Estabelecida em 1996, a Health Insurance Portability And Accountability Act HIPAA tem como objetivo proteger a privacidade e a segurança de informações sensíveis de saúde.
Índice
No setor de saúde, talvez mais do que em qualquer outra indústria, o conformidade é absolutamente vital. A coleta e o processamento de informações de saúde protegidas PHI, incluindo dados pessoais e médicos, são necessários para oferecer aos pacientes opções de saúde otimizadas. No entanto, as consequências de uma violação de PHI podem ser devastadoras. Isso não apenas pode levar a danos reputacionais, perdas financeiras e responsabilidade legal, mas as violações também resultaram em danos a pacientes.
Regras de segurança de Compliance com HIPAA
A Regra de Segurança do HIPAA protege um subconjunto de informações cobertas pela Regra de Privacidade do HIPAA. Essencialmente, ela se concentra no que as organizações precisam fazer para proteger informações eletrônicas de saúde protegidas e (e-PHI).
A Regra de Segurança não dita quais medidas de segurança devem ser usadas, se forem eficazes. No entanto, ela exige três padrões de implementação, também conhecidos como salvaguardas
Administrativas: Uma análise de risco é necessária para determinar quais medidas de segurança são necessárias para a sua organização. Este deve ser um processo contínuo.
Físicas: Isso se refere à segurança dos escritórios onde o e PHI pode ser armazenado. As medidas de segurança devem incluir controles de acesso às instalações e segurança de estações de trabalho e dispositivos.
Técnicas: Medidas como firewalls, criptografia e backup de dados são usadas para manter o e PHI seguro e as salvaguardas devem consistir em controles de acesso, controles de auditoria, controles de integridade e segurança de transmissão.
Violações recentes de dados no setor de saúde
De acordo com o SonicWall Cyber Threat Report de 2022, o setor de saúde continuou a apresentar um grande aumento de malware em 2021, em 121 por cento. Embora o maior aumento nos ataques de malware em dispositivos IoT tenha ocorrido no setor de saúde, que registrou um crescimento de 71% em relação ao ano anterior.
Para esclarecer a relevância que o malware pode ter, é importante analisar algumas violações ocorridas nos últimos anos que poderiam ter sido evitadas com o cumprimento das regras e salvaguardas do HIPAA.
Rehoboth McKinley Christian Health Care Services RMCHCS
Em maio de 2021, mais de 205.000 pacientes do RMCHCS foram notificados sobre uma tentativa de extorsão de dados que forçou o hospital a interromper o funcionamento do seu sistema de registros eletrônicos de saúde (RES). O RMCHCS foi vítima de um ataque lançado pelo Conti, um grupo de hacking de ransomware que teve como alvo ativo o setor de saúde ao longo de 2020.
Posteriormente, foi determinado que os agentes da Conti extraíram dados, incluindo números de segurança social, passaportes e informações de saúde protegidas (PHI) dos pacientes, do sistema durante aproximadamente duas semanas, de 21 de janeiro a 5 de fevereiro. O RMCHCS informou que notificou as autoridades imediatamente, mas não começou a enviar notificações até o final de abril, o que é motivo de preocupação.
Como se tratou de um ataque de ransomware há uma clara falta de salvaguardas técnicas e de avaliações regulares de risco. Embora o RMCHCS tenha notificado os pacientes sobre a violação, a falta de tempestividade compromete ainda mais a segurança pessoal e a integridade do e PHI. Os pacientes deveriam ter sido notificados de forma tempestiva para que pudessem encerrar ou alterar seus prontuários, atualizar o portal on-line ou suas informações bancárias, ou solicitar um novo passaporte.
OneTouchpoint
Este fornecedor de correspondência e impressão de Hartland Wisconsin foi vítima de um ataque de ransomware em 28 de abril de 2022. Mais de 2.6 milhões de indivíduos em pelo menos 34 organizações foram impactados pela violação.
