冬天
2023
HIPAA的挑战:从最近的数据泄露中吸取的教训
Lesley Berkeyheiser著
郑重声明
第35卷第1页
如何利用这些经验来避免或减少内部威胁
今天的新闻似乎充斥着网络安全攻击的故事。我们的共同重点是使用技术来强化系统,并准备好在我们身上发生时做出反应。幸运的是,我们的当局提供了最新和实用的信息,以帮助医疗保健行业首先预防,同时也管理这类负面事件。民权办公室(OCR)和卫生与公众服务部(HHS) 405(d)倡议是两个提供大量信息的网站。在OCR网站上快速搜索一下,就会看到正在进行的违规报告——其中许多都是针对特定提供商的领域OCR和HHS都提供了实用的通讯和材料,值得审查,以确保您的组织关注当前的方法,为负面事件做好准备
尽管网络安全攻击最近受到媒体的频繁关注,但我们仍然看到,员工“内部威胁”仍然是困扰医疗保健行业的一个可能问题。提供者领域仍然受到特别的影响。这方面最近的一个例子将贯穿本文——在医疗服务提供商办公室工作的一名医疗助理在工作时通过手机窃取数据,并使用手机开通信用卡,然后用于购买价值超过30,000美元的商品
诚然,作为雇主的组织必须制定政策,教育、培训和监督员工,但他们永远不可能对员工的个人行为完全负责。但是,有一些关键步骤与原始HIPAA安全规则的管理、物理和技术保障措施一致,可以遵循并继续应用于今天的医疗保健行业。2003年HIPAA安全规则联邦公报文件(www.hhs.gov网站/违约/文件/ ocr /隐私/ hipaa /行政/ securityrule / securityrulepdf.pdf)提供了一个基本和实用的参考,即使在今天。
要确定最新的遵从性实践,可以从包含在原始Security beplay最新备用网站Rule中的实现规范开始,并将其作为基础,并用当前的“行业最佳实践”对其进行扩展。这将大大减少或避免内部威胁,如前面描述的。识别当前“最佳实践”的一种方法是遵循美国国家标准与技术研究所(NIST) 800-66特别出版物文件获得最新的医疗保健数据交换行业最佳实践的另一个选择是获得电子医疗保健网络认证委员会(Electronic Healthcare Network accreditation Commission)等组织的认证或获得HITRUST认证。这些独立的第三方认证/认证程序允许组织向其贸易伙伴和利益相关者“证明”它符合一定程度的隐私和安全标准测量。在认证/认证过程中,发现了有助于提高合规标准的最佳实践。beplay最新备用网站这样的程序是动态的,因此一旦获得证书/批准状态,组织可以依靠认证机构根据不断变化的法规和最佳实践更新要求。
如何辨别最佳实践
原始的HIPAA安全规则和当前的NIST出版物可以一起使用,以确定当前的实践。
以下部分将详细介绍HIPAA安全规则中列出的一些类别,这些类别适用于前面提到的内部威胁场景。以下列出了三个重要领域:进行背景调查,培训和报告,以及设备监控和管理。
进行背景调查
常见的行业实践是,在雇佣员工(特别是那些可以访问敏感信息的员工,例如HIPAA定义的受保护健康信息(PHI)和其他联邦和州法律定义的个人身份信息)之前进行筛选(人员参考和背景调查)。根据组织处理的数据水平和正在考虑的员工的具体工作角色,应该进行进一步的调查,包括刑事甚至信用检查。
有关最佳实践,请参阅HIPAA安全规则CFR 164.308劳动力安全-劳动力许可程序。
假设在本文开头提到的情况下,医疗保健提供者雇主在雇用之前(并提供对敏感信息的访问权)对所有员工进行适当的背景审查的政策和程序都有文档记录,那么另一个改进可能是提高背景检查的级别,包括犯罪和可能的信用检查——这在填补处理PHI的基于工作的角色时是合适的。一篇关于该案件的文章指出,这名工人有犯罪记录,包括之前因欺骗盗窃和简单袭击而认罪。将对所有处理PHI的员工进行犯罪背景调查作为一项政策,可能会防止这种情况的发生。
培训和报告
对所有员工进行初步和持续的培训,了解组织的书面政策和程序以及技术使用的期望,这不仅是必要的,而且还有助于持续遵守隐私、安全和网络安全要求。beplay最新备用网站人员和他们的行为是组织拥有的最有价值的资产,但是员工也可能是组织遵从性的最严重威胁之一。beplay最新备用网站对于组织保护敏感信息的能力来说,设置和获得与预期策略、过程、系统和数据处理的持续一致性绝对是核心。在HIPAA安全规则CFR 164.308安全意识与培训和NIST 800-66特别出版物“制定和批准培训战略和计划”中可以找到最佳实践和示例问题的优秀建议。
