nordpass logo

Password complesse per la conformità HIPAA

  • Garantisci la gestione sicura delle informazioni sanitarie sensibili

Spiegazione della conformità HIPAA

I dati sanitari dei pazienti sono una questione delicata e privata, quindi richiedono una gestione particolarmente attenta. Ma fortunatamente, esistono misure legali per garantirne la sicurezza. Scopri di seguito la conformità HIPAA e come può aiutare la tua azienda a garantire la protezione dei dati sanitari.

Cos'è la conformità HIPAA?

HIPAA sta per Health Insurance Portability and Accountability Act (Atto sulla Portabilità e Rendicontabilità dell'Assicurazione Sanitaria). È una legge promulgata nel 1996, che supervisiona la sicurezza dei dati sanitari negli Stati Uniti. La conformità HIPAA garantisce che le aziende e le organizzazioni sanitarie proteggano i dati privati dei pazienti, o informazioni sanitarie protette (Protected Health Information, PHI), da violazioni della privacy, errori interni o fughe di dati.

Le PHI includono tutti i dati personali che potrebbero identificare un paziente o un altro cliente di tale istituto, come i numeri di telefono e le cartelle cliniche. Quindi, il rispetto della normativa HIPAA prevede che un'organizzazione protegga tali informazioni gestendole in modo sicuro e mettendo in atto tutte le misure di sicurezza necessarie. Il mancato rispetto di tale obbligo può comportare gravi sanzioni legali.

Chi deve rispettare la normativa HIPAA?

Esistono due tipi di organizzazioni che devono rispettare la normativa HIPAA: le entità incluse (covered entity) e i loro partner commerciali (business associate). Le entità incluse sono organizzazioni che trattano attivamente le PHI, ad esempio i fornitori di assistenza e assicurazione sanitaria. I partner commerciali sono società che forniscono servizi alle entità incluse. Potrebbero essere sviluppatori di app, fornitori di infrastrutture IT, appaltatori terzi, società di sicurezza, fornitori di servizi di catering, ecc. Potrebbe trattarsi di qualsiasi attività commerciale che abbia a che fare con un'entità inclusa e tratti le PHI.

Per esempio, un'azienda IT che sviluppa un gestore di file, utilizzato dagli ospedali per accedere alle PHI, deve essere conforme all'HIPAA. In caso contrario, qualsiasi ospedale che utilizzi tale app rischierebbe di violare le normative HIPAA. Qualsiasi app che abbia a che fare con le PHI deve rispettare le normative HIPAA e garantire la Crittografia necessaria e altre misure di sicurezza.

lista di controllo della conformità HIPAA

HIPAA compliance requirements fall under two labels: addressable and required. The latter means that the provision must be strictly followed by all organizations. The other category allows some flexibility in applying it, or it can be non-applicable to some entities. The required HIPAA regulations are:

  1. L'implementazione e i mezzi di controllo degli accessi. Ogni utente deve disporre di un accesso protetto distinto;

  2. L'introduzione dei registri delle attività e dei controlli di verifica. L'organizzazione dovrebbe tenere traccia di come si utilizzano i dati e tenere i registri delle attività;

  3. Le politiche per l'utilizzo/posizionamento delle postazioni di lavoro. Un'organizzazione deve monitorare attentamente le postazioni di lavoro e limitarne l'accesso;

  4. Le politiche e procedure per i dispositivi mobili. Un'organizzazione deve avere un piano su come rimuovere le PHI dai dispositivi mobili se i dipendenti non le utilizzano più;

  5. L'implementazione delle valutazioni del rischio. L'organizzazione deve identificare i rischi e le aree vulnerabili nella gestione delle PHI;

  6. La presentazione di una politica di gestione del rischio. Un'organizzazione deve avere politiche e misure su come mitigare tali rischi;

  7. La limitazione dell'accesso da parte di terzi. I terzi non autorizzati non devono accedere ai dati.

  8. La limitazione dell'accesso da parte di terzi. I terzi non autorizzati non devono accedere ai dati.

Le violazioni HIPAA e le violazioni dei dati

Le violazioni HIPAA derivano dalla non conformità ai requisiti di cui sopra. Ad esempio, qualcuno potrebbe perdere un dispositivo, effettuare accessi non autorizzati, installare accidentalmente malware, ecc.

Un'istituzione sanitaria che ha subito una violazione significativa con un impatto su più di 500 individui dovrebbe segnalarla entro 60 giorni. Le violazioni minori (che interessano meno di 500 persone) possono essere segnalate una volta all'anno. Inoltre, un'entità dovrebbe anche informare individualmente i pazienti interessati.

Se una violazione è dovuta a cause di forza maggiore che la società non avrebbe potuto prevedere, non è necessariamente considerata una violazione. Tuttavia, non denunciare l'incidente lo è di sicuro.

Regole di privacy e sicurezza HIPAA

La normativa HIPAA tutela la privacy dei pazienti e il loro diritto di ottenere i dati di tipo PHI. Prevede misure di sicurezza per garantire la privacy e stabilisce anche le condizioni alle quali un'organizzazione può divulgare i dati senza il consenso del paziente.

I pazienti possono anche ottenere i dati PHI e richiedere modifiche, se necessario. Un'organizzazione dovrebbe rispondere a una richiesta di dati da parte del paziente entro 30 giorni. Se vuole usare i dati di qualcuno a scopi di marketing, raccolta di fondi o ricerca, è necessario che il paziente interessato dia il suo consenso per iscritto.

Come salvaguardare i dati sanitari privati

Ecco alcuni consigli di sicurezza online su come gestire i dati privati dei pazienti:

  • Usa una VPN per criptare il traffico della tua organizzazione. È fondamentale soprattutto quando i dati sono in transito e potrebbero essere intercettati dai ficcanaso;

  • Cripta i file contenenti PHI, in modo che non siano accessibili in caso di violazione;

  • Implementa la disconnessione automatica nel caso in cui un utente lasci un dispositivo incustodito;

  • Imposta una formazione regolare sulla sicurezza per i dipendenti;

  • Esegui sempre il backup dei tuoi dati;

  • Utilizza app di messaggistica sicure con crittografia end-to-end e una riservatezza impeccabile in fase di trasmissione;

  • Aggiorna sempre il software di sicurezza della tua azienda;

  • Make sure your employees use precaution measures to avoid malware. They should delete apps they don’t recognize, never download from suspicious websites nor open suspicious links, attachments, messages;

  • In caso di dubbi, assicurati sempre che tu e i tuoi dipendenti condividiate i dati con la persona giusta effettuando un doppio controllo tramite altri mezzi di comunicazione;

  • Utilizza servizi di posta elettronica sicuri e cifrati;

  • Utilizza un software sicuro, conforme alle normative HIPAA.

  • Assicurati sempre di utilizzare password sicure per accedere agli account e ai database della tua organizzazione.

Ti consigliamo di utilizzare un gestore di password per memorizzare password complesse. Prova il nostro NordPass sicuro e facile da usare. Cripta tutte le password e le archivia in un posto sicuro in modo che solo i dipendenti autorizzati possano accedervi.