Ta säkerhet i dina egna händer och få en HIPAA-riskbedömning

Ta säkerhet i dina egna händer och få en HIPAA-riskbedömning

30 Januar 2017 0 Von admin

Ta säkerhet i dina egna händer och få en HIPAA-riskbedömning

Om din organisation hanterar skyddad hälsoinformation, eller PHI, kräver Department of Health and Human Services att du gör en riskanalys som det första steget mot att genomföra skyddsåtgärder som anges i HIPAAs säkerhetsregel och slutligen uppnå HIPAA-efterlevnad.

Detta inkluderar alla HIPAA-värdleverantörer.

Men vad gör a riskanalys innebär exakt? Och vad måste absolut ingå i din rapport?

Guiden för säkerhetsstandarder för hälsa och mänskliga tjänster beskriver nio obligatoriska komponenter i en riskanalys.

Genomföra en grundlig HIPAA riskbedömning är dock extremt svårt att göra själv. Du kanske vill ha ett avtal med en HIPAA-revisor för att hjälpa dig.

De flesta vet helt enkelt inte var de ska leta, eller så går de förbi saker eftersom de inte förstår datasäkerhet.

Om riskanalysen är grundläggande för din säkerhet vill du inte förbise nyckelelement i analysen.

Det finns nio komponenter som vårdorganisationer och hälsorelaterade organisationer som lagrar eller överför elektronisk skyddad hälsoinformation måste inkludera i sitt dokument:

1. Analysens omfattning

För att identifiera ditt omfång – med andra ord de områden i din organisation som du behöver säkra – måste du förstå hur patientdata flyter inom din organisation.

Detta inkluderar alla elektroniska medier som din organisation använder för att skapa, ta emot, underhålla eller sända ePHI – bärbara medier, skrivbord och nätverk.

Det finns fyra huvuddelar att tänka på när du definierar ditt omfