Suggerimenti per garantire la conformità HIPAA

Il Health Insurance Portability and Accountability Act (HIPAA) è stato promulgato nel 1996 con l’intento di proteggere le informazioni sensibili dei pazienti, definite nel documento come informazioni personali identificabili (PII). Questo pezzo essenziale di legislazione si applica a tutte le organizzazioni sanitarie e a qualsiasi partner commerciale che gestisca dati sensibili a causa della propria relazione con l’industria sanitaria.

Poiché la tecnologia utilizzata per trasmettere e gestire le PII è cambiata, anche l’HIPAA è cambiato. L’aggiornamento principale più recente è avvenuto nel 2013. Chiamato Final Omnibus Rule, l’aggiornamento ha incluso modifiche chiave sia alla Security Rule che alla Breach Notification Rule, alterando la formulazione in modo che entrambe ora coinvolgano l’inclusione dei partner commerciali nei piani di conformità.

A seguito del Final Omnibus Rule, i fornitori di assistenza sanitaria sono ora responsabili di garantire che le PII siano protette lungo l’intera catena informativa, il che significa esaminare attentamente tutti, dagli sviluppatori di app mobili ai fornitori di servizi di hosting cloud. Continua a leggere per trovare alcuni suggerimenti utili su come garantire la conformità con l’HIPAA nella sua forma più recente.

1. Crea relazioni efficaci con i partner commerciali

Poiché tutti i fornitori, i fornitori di servizi e altri partner commerciali di un fornitore di assistenza sanitaria devono conformarsi alle normative HIPAA, è importante sviluppare relazioni efficaci con aziende rispettabili. Inizia trovando modi efficaci per trasmettere informazioni in modo sicuro online, come implementare una soluzione di fax elettronico. Poi, passa a garantire che i fornitori di archiviazione dei dati e gli sviluppatori di app siano conformi.

Non limitarti a prendere per buona la parola di un’azienda che segue le regole e le normative HIPAA. Ottieni documentazione che dimostri la conformità di ciascun partner commerciale e obblighi l’azienda a seguire procedure chiave di formazione e audit. La Privacy Rule richiede ai fornitori di assistenza sanitaria di ottenere garanzie soddisfacenti dai propri partner commerciali per iscritto sotto forma di contratto o altro accordo formale tra le due entità.

2. Sviluppa e mantieni una politica di sicurezza completa

Ogni organizzazione sanitaria dovrebbe avere in atto una politica di sicurezza dei dati completa che delinei come le PII vengono accessibili, archiviate e trasmesse. La politica dovrebbe anche indicare come devono essere eseguiti gli audit interni e che tipo di formazione riceveranno i dipendenti e i fornitori terzi in materia di conformità HIPAA.

Poiché i requisiti HIPAA sono complessi, molti fornitori di assistenza sanitaria faticano a determinare cosa includere nelle loro politiche di sicurezza dei dati. Come regola generale, includi qualsiasi informazione che riguardi le PII. La politica di sicurezza dei dati dovrebbe essere aggiornata secondo necessità e revisionata regolarmente. Man mano che vengono aggiornate, le modifiche dovrebbero essere comunicate chiaramente ai dipendenti e ai partner commerciali in modo che sia facile metterle in pratica.

3. Avere un responsabile della sicurezza dei dati dedicato

Data la complessità delle regole e delle normative HIPAA, non è ragionevole aspettarsi che i membri dello staff che non hanno ricevuto una formazione specifica in materia di sicurezza dei dati sviluppino, implementino e garantiscano la conformità con la politica di sicurezza dei dati dell’azienda. Le organizzazioni sanitarie più grandi spesso mantengono team di esperti di sicurezza dei dati dedicati. Anche se questo potrebbe non essere possibile per le aziende più piccole, è importante avere un Responsabile della Sicurezza HIPAA designato perché è richiesto dalla Security Rule.

Il Responsabile della Sicurezza HIPAA o il team dovrebbe essere incaricato di:

• Stabilire e far rispettare le misure di sicurezza per garantire la conformità con la Security Rule.
• Affrontare eventuali problemi che sorgono riguardo ai controlli di accesso, al recupero di emergenza, alla continuità aziendale o alla risposta agli incidenti.
• Condurre valutazioni del rischio interne e facilitare audit di terzi di fornitori e partner commerciali.
• Indagare sulle violazioni dei dati e implementare misure per la mitigazione futura.

Integrare sia la conformità HIPAA che la sicurezza IT nelle strategie aziendali più ampie.

4. Eseguire valutazioni del rischio regolari

I Responsabili della Sicurezza HIPAA sono responsabili di condurre valutazioni del rischio regolari e implementare misure correttive, ma i dipendenti e i partner commerciali dell’organizzazione devono collaborare con il SO fornendo informazioni accurate. Eseguire e documentare valutazioni del rischio di routine aiuta le organizzazioni a prepararsi e rispondere alle richieste di audit HIPAA casuali in modo più efficace.

Quando un’organizzazione viene selezionata per un audit casuale, il team di sicurezza dovrebbe prepararsi in anticipo eseguendo un audit interno completo. L’Office of Civil Rights (OCR) offre tutte le checklist e gli strumenti di valutazione del rischio necessari per farlo. Molte organizzazioni eseguono audit interni di routine su base trimestrale per facilitare l’identificazione di potenziali problemi.

Il miglior punto di partenza è una revisione dei documenti relativi alla conformità e delle sessioni di formazione dei dipendenti, ma non limitarti a valutare come appaiono le politiche HIPAA dell’azienda sulla carta. Il Responsabile della Sicurezza dovrebbe anche eseguire ispezioni in diverse aree della struttura sanitaria per cercare informazioni visibili sui pazienti su schermi di computer o scrivanie.

5. Stabilire protocolli di formazione espliciti

Sia il personale di un fornitore di assistenza sanitaria che i suoi partner commerciali dovrebbero essere tenuti a rivedere le politiche di privacy e protezione dei dati dell’organizzazione durante le sessioni di formazione relative all’HIPAA. Stabilire protocolli espliciti è sempre importante.

Sia la Privacy Rule che la Security Rule offrono suggerimenti riguardo a quanto spesso queste sessioni di formazione HIPAA dovrebbero essere richieste senza fornire alcun termine definitivo. I nuovi dipendenti devono ricevere formazione entro un “termine ragionevole” e corsi di aggiornamento aggiuntivi devono essere implementati quando la struttura apporta modifiche funzionali o materiali alle proprie politiche e procedure relative all’HIPAA.

I protocolli di formazione dovrebbero variare in base al ruolo dei dipendenti. I seminari di formazione IT di solito includono più informazioni su come implementare misure di sicurezza efficaci quando si archiviano o si trasmettono dati digitali, ad esempio, mentre le sessioni progettate per il personale medico potrebbero concentrarsi di più sulle azioni personali che devono essere intraprese per garantire la conformità. Ricorda che proteggere le PII da minacce in persona è altrettanto essenziale quanto garantire una sicurezza adeguata dei dati quando le informazioni protette dei pazienti vengono trasmesse in forma digitale.

Inizia a fare cambiamenti

Le organizzazioni sanitarie non dovrebbero aspettare di affrontare un audit HIPAA o, peggio ancora, multe per non conformità, per iniziare a implementare cambiamenti positivi. Inizia assumendo un Responsabile della Sicurezza HIPAA dedicato con tutta la formazione necessaria per elaborare politiche specifiche, scegliendo partner commerciali rispettabili e implementando misure di sicurezza contro violazioni dei dati e minacce interne. Da lì, garantire la conformità HIPAA è in gran parte una questione di mantenere tutto, dalle politiche aziendali ai protocolli di sicurezza dei dati, aggiornati e documentare tutto ciò che riguarda l’archiviazione o la trasmissione delle PII per proteggere l’organizzazione in caso di audit.