确保您的医疗技术符合HIPAA标准。需要了解的情况

0

自由技术作家Kayla Matthews讨论了如何确保你的医疗技术产品是 遵守HIPAA规定t. 

向有需要的人提供合格和高质量的援助是卫生保健部门的首要任务。这些天来,数据安全和完整性排在第二位。  保护病人受保护的健康信息(PHI)的安全是HIPAA(健康信息和可携性及责任法案)存在的根本原因,也是它在技术和安全预期进一步成熟后出现几次更新的原因。

这些变化之一,即2009年的HITECH法案,加强了HIPAA 通过消除可利用的漏洞 为卫生保健组织创造激励措施,使卫生保健界过渡到电子健康记录(EHRs)。现代医疗保健--包括历史和最近的病人记录--必须是移动的、安全的,并且能够在医生和设施之间跟随病人。

在医疗保健领域工作意味着要恪尽职守,建立一种尊重HIPAA和准确的病人数据的主权和重要性的文化。多年来,随着医疗界找到收集和利用病人数据的新方法,人们的期望变得更加严格。

了解如何使医疗技术--医疗技术--符合HIPAA不断变化的一系列要求。

为什么HIPAA合规性在医疗技术领域至关重要?

遵守HIPAA对医疗服务提供者来说不是可有可无的,他们被称为受保实体。由于健康数据在各种护理环境中发挥了核心作用,各实体不得不重新评估他们用来捕获、存储、传输和交流病人记录的技术。

财务问题是医疗服务提供者的第一件事,也可能是最重要的担忧。2018年,费森尤斯医疗北美公司在 被处以$3.5万美元的罚款 由民权办公室和卫生与公众服务部负责。FMCNA同意这些条款,包括要求制定一个全面的行动计划来纠正多个违反HIPAA的行为。

财务损失是医疗机构必须确保严格遵守HIPAA要求的一个巨大部分。名誉受损是另一个原因。 

FMCNA为17万名患者提供产品和服务,并在多个地点和设施类型中雇用了6万多名员工。这样的罚款几乎无一例外地导致了信任的丧失和业务的流失。

现在我们知道为什么这对医疗保健实体至关重要,为什么医疗技术和HIPAA对病人至关重要?

首先,受保护的健康信息是 一些最有价值的数据 在今天的黑市上--比包括信用卡号码在内的金融数据更有价值。与金融数据的丢失相比,个人健康保险的泄露可能需要更长的时间来检测,但它对网络犯罪分子的作用并不小。

有了PHI,黑客可以用别人的名字订购医疗设备和处方,进行保险欺诈,并进行其他任何数量的犯罪,这可能会使病人和护理机构大大受挫。

考虑一下医疗机构在采用医疗技术和寻求新的方法来改善病人的结果时必须遵守的一些具体要求。

1.数据备份必须是完整的和加密的

根据HIPAA,医疗机构必须在备份病人数据的方式、频率和时间上保持一致。这些要求分为两类--医疗机构的数据备份计划和规定的保留期。

HIPAA要求医疗机构保持所有电子病人健康记录的完整、可检索和加密的备份。其他细节包括。 

  • 加密:静止状态下的数据必须使用256位AES加密技术进行加密。
  • 冗余:至少有两个或三个独立的储存地点。
  • 转运中的数据:使用公共网络传输的数据必须是256位AES加密的。
  • 监测:组织必须监控数据备份和备份计划的错误和备份失败。

此外,物理数据存储库--如服务器机房--必须有强大的访问控制,以确保只有合格和授权的人员可以进入。

就保留期限而言,事情变得稍微复杂。各州都有自己的法律,规定医疗机构必须保留医疗记录多长时间。在佛罗里达州,在最后一次与病人接触后的五年内。然而,HIPAA确实要求医疗机构将与HIPAA相关的文件安全地保存6年,包括。

  • PHI披露的授权
  • PHI更新和记录日志
  • 风险分析和评估文件
  • 有关违约通知的文件
  • 安全审查和系统变更或审计 
  • 关于该组织的隐私做法的通知

由Medicare和Medicaid管理的医疗机构有进一步的要求,包括分别保留5年和10年的成本报告。

2.必须保证通信渠道的安全

保持医疗 遵守规定 HIPAA规定的通信方式也延伸到受保护实体所使用的通信方式。现代通信渠道,如电话、电子邮件、传真和短信,在符合HIPAA医疗标准方面都有一些不同。