目前的做法要求医疗机构至少每年在招聘时对所有隐私、安全和网络安全/违规政策和程序进行正式培训。让员工提供对培训的认可以及可接受的使用协议(关键点列表作为详细培训课程的提醒)是确保所有员工意识到自己责任的一种方法。
正在进行的培训,要求承认预期的规则和行为,以及意识到闭路电视和/或其他工人可能会看到这种活动,可能会阻止该工人犯罪;它还可能提高员工的意识,使他们能够更快地发现并报告行动。再一次,一个组织的员工是它最有价值的资产。如果政策有清晰的文件记录,并且所有员工都接受过报告任何可疑问题的培训,那么员工报告潜在事件可能是发现问题出错的最快速方法。也许在这个案子的办公室里有人讨论过之前怀疑这是谋杀,并报告了这个问题。
设备监控与管理
HIPAA安全遵从性取决于员工beplay最新备用网站的行为(他们遵循组织设置的策略的能力)以及配置和监控技术以执行策略设置的这些行为的方式。在讨论的案例中,尚不清楚该公司是否允许员工使用个人设备/手机/平板电脑处理业务/数据——也就是所谓的“自带设备”(BYOD)。无论组织是否允许BYOD的使用,都应该有明确的政策和程序来定义员工的期望,并且技术控制应该强制执行期望的行为。有许多技术选项可用于促进BYOD使用的集中技术管理。然而,最有可能的是,这位员工不应该在工作时使用她的个人设备。如果是这样,她的行为可以使用工作站和其他物理保护措施(如闭路电视和/或移动设备监控)进行监控。其他工作人员应该接受过适当和不适当使用手机的培训,也应该识别和报告这个问题。
最佳实践见于HIPAA安全规则CFR 164.310物理防护-设施访问控制-设施安全计划和工作站使用;HIPAA安全规则-实施规范标题:审计控制CFR 164.312技术保障;以及NIST 800-66特别出版物:对现有物理安全漏洞进行分析。
技术可用于执行和支持对策略的监视。如果允许自带设备,就可以在发放的手机/移动设备上进行监控或控制。如果不允许自带设备,一个强有力的政策和程序,并提醒所有员工对滥用后果的制裁可能会减少或避免这种情况。如果在工作的整个物理环境中都安装了闭路电视,那么不当使用手机拍照的行为可能会更早被发现。也许它就在那里,被用作支持执法的证据。
几十年后,HIPAA安全规则的基础包含有价值的信息。当前的行业最佳实践提供了关于如何操作安全规则的实现规范的具体信息。以上信息显示了如何利用公共材料来确定遵从性需求和最佳实践。beplay最新备用网站把你从别人的错误和别人的最佳实践中吸取的教训应用到你的组织中。
- Lesley Berkeyheiser是电子医疗保健网络认证委员会的高级审查员和HITRUST从业者,在整个医疗保健行业实施隐私和安全法规以及其他相关医疗IT要求方面拥有数十年的经验。
参考文献
1.违规报告门户。民权办公室网站。https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
2.2022年10月OCR网络安全通讯。健康与公众服务部网站。https://www.hhs.gov/hipaa/for-professionals/security/guidance/cybersecurity-newsletter-october-2022/index.html。更新于2022年10月25日。
3.为什么要关心网络安全?健康与公众服务部网站。https://405d.hhs.gov/whycare
4.检察长夏皮罗起诉一名医疗助理窃取病人信息以获取经济利益。宾夕法尼亚州总检察长办公室网站。https://www.attorneygeneral.gov/taking-action/ag-shapiro-files-charges-against-medical-assistant-for-stealing-patient-information-for-financial-gain/。出版于2022年11月10日。
5.栗色的农协。实施《健康保险流通与责任法案》(HIPAA)安全规则。https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf。2022年7月出版。
