Center, Cardionet e Oregon Health & Science University sono stati tutti multati tra $750.000 e $2,7 milioni per sviste di questa natura.

Il methodology and results of the risk analysis will look a little different to varying organizations, but the mission and the reasons are always the same:

• Definire come la PHI fluisce in tutta l'organizzazione: Come entra PHI nel sistema? Dove sono conservate? Come esce? Ci sono potenziali luoghi di fuga?
• Rendersi conto dell'intero ciclo di vita di PHI: Quali terzi entrano in contatto con PHI? Altri partner commerciali? Aziende di riciclaggio o di triturazione? Servizi di riparazione o gestione di computer?
• Conoscere le vostre vulnerabilità specifiche: Non ci sono due organizzazioni sanitarie esattamente uguali. Le debolezze possono includere negligenza interna, formazione incompleta dei dipendenti su come evitare il phishing, password di bassa qualità, minacce fisiche ai luoghi di archiviazione dei dati come interruzioni di corrente e condizioni meteorologiche estreme, cyberattacchi deliberati e altro ancora.
• Dare priorità alle minacce in base alla probabilità e all'impatto: Tutte le vulnerabilità organizzative dovrebbero ricevere un livello di minaccia di Basso, Medio o Alto per garantire che i team assegnino i fondi in modo appropriato, e che l'azienda possa approfondire la formazione, l'assunzione o le carenze procedurali risultanti dalla perdita di dati.

Per uno sguardo più dettagliato ai requisiti di analisi del rischio sotto HIPAA, il governo ha un foglio di lavoro disponibile per le organizzazioni sanitarie che vogliono assicurarsi di non aver tralasciato nulla. Il foglio di lavoro vede revisioni regolari man mano che l'industria e le tecnologie cambiano.

Fornitori di servizi medici conformi per un futuro più sano

Good public health should be a priority for any civilized society. These days, however, health goes hand-in-hand with cybersecurity. The three areas above are the most frequently cited in terms of organizational non-compliance. To fix this problem, organizations must ensure they promote ongoing learning and attention to details.

L'HIPAA e i suoi cambiamenti nel corso degli anni ci ricordano quanto possano essere preziosi i dati sanitari - sia per i pazienti che per gli aspiranti ladri di dati.

Ho bisogno di aiuto con Conformità HIPAA o sviluppare un prodotto medtech? Consultate gli esperti freelance su Kolabtree. È gratis per pubblicare il tuo progetto e ottenere preventivi.