HIPAA reikalavimus atitinkantys neįveikiami slaptažodžiai

Paciento sveikatos duomenys yra konfidencialūs ir privatūs, tad jie turi būti tvarkomi ypatingai rūpestingai. Laimei yra teisinių priemonių jų saugumui užtikrinti. Toliau sužinokite apie atitiktį HIPAA ir kaip tai gali padėti įmonei užtikrinti sveikatos duomenų apsaugą.

HIPAA reiškia Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas. Tai yra 1996 m. priimtas novatoriškas įstatymas, apsaugantis paciento duomenų konfidencialumą ir užtikrinantis jų saugumą. Laikantis HIPAA užtikrinama, kad sveikatos priežiūros įmonių ir organizacijų pacientų privatūs duomenys (arba saugoma informacija apie sveikatą (PHI)) bus apsaugoti nuo privatumo pažeidimų, neteisingo vidinio tvarkymo ar duomenų nutekėjimo.

Saugoma informacija apie sveikatą apima visus asmens duomenis, kuriais galima identifikuoti pacientą ar kitą tokios įstaigos klientą. Tai yra informacija nuo telefono numerio iki faktinių medicininių įrašų. Sveikatos paslaugų teikėjams, draudėjams ir įmonėms, kurios tvarko pacientų informaciją, būtina suprasti atitikties HIPAA reikalavimus, nes nesilaikant HIPAA reikalavimų gresia didelės baudos, teisiniai nemalonumai ir visuomenės pasitikėjimo praradimas.

HIPAA taikoma dviem organizacijų tipams: įpareigotiems subjektams ir jų verslo partneriams. Įpareigoti subjektai yra organizacijos, kurios aktyviai dirba su saugoma informacija apie sveikatą, pvz., sveikatos priežiūros įstaigos ir sveikatos draudimo teikėjai. Verslo partneriai yra įmonės, kurios teikia paslaugas įpareigotiems subjektams. Tai gali būti programėlių kūrėjai, IT infrastruktūros teikėjai, trečiųjų šalių rangovai, saugumo įmonės, maitinimo tiekėjai ir pan. Tai gali būti bet kokia įmonė, kuri dirba su įpareigotu subjektu ir saugoma informacija apie sveikatą.

Pvz., įmonė, kurianti failų tvarkyklę, kurią ligoninės naudoja saugomai informacijai apie sveikatą pasiekti, turi atitikti HIPAA. Priešingu atveju, bet kuri programėlę naudojanti ligoninė rizikuotų pažeisti HIPAA taisykles. Bet kuri programėlė, susijusi su saugoma informacija apie sveikatą, turi atitikti HIPAA ir užtikrinti tinkamą šifravimą bei kitas saugumo priemones.

Organizacija, kuri atitinka HIPAA taisykles, gali gauti HIPAA sertifikatą. Daugeliu atvejų sertifikatą norinčiose gauti organizacijose turi būti atlikti trečiųjų šalių auditai. Tačiau svarbu paminėti, kad, remiantis JAV Sveikatos ir žmogiškųjų paslaugų departamentu (HHS), sveikatos paslaugų teikėjams nebūtina gauti HIPAA sertifikato.

Atitikties HIPAA reikalavimai skiriami į dvi grupes: nebūtinieji ir būtinieji. Būtinieji reiškia, nuostatų turi būti griežtai laikomasi visose organizacijoje. Kitos kategorijos pritaikymas yra lankstesnis arba kai kuriose įmonėse ji gali būti visai netaikoma. Toliau pateikiami būtinieji HIPAA reglamentai.

1. Prieigos valdymo įgyvendinimas ir priemonės. Kiekvienam naudotojui turi būti suteikta atskira apsaugota prieiga.

2. Veiklų žurnalų ir auditų valdymo priemonių naudojimas. Organizacija turi stebėti, kaip asmuo naudoja duomenis, bei saugoti veiklų žurnalus.

3. Darbo vietų naudojimo ir buvimo vietų politikos. Organizacija turi atidžiai stebėti darbo vietas ir riboti jų prieigą.

4. Mobiliųjų įrenginių politikos ir procedūros. Organizacija turi turėti planą, kaip pašalinti saugomą informaciją apie sveikatą iš mobiliųjų įrenginių, jei darbuotojai jais nebesinaudoja.

5. Rizikos vertinimų vykdymas. Organizacija turi identifikuoti saugomos informacijos apie sveikatą tvarkymo rizikas ir silpnąsias vietas.

6. Rizikos valdymo politikos įvedimas. Organizacija turi turėti šių rizikų mažinimui skirtas politikas ir priemones.

7. Nenumatytų atvejų plano kūrimas. Įpareigota įmonė turi apsaugoti saugomą informaciją apie sveikatą ir imtis veiksmų nenumatytais atvejais.

8. Trečiosios šalies prieigos ribojimas. Įgaliojimų neturinčios trečiosios šalys neturėtų pasiekti duomenų.

Trumpai tariant, HIPAA pažeidimas yra bet koks organizacijos atitikties programos pažeidimas, dėl kurio kyla pavojus saugomai informacijai apie sveikatą arba elektroninei saugomai informacijai apie sveikatą. Tačiau ne visi duomenų saugumo pažeidimai yra HIPAA pažeidimai. Jei pažeidimas įvyko dėl force majeure aplinkybių, kurių organizacija negalėjo numatyti, tai nebūtinai bus laikoma pažeidimu. Tačiau nepateiktas HIPAA pažeidimo pranešimas bus laikomas pažeidimu.

Duomenų saugumo pažeidimas tampa HIPAA pažeidimu, jei jis kyla dėl neveiksmingos, nebaigtos ar pasenusios atitikties HIPAA programos. HIPAA pažeidimų pavyzdžiai apima neteisėtą prieigą prie paciento informacijos, netinkamą saugomos informacijos apie sveikatą naudojimą ir tinkamų saugumo priemonių trūkimą.

Sveikatos priežiūros įstaigos, susidūrusios su reikšmingu pažeidimu, paveikusiu daugiau nei 500 asmenų, turėtų apie tai pranešti per 60 dienų. Apie nedidelius pažeidimus (paveikiančius mažiau nei 500 asmenų) galima pranešti kartą per metus. Be to, subjektas taip pat turėtų informuoti paveiktus asmenis asmeniškai.

HIPAA nesilaikymo baudos svyruoja nuo 100 iki 50 000 USD už įvykį, atsižvelgiant į aplaidumo lygį. Jei nustatoma, kad organizacija aplaidžiai vertino „sąžiningas pastangas“ laikytis HIPAA, baudos gali labai padidėti. Daugiau nei 40 mln. USD baudų buvo sumokėta nuo 2016 m.,tad su saugoma informacija apie sveikatą dirbančioms organizacijoms HIPAA laikymasis yra ypatingos svarbos.

HIPAA pažeidimai nustatomi tinkamai nesilaikant anksčiau nurodytų reikalavimų. Pvz., kas nors gali pamesti įrenginį, neteisėtai prisijungti ar netyčia įdiegti kenkėjiškos programinės įrangos.

HIPAA privatumo taisyklės saugo pacientų privatumą ir jų teisę gauti saugomos informacijos apie sveikatą (angl.: Protected health information; PHI) duomenis. Jose numatomos privatumą užtikrinančios saugumo priemonės ir nustatomos sąlygos, kada organizacija gali atskleisti duomenis be paciento sutikimo.

Be to, pacientai gali gauti saugomos informacijos apie sveikatą duomenis ir, prireikus, reikalauti juos pakeisti. Organizacija turėtų atsakyti į paciento prašymą pateikti duomenis per 30 dienų. Jei ji nori panaudoti kieno nors duomenis rinkodaros, pinigų rinkimo ar tyrimų tikslais, pacientas turi pateikti rašytinį sutikimą.

Toliau pateikiame kelis saugumo internete patarimus apie tai, kaip tvarkyti privačius pacientų duomenis.

• Naudokite VPN, norėdami užšifruoti savo organizacijos duomenų srautą. Tai ypatingai svarbu, kai duomenys perduodami, kad jų neperimtų šnipinėtojai.

• Užšifruokite saugomos informacijos apie sveikatą failus, kad jie nebūtų pasiekiami saugumo pažeidimo atveju.

• Naudokite automatinio atjungimo funkciją tais atvejais, kai naudotojas palieka įrenginį be priežiūros.

• Reguliariai darbuotojams vykdykite mokymus apie saugumą.

• Visada kurkite atsargines duomenų kopijas.

• Naudokite saugias žinučių siuntimo programėles su ištisiniu šifravimu ir visiškai slaptu persiuntimu.

• Visada atnaujinkite įmonės saugumo programinę įrangą.

• Įsitikinkite, kad darbuotojai naudoja atsargumo priemones, siekdami išvengti kenkėjiškos programinės įrangos. Jie turėtų ištrinti nepažįstamas programėles, niekada nesiųsti failų iš įtartinų svetainių, neatidaryti įtartinų nuorodų, priedų ar žinučių.

• Kilus abejonių, visada naudodamiesi kitomis komunikacijos priemonėmis įsitikinkite, kad jūs ir darbuotojai dalijatės duomenimis su tinkamu asmeniu.

• Naudokite saugias ir šifruotas el. pašto paslaugas.

• Naudokite saugią programinę įrangą, kuri atitinka HIPAA taisykles.

• Visada įsitikinkite, kad naudojate neįveikiamus slaptažodžius įmonės paskyroms ir duomenų bazėms pasiekti.

Vienas iš atitikties HIPAA esminių aspektų yra stiprios ir veiksmingos duomenų apsaugos politikos įgyvendinimas. HIPAA reikalavimus atitinkanti slaptažodžių tvarkyklė, pvz., „NordPass“ pasižymi stipresniu saugumu, centralizuotu valdymu ir didesniu darbuotojų produktyvumu. Tai yra labai naudingas sprendimas organizacijoms, kurioms reikalinga atitiktis HIPAA.

Šifravimo ir kelių veiksnių autentifikavimo funkcijas teikianti slaptažodžių tvarkyklė gali sumažinti neleistinos prieigos prie saugomos informacijos apie sveikatą (PHI) pavojų. Be to, centralizuotas valdymas, vykdomas naudojantis „NordPass Business“ administratoriaus langu, suteikia organizacijoms galimybę stebėti prieigą, įgyvendinti neįveikiamų slaptažodžių politikas, prireikus atšaukti prieigą ir supaprastinti atitikties procesą. Be to, HIPAA atitinkančios įmonių slaptažodžių tvarkyklės padidina darbuotojų produktyvumą, nes nereikia prisiminti daugybės prisijungimo duomenų, ir sumažina pavojų, kad slaptažodžiai bus naudojami pakartotinai arba bus naudojami silpni slaptažodžiai.

Naudoti HIPAA atitinkančią slaptažodžių tvarkyklę yra išmintingas sveikatos priežiūros sektoriuje dirbančių įmonių sprendimas. Veiksmingai apsaugodama konfidencialią pacientų informaciją, slaptažodžių tvarkyklė ne tik padeda organizacijoms laikytis pramonėje taikomų reglamentų, bet ir apsaugoti savo reputaciją bei išvengti didelių baudų už HIPAA pažeidimus. Investuoti į HIPAA atitinkančią slaptažodžių tvarkyklę būtina, siekiant užtikrinti pacientų duomenų saugumą ir privatumą.