Indice dei contenuti

Cosa sono le regole di sicurezza HIPAA?

Indice dei contenuti

La Security Rule dell'Health Insurance Portability and Accounting Act (HIPAA) è stata promulgata nel 2005, nove anni dopo l'approvazione dell'HIPAA da parte del Congresso degli Stati Uniti. Secondo il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, la Security Rule stabilisce gli standard nazionali per proteggere le informazioni sanitarie personali elettroniche degli individui create, ricevute, utilizzate o conservate da un'entità coperta.

La Security Rule è un sottoinsieme della HIPAA Privacy Rule, che fornisce gli standard per la sicurezza delle informazioni sanitarie protette (PHI).

 

Perché la regola di sicurezza HIPAA è importante?

Prima della promulgazione dell'HIPAA, non esistevano standard, requisiti o processi per la protezione delle informazioni sanitarie dei pazienti. Con la crescente digitalizzazione dell'erogazione delle cure, i fornitori hanno dovuto acquisire, archiviare, condividere e proteggere volumi di dati sanitari elettronici in rapida crescita nei loro sistemi.

La Security Rule è stata un passo avanti fondamentale per la protezione delle informazioni digitali, che è essenziale per garantire la riservatezza e stabilire la fiducia tra pazienti e fornitori.

Video 1: Cybersecurity per il mondo in evoluzione dell'assistenza sanitaria

Video 1: Cybersecurity per il mondo in evoluzione dell'assistenza sanitaria

 

Panoramica della norma sulla sicurezza HIPAA

La Security Rule stabilisce gli standard per la protezione delle PHI e delle informazioni di identificazione personale (PII) dei pazienti. Crea inoltre un quadro di conformità normativa per la protezione delle PII e regole per la notifica delle persone interessate in caso di violazione.

Scopo e ambito

Secondo l'HHS, la Security Rule è stata concepita per garantire che le entità coperte stabiliscano le salvaguardie necessarie per proteggere i dati sanitari dei pazienti e le PII. Questo è in risposta alla crescita esponenziale di PHI tra entità coperte e non coperte.

L'ambito di applicazione della Regola di sicurezza è piuttosto ampio e riguarda i piani sanitari, i centri di clearing sanitario e qualsiasi fornitore di servizi sanitari che trasmette informazioni sanitarie.

4 Obiettivi principali

1. Garantire la riservatezza delle PHI elettroniche (ePHI).

Con l'aumento dei dati dei pazienti disponibili in formato digitale, la protezione delle informazioni elettroniche è un requisito assoluto.

2. Identificare e proteggere dalle minacce ragionevolmente previste.

Anche se non tutte le minacce informatiche possono essere identificate in anticipo, le entità coperte hanno la responsabilità di proteggere le informazioni dei pazienti contro le minacce già in corso.

3. Proteggere da usi o divulgazioni non consentiti.

Questo aspetto è importante per i fornitori, perché riguarda gli strumenti tecnologici, le persone e i processi.

4. Assicurare la conformità della forza lavoro dell'entità coperta.

Tutti i membri delle entità coperte devono adottare le adeguate misure di salvaguardia per garantire la privacy e la sicurezza dei dati dei pazienti. Ciò significa che le entità coperte devono educare i dipendenti sui requisiti della Security Rule e formarli per garantire la conformità.

 

Requisiti della norma sulla sicurezza HIPAA

La Regola di sicurezza richiede adeguate salvaguardie amministrative, fisiche e tecniche per garantire la riservatezza, l'integrità e la sicurezza delle informazioni sanitarie protette elettroniche (PHI).

1. Salvaguardie amministrative

Le salvaguardie amministrative hanno lo scopo di individuare e determinare i rischi potenziali per i dati personali, e di mettere in atto misure che riducano i rischi e le vulnerabilità della sicurezza. Inoltre, impongono che un funzionario della sicurezza sia tenuto a sviluppare e implementare le regole e le procedure di sicurezza dell'entità coperta. I fornitori sono inoltre tenuti a valutare regolarmente l'efficacia delle loro linee guida sulla sicurezza nel soddisfare le linee guida della HIPAA Security Rule.

2. Protezioni fisiche

Le salvaguardie fisiche riguardano questioni come la limitazione dell'accesso fisico non autorizzato alle strutture, pur consentendo l'accesso autorizzato. Le entità coperte sono inoltre tenute a distribuire politiche e procedure per la corretta gestione dei dati archiviati elettronicamente e dei supporti elettronici contenenti PII e PHI.