Foi descoberto que os servidores da OneTouchPoint haviam sido comprometidos apenas um dia antes, deixando dados sensíveis em risco. Seis semanas depois, a OneTouchPoint divulgou que os arquivos continham dados de clientes juntamente com informações sensíveis de funcionários atuais e antigos. Isso incluía nomes e endereços de clientes e funcionários, IDs de assinantes e de membros do setor de saúde, bem como diagnósticos e medicações de clientes. Isso levou muitos clientes da OneTouchPoint a oferecer serviços de monitoramento de crédito e proteção contra roubo de identidade a seus membros, por conta própria.
Pelo menos uma ação coletiva foi movida contra a OneTouchPoint em razão da violação de dados.
Como permanecer em Compliance com HIPAA
Como parte de um esforço maior para auxiliar o Compliance com HIPAA no campo da Cibersegurança, o OCR alinhou o HIPAA ao Framework do National Institute of Standards and Technology NIST. Como um dos maiores padrões da indústria a ser reconhecido, se você já está em Compliance com o NIST, torna-se consequentemente mais fácil estar em Compliance com o HIPAA.
Para garantir que padrões elevados e conscientização sejam mantidos, muitas empresas oferecem treinamentos e credenciais de Compliance com HIPAA. Existem muitas consultorias que oferecem treinamento, incluindo o OCR, que disponibiliza diferentes módulos de treinamento para acomodar a ampla gama de entidades que devem cumprir o HIPAA.
Compliance com HIPAA – práticas recomendadas
As seguintes práticas recomendadas podem ajudar você a alcançar Compliance
Entender as regras do HIPAA
A Regra de Privacidade do HIPAA determina como as PHI podem ser usadas e divulgadas no setor de saúde. Uma visão geral da regra fornece entendimento sobre os direitos dos pacientes, incluindo o direito de acessar seus registros médicos e solicitar correções.
A Regra de Segurança do HIPAA fornece as salvaguardas técnicas, físicas e administrativas necessárias para proteger PHI de clientes.
A Regra de Notificação de Violação do HIPAA exige que pacientes, a mídia e o Departamento de Saúde e Serviços Humanos dos EUA HHS sejam notificados se ocorrer uma violação de dados.
Realizar uma avaliação de risco
Isso envolve identificar todas as PHI que sua organização coleta, processa e armazena. Sua avaliação de risco também deve identificar as vulnerabilidades da sua organização que podem colocar PHI em risco. Isso inclui ameaças cibernéticas internas ou externas conhecidas, roubo ou perda de dispositivos físicos e a probabilidade de um ataque à sua organização com base no seu Cyber Risk Index.
Implementar políticas e procedimentos
Com base nos resultados da avaliação de risco, desenvolver e implementar políticas e procedimentos que tratem cada risco identificado. Isso inclui áreas como controle de acesso, backup e recuperação de dados, incident response, e treinamento de security awareness para funcionários. Revisar e atualizar regularmente essas políticas e procedimentos para garantir que permaneçam relevantes.
Treinar funcionários
Garantir que seus funcionários estejam atualizados quanto às políticas e procedimentos da sua organização. Todos os funcionários que lidam com PHI devem estar cientes de como proteger PHI e reconhecer as consequências da não conformidade. Treinamentos regulares de security awareness são necessários para garantir que os funcionários permaneçam atualizados sobre as ameaças mais recentes e estejam familiarizados com as melhores práticas para proteger PHI.
Monitorar e auditar
Revisar com frequência as medidas de segurança da sua organização, realizar testes de penetração, e cumprir avaliações de vulnerabilidades. Isso manterá você e suas equipes atualizados sobre riscos ou ameaças emergentes às PHI e sobre como lidar adequadamente com uma violação. Auditorias regulares são fundamentais para permanecer em conformidade e preparado.
Scott Sargeant, Vice-Presidente de Gerenciamento de Produto, é um experiente líder em tecnologia com mais de 25 anos de experiência em fornecer soluções corporativas em todo o cenário de Cibersegurança e TI.