HIPAA 并不禁止使用短信来传送 PHI。如果受保实体已经向病人发出风险通知,并且病人同意,医疗服务提供者可以向该人而不是其他方发送PHI短信。HIPAA要求对PHI的创建和传输进行审计控制,但由于使用的通信工具和操作系统很多,这很困难。

在大多数情况下,最好是使用其他方法。无论使用何种沟通工具,受保实体必须考虑到以下几点。

  • 对发送和接收短信的设备进行强有力的访问控制
  • 端对端加密--HIPAA下的一个可解决的问题
  • 对容易放错地方或被盗的设备进行损失预防

长期以来,传真一直是医疗界的一个组成部分。事实上,类似 75%的所有通信 在美国的医疗保健行业中,有很多事情是通过传真发生的。电子的、基于云的传真系统提供了结构化的、安全的和加密的生态系统,这是各方之间安全交换这类信息所必需的。

与传统的传真系统不同,电子传真的所有记录都留在企业内部,并且仍然有被盗的风险。 提供访问安全性和可审计性 为受保护的实体。电子传真系统将所有通信信息--包括信息本身,以及所有伴随的历史数据--异地存储在供应商的安全辅助位置。

受保实体在交流记录时必须牢记几个基本的保护措施,包括。

  • 强大的密码或生物识别认证 
  • 行业标准,设备上的加密
  • 在设备退役前从其上清除PHI的全面计划
  • 对Wi-Fi网络和IT基础设施的物理和数字保护
  • 所有设备类型的固件和软件更新一经推出,就会立即进行。

3.医疗保健实体必须进行全面的风险分析

未能进行全组织的风险分析是医疗机构因违反HIPAA而被罚款的首要原因之一。受保实体应定期进行风险分析,包括每次他们的数字基础设施发生变化时。癌症护理集团、Lahey医院和医疗中心、Cardionet和俄勒冈健康与科学大学都承担了罚款。 在$750,000和$270万之间 对于这种性质的疏忽。

对于不同的组织来说,风险分析的方法和结果会有一些不同,但任务和原因总是相同的。

  • 界定PHI如何在整个组织内流动:PHI如何进入系统?它被储存在哪里?它是如何离开的?是否有潜在的泄密地点?
  • 对整个PHI生命周期进行核算:哪些第三方会接触到PHI?其他商业伙伴?回收或碎纸公司?电脑维修或管理服务?
  • 了解你的具体弱点:没有两个医疗机构是完全相同的。弱点可能包括内部疏忽,员工在避免网络钓鱼方面的培训不完整,低质量的密码,对数据存储地点的物理威胁,如停电和极端天气,故意的网络攻击等等。
  • 按照可能性和影响对威胁进行优先排序:所有的组织漏洞都应该得到一个低、中或高的威胁等级,以确保团队适当地分配资金,公司可以深入了解培训、雇用或程序上的失误导致的数据丢失。

关于HIPAA规定的风险分析要求的更详细情况,政府 有一个工作表可用 为希望确保他们没有遗漏的医疗保健组织提供的。随着行业和技术的变化,该工作表会定期进行修订。

符合要求的医疗服务提供者,创造更健康的未来

良好的公共卫生应该是任何文明社会的优先事项。然而,这些天来,健康与网络安全齐头并进。上述三个领域是最常被提及的组织不合规问题。为了解决这个问题,组织必须确保他们促进持续的学习和对细节的关注。

HIPAA及其多年来的变化提醒我们健康数据是多么宝贵--对病人和可能的数据窃贼都是如此。

需要帮助 遵守HIPAA 或开发一个医疗技术产品?咨询自由职业者专家 科拉布树.发布你的项目并获得报价是免费的。 


Kolabtree帮助全球企业按需雇佣专家。我们的自由职业者已经帮助企业发表研究论文,开发产品,分析数据,以及更多。只需一分钟就可以告诉我们你需要做什么,并免费获得专家的报价。


分享。

关于作者

凯拉-马修斯是一名技术记者、大数据和网络安全作家。她的作品曾被WIRED、Digital Trends、国家网络安全联盟和The Week报道过。要阅读更多凯拉的文章,请访问她的个人科技博客:https://productivitybytes.com。

发表回复

值得信赖的自由职业者专家,随时为您的项目提供帮助


世界上最大的科学家自由职业平台  

不,谢谢,我现在不打算雇用。