3. Salvaguardie tecniche

Le salvaguardie tecniche sono progettate per mettere in atto le giuste politiche tecniche che assicurano che solo le persone debitamente autorizzate possano accedere ai registri digitali e ad altre informazioni elettroniche. Ciò riguarda non solo l'hardware, il software e i servizi necessari per acquisire, archiviare e gestire le cartelle cliniche e sanitarie, ma anche le credenziali di sicurezza e le procedure di autenticazione che regolano l'accesso.

Includono anche la crittografia e altre tecnologie progettate per salvaguardare l'accesso improprio ai PHI e alle ePHI su una rete digitale.

 

La norma sulla notifica delle violazioni HIPAA

L'HHS definisce una violazione dei dati come un uso o una divulgazione non consentiti ai sensi della Privacy Rule che compromettono la sicurezza o la privacy delle informazioni personali. La prevenzione delle violazioni è una priorità indiscussa per le organizzazioni di assistenza, per una vasta gamma di motivi. Tuttavia, nel caso in cui si verifichi una violazione, la HIPAA Breach Notification Rule prevede che le entità coperte da HIPAA e i loro associati d'affari forniscano una notifica in seguito a una violazione di informazioni personali non protette.

In caso di violazione di PHI non protetti, le entità coperte devono notificare la violazione alle persone interessate. Tale notifica avviene tipicamente tramite l'invio di posta fisica oppure, se il paziente ha scelto di ricevere la corrispondenza dall'entità coperta tramite mezzi elettronici, l'avviso può essere effettuato tramite e-mail.

Le entità coperte devono anche avvertire il Segretario HHS della violazione e, in alcuni casi, possono essere tenute a informare i media. Inoltre, i terzi associati devono avvertire allo stesso modo le persone colpite se la violazione si verifica presso o da parte dell'associato d'affari.

 

Conformità e applicazione della normativa HIPAA

L'Ufficio per i diritti civili dell'HHS supervisiona la conformità e l'applicazione dell'HIPAA per la maggior parte delle entità coperte dall'HIPAA. Poiché è considerato un'agenzia di applicazione della legge, la maggior parte delle attività intraprese dall'Ufficio per i Diritti Civili sono private e in genere non vengono pubblicizzate.

Le disposizioni relative alla conformità fanno parte della HIPAA Enforcement Rule, che riguarda le indagini, le potenziali sanzioni pecuniarie civili per le violazioni e le procedure per le audizioni.

 

Migliori pratiche per la conformità HIPAA

Le entità coperte devono adottare pratiche aziendali, tecnologiche e operative intelligenti per assicurarsi di essere sempre pienamente conformi all'HIPAA. Questi dovrebbero riguardare fasi come la valutazione del rischio, il monitoraggio delle attività di sistema potenzialmente insolite, lo sviluppo di ruoli e responsabilità chiari e le procedure di test in caso di violazione dei dati ePHI.

Naturalmente, mettere in atto gli strumenti tecnologici, le applicazioni e i servizi giusti è fondamentale per costruire un quadro di conformità HIPAA adeguato.

HHS fornisce anche strumenti preziosi per aiutare le entità coperte a comprendere le migliori pratiche per la conformità HIPAA. L'Ufficio per i Diritti Civili ha prodotto un video di presentazione per le entità coperte dall'HIPAA e i partner commerciali sulle "pratiche di sicurezza riconosciute". Gli argomenti includono:

  • L'Emendamento HITECH del 2021 relativo alle pratiche di sicurezza riconosciute
  • Come le entità regolamentate possono dimostrare che sono in atto pratiche di sicurezza riconosciute
  • In che modo l'OCR sta richiedendo prove delle pratiche di sicurezza riconosciute
  • Risorse per informazioni sulle pratiche di sicurezza riconosciute
  • Le risposte dell'OCR alle domande sulle pratiche di sicurezza riconosciute
Presentazione video delle pratiche di sicurezza riconosciute dall'OCR

Video 2: Presentazione video delle pratiche di sicurezza riconosciute dall'OCR

La formazione interna con i dipendenti - operatori, personale medico, IT, cybersecurity e tutti i dipendenti della linea di business - dovrebbe far parte di un regime regolare per garantire che l'intera organizzazione compia i passi giusti per proteggere le ePHI e le PII.

 

Tendenze potenziali nella norma di sicurezza HIPAA

Da quando è stata promulgata, l'HIPAA è stata una legislazione dinamica, regolarmente sottoposta ad aggiornamenti ed espansioni per riflettere i cambiamenti del settore sanitario e il suo crescente utilizzo della tecnologia digitale. Alcune delle aree chiave che i responsabili decisionali delle entità coperte devono comprendere e tenere in considerazione sono:

1. Misure di sicurezza informatica rafforzate

A causa del panorama delle minacce in continua evoluzione, le organizzazioni sanitarie devono mettere in atto i budget, i processi, le competenze e gli strumenti necessari per difendere l'organizzazione dalle minacce che emergono rapidamente.

