План резервного копирования и восстановления, соответствующий требованиям HIPAA, является обязательным для вашей организации. Если у тебя есть план резервного копирования данных и аварийного восстановления для вашей наиболее важной инфраструктуры и данных, то это поможет обеспечить бесперебойную работу вашей организации в любой критической ситуации.Переносимость и подотчетность медицинского страхования (HIPAA) и ее Правила конфиденциальности и безопасности играют жизненно важную роль в защите личных данных о здоровье пациентов. Министерство здравоохранения и социальных служб (HHS) регулирует соответствие требованиям HIPAA, а Управление по гражданским правам обеспечивает его соблюдение.
Что такое соответствие HIPPA?
Закон о переносимости и подотчетности в медицинском страховании 1996 года, именуемый HIPAA, представляет собой последовательность нормативных стандартов, которые планируют законное использование и раскрытие защищенной медицинской информации (PHI). Теперь PHI - это часть демографической информации (имя, адреса, финансовая информация, медицинские отчеты и номера социального страхования) юридического лица, обязанного HIPAA.
Любая информация, будь то медицинская карта, финансовый отчет или важные данные любой организации, базовым требованием для всех таких данных является надежное резервное копирование и решение для аварийного восстановления. Кроме того, если организация или медицинское учреждение соответствует требованиям HIPAA, не нужно беспокоиться о какой-либо важной информации. Давайте посмотрим, какие организации должны соответствовать требованиям HIPAA.
Какой тип организации должен соответствовать требованиям HIPAA?
Защищенные объекты:
Согласно правилам HIPAA, защищенная организация - это любая организация, которая собирает, создает или передает PHI в электронном виде. Например, медицинские организации являются покрываемыми организациями, которые включают поставщиков медицинских услуг, поставщиков медицинского страхования и информационные центры здравоохранения.
Бизнес Ассоциации:
Деловой партнер - это организация, которая сталкивается с PHI в любой форме во время своей работы, которая выполняется от имени или по поручению субъекта, и это регулируется правилами HIPAA.
Есть много примеров деловых партнеров, но те, на которых распространяются правила HIPAA. К ним относятся поставщики физических хранилищ, поставщики ИТ, облачного хранения провайдеры, фирмы по управлению практиками, сторонние консультанты, платформы EHR, факсимильные компании, биллинговые компании, компании по измельчению, услуги хостинга электронной почты, юристы, бухгалтеры и многие другие.
Требования для соответствия HIPAA
Давайте посмотрим на набор национальных стандартов, которые регламент HIPAA определяет для субъектов и деловых партнеров:
Самоаудит
Охватываемые организации и деловые партнеры должны проводить ежегодные аудиты своей организации для оценки технических, физических и административных пробелов в соответствии со стандартами конфиденциальности и безопасности HIPAA. Оценка рисков безопасности - это не просто требование соответствия; это только один из основных аудитов для организаций, обязанных HIPAA.
Реализация планов реабилитации
После выявления пробелов в соблюдении нормативных требований посредством самоаудита охваченные организации и бизнес-партнеры должны реализовать планы исправления, чтобы обратить вспять нарушения нормативных требований. Они должны задокументировать это исправление и указать календарные даты, к которым будут устранены пробелы.
Политики, процедуры, обучение персонала
Охваченные организации и бизнес-партнеры должны разработать политики и процедуры, соответствующие нормативным стандартам HIPAA, как указано в Правилах HIPAA. Им необходимо регулярно обновлять эти политики и процедуры. Кроме того, им необходимо ежегодно проводить обучение персонала, чтобы убедиться, что они правильно понимают все политики и процедуры.
Документация, соответствующая требованиям HIPAA
Организации, соблюдающие HIPAA, должны задокументировать все свои усилия, чтобы соответствовать требованиям HIPAA, поскольку во время расследования HIPAA с HHS OCR крайне важно пройти строгие аудиты HIPAA.
Управление бизнес-партнером
Застрахованные организации и бизнес-партнеры должны задокументировать всех поставщиков, с которыми они передают PHI, и подписать соглашения с бизнес-партнером (BAA), чтобы обеспечить безопасную обработку PHI и снизить ответственность. Им следует ежегодно пересматривать BAA, чтобы учитывать изменения в характере организационных отношений с поставщиками. Им необходимо выполнить BAA, прежде чем ЛЮБОЙ PHI будет передан.
Управление инцидентами
В соответствии с Правилом уведомления о нарушениях HIPAA, в случае утечки данных, организация или деловой партнер должны иметь процесс документирования нарушения и уведомления пациентов о том, что их данные были скомпрометированы.
Организации должны соблюдать вышеупомянутые правила безопасности HIPAA, чтобы гарантировать целостность, доступность и конфиденциальность всей получаемой, управляемой, создаваемой или передаваемой PHI. Согласно HIPAA резервное копирование является обязательным и важным средством защиты от таких рисков. В этом случае и учреждения, хранящие данные пользователей, и деловые партнеры должны соблюдать законодательные нормы. Например, если учреждения используют облачное хранилище, поставщики облачных услуг являются партнерами, и они также должны соответствовать требованиям HIPAA.
Практикующие врачи, подпадающие под действие Закона HIPAA, должны быть уверены в доступности и безопасности своих ИТ-систем, поскольку от этого зависит их предоставление критически важных услуг. Соответствие HIPAA основано на наборе требований, в том числе правила безопасности, правила уведомления о нарушениях и правила конфиденциальности. В случае несоблюдения требований HIPAA это может привести к тюремному заключению и, чаще, к штрафам в тысячи или даже миллионы долларов для застрахованного лица (CE), такого как центр обмена данными о состоянии здоровья или поставщик медицинских услуг. Разберем один из таких случаев:
В апреле 2017, Департамент здравоохранения и социальных служб (HHS) получил жалобу на Sentara Hospital, некоммерческую организацию, обслуживающую Вирджинию и Северную Каролину. Жалоба заключалась в том, что Sentara отправил счет человеку с защищенной медицинской информацией (PHI) другого пациента. После расследования, проведенного Управлением по гражданским правам в США, было обнаружено, что больница отправила по почте PHI 577 пациентов. Сентара был оштрафован на 2.175 миллиона долларов за нарушение Закона о нарушении закона HIPAA и правил конфиденциальности.
Поскольку технологии продолжают развиваться, конфиденциальность пациентов становится горячей темой в индустрии здравоохранения. Большая часть информации о пациентах, передаваемой в электронном виде, подвержена определенным рискам. Эти риски включают катастрофу, которая может привести к физическому повреждению компьютеров и серверов, на которых хранится информация о пациентах. Лучшее, что может сделать организация, - это оценить свою систему, а затем внедрить безопасное и надежное решение для резервного копирования и восстановления соответствовать стандартам HIPAA. Кроме того, застрахованные организации должны убедиться, что у них есть четко определенный план действий в чрезвычайных ситуациях, который обеспечивает сохранность данных пациента даже после первого Потеря данных. Вкратце, информационная безопасность - это обеспечение трех атрибутов информации или данных: конфиденциальности, целостности и доступности.
выводn
Организации находятся под большим микроскопом, чем когда-либо прежде. В связи с дополнительными угрозами для данных пациентов предприятиям необходимо выбирать правильные решения. Обязательно принимайте во внимание все эти факторы при выборе решения для резервного копирования и восстановления, так как это может существенно изменить правила игры, чтобы убедиться, что ваш бизнес соблюдает правила HIPPA.
