הטמעת מסגרת תאימות חזקה של HIPAA היא דרישה לכל הישויות והשותפים העסקיים, אך שיטות עבודה רבות לא מבינות שזו גם האסטרטגיה הטובה ביותר שלהם כדי למנוע הפרה של נהלי הגנה על נתונים מידע! תקוותנו היא שתיישם מסגרת אבטחת מידע שתפחית את הסיכויים שלך אי פעם לחוות פרצת נתונים.

כשמדובר בפרצות נתונים של HIPAA לאחר פריצה / דיפת נתונים רפואיים, רופא קיבל מכתב מה-OCR (המשרד לזכויות האזרח האמריקאי) שכותרתו "בקשת נתונים". הם מאפשרים להשתמש במידע במכתב כדי לעזור לפרקטיקות אחרות למנוע סבל הן מהנטל הכספי והן מהנזק למוניטין שלהם הנובע מפריצת מידע בתחום הרפואי.

האם התרגול שלך יוכל למסור את התיעוד הזה אם חווית הפרה? שימו לב איך כמעט כל בקשה מתחילה במילה הוכחה, הוכחה או העתקה! כמעט בכל ניתוח סיכונים שערכנו אי פעם, אמרו לנו ש"אנחנו עושים את זה, אבל אין לי מסמך". המציאות היא שאם אתה לא יכול לשלוח להם "הוכחה, הוכחה או עותק", אתה לא מציית להנחיות!

15 לקחים מפרצות נתוני מידע

להלן הרשימה המקיפה של התיעוד שה-OCR ביקש. כמו כן, שים לב כי יש להגיש את התגובה ל-OCR תוך 30 יום מיום קבלת המכתב.

1. תגובה המפרטת את הטענה על מה שקרה.
2. הוכחה לתגובה נאותה לפרצת הנתונים, והוכחת הודעה למטופלים, מדיה או OCR שנפגעו.
3. עדויות על מדיניות ונהלים על השימושים והגילויים של חברי כוח העבודה ב-PHI.
4. הוכחות לאמצעי הגנה אדמיניסטרטיביים, טכניים ופיזיים מתאימים.
5. עותק של ניתוח הסיכונים שבוצע עבור או על ידי ה-CE לפני האירוע, וכל מה שנערך לאחר האירוע.
6. הוכחות לאמצעי האבטחה שיושמו להפחתת סיכונים ופגיעות שזוהו באמצעות ניתוח הסיכונים של ה-CE.
7. עדויות למדיניות ונהלים לגבי דיווח על אירועי אבטחה, כולל עותק של דוח תקריות שנוצר בתגובה לאירוע ופעולות מתקנות שננקטו.
8. עדות להכשרת מודעות אבטחה לכל העובדים.
9. עדויות על מדיניות ונהלים להגנה על המתקן והציוד שבו מפני גישה פיזית בלתי מורשית, שיבוש וגניבה.
10. עדויות על מדיניות ונהלים המסדירים את הקבלה וההסרה של חומרה ומדיה אלקטרונית המכילים ePHI אל תוך מתקן ומחוצה לו, והעברת פריטים אלו בתוך המתקן.
11. עותקים של מנגנונים להצפנה/פענוח של מערכות המכילות ePHI.
12. עותקים של מדיניות ונהלים של התראות על הפרה.
13. מדיניות ונהלים הקשורים לחשיפה ושמירה על PHHI של מטופל.
14. המבנה הארגוני של העסק, לרבות מי הבעלים והמפעיל של העסק, היכן הוא רשום לעשות עסקים, ולזהות את האפוטרופוס של הרשומות עם פרטי התקשרות.
15. כל מידע נוסף שיסייע ל-OCR בחקירת התלונה.

שירותי אבטחת מידע ב cybersafe:

• מבדקי חדירות Penetration test
• שירותי Siem Soc
• שירותי Ciso as a service
• יישום תקנות הגנת הפרטיות GDPR
• עמידה בתקן ISO 27001
• יישום רגולציית HIPAA

הטמעת תוכנית ניהול אבטחה עבור הפרקטיקה הרפואית שלך היא קריטית בהגנה על ePHI ומניעת הפרת נתונים. הצעד הראשון הוא לערוך ניתוח סיכונים HIPAA, שיספק לך הבנה ברורה של הסביבה שלך, וכל סיכונים ל-ePHI שיש לצמצם. ההנחה היא שאם תטמיעו את מסגרת האבטחה הנדרשת לתאימות HIPAA, תפחיתו משמעותית את הסיכויים שלכם לחוות פרצת נתונים.

אם יש לך חששות לגבי תאימות HIPAA, או שאתה מחפש חברת הגנת סייבר המתמחה ב-HealthCare ומבינה את תאימות HIPAA, התקשר אל המומחים של cybersafe