2. Tecnologie emergenti

I firewall di nuova generazione, gli strumenti anti-ransomware, i servizi di intelligence sulle minacce, la sicurezza del cloud, la gestione delle identità, il rilevamento e la risposta gestiti, la sicurezza degli endpoint e la sicurezza dell'Internet delle cose mediche (IoMT) sono elementi essenziali di un quadro tecnologico di cybersecurity più ampio.

3. Privacy dei dati e consenso migliorati

Le organizzazioni sanitarie sono sempre più chiamate a conformarsi a normative più severe in materia di privacy dei dati e di consenso, come il Regolamento generale sulla protezione dei dati (GDPR) nell'UE e le normative simili attualmente in vigore negli Stati Uniti.

4. Gestione dei fornitori di terze parti

Anche gli associati d'affari - persone o entità che svolgono funzioni che utilizzano o divulgano PHI per conto di un'entità coperta - devono rispettare la Regola di sicurezza. I fornitori devono monitorare regolarmente e di routine il modo in cui i soci d'affari e le altre terze parti interagiscono con i PHI e le PII, e devono verificare che seguano le linee guida appropriate per la gestione e la protezione di tali dati.

5. Maggiore collaborazione e condivisione delle informazioni.

Così come le normative HIPAA in generale, e la Security Rule in particolare, sono in continua evoluzione, lo sono anche i passi necessari per garantire la conformità e la riservatezza dei dati dei pazienti.

Il drammatico aumento del ricorso alla fornitura di assistenza sanitaria specializzata significa che le informazioni sui pazienti vengono condivise con maggiore frequenza e con una gamma più ampia di sistemi. Questo aumenta il potenziale di violazione e di problemi normativi, spingendo le organizzazioni a trovare più modi di collaborare per proteggere i dati dei pazienti, soprattutto nei processi interconnessi di organizzazione di assistenza sanitaria.

La natura diversificata della continuità dell'assistenza - ospedali, strutture per acuti, cure urgenti, studi medici, cure ambulatoriali e telemedicina - significa che questa tendenza verso una maggiore collaborazione tra i fornitori è particolarmente critica per la missione.

Scopra come Palo Alto Networks è il leader della cybersecurity per gli ospedali e i sistemi sanitari di tutto il mondo. Visiti https://www.paloaltonetworks.com/industry/healthcare.

 

FAQ sulle regole di sicurezza HIPAA

Gli attacchi informatici alle organizzazioni sanitarie minacciano di interrompere le operazioni e di avere un impatto sulla privacy dei pazienti. La HIPAA Security Rule assicura che ogni ospedale e sistema sanitario disponga di un solido ambiente di cybersecurity che impedisca la compromissione di informazioni riservate.
La HIPAA Security Rule consente alle organizzazioni di scegliere i propri fornitori e le proprie soluzioni di cybersecurity, quindi ogni approccio sarà diverso. Tuttavia, suggeriamo un approccio end-to-end che protegga il suo intero ambiente, come il consolidamento della sicurezza informatica, che copre tutte le sue basi, comprese reti, cloud, endpoint, dispositivi e utenti.
La cybersecurity è assolutamente essenziale per la conformità HIPAA. Ma soprattutto, un approccio solido alla cybersecurity assicura che non si verifichino violazioni e interruzioni, e che le organizzazioni non debbano mai notificare una violazione alle parti interessate o all'HHS.
Contenuti correlati
Che cos'è la cybersicurezza sanitaria?
Il panorama delle minacce sta cambiando e l'assistenza sanitaria è particolarmente vulnerabile. Ecco tutto quello che deve sapere sulla cybersicurezza nell'assistenza sanitaria.
Cybersicurezza sanitaria: 3 tendenze da osservare nel 2024
Dall'assistenza remota ai dispositivi connessi, queste tendenze della cybersecurity stanno dando forma alla trasformazione digitale nell'assistenza sanitaria.
3 priorità per la cybersicurezza sanitaria nel 2024
I CISO del settore sanitario hanno l'opportunità di trasformare la loro cybersecurity e di abilitare la resilienza informatica nel 2024. Ecco come fare.
Trasformazione digitale sicura nell'assistenza sanitaria
Il settore sanitario si sta evolvendo, così come gli attacchi informatici. Proteggete i dati dei pazienti e state al passo con le minacce.
Avanti What Is Data Privacy Compliance?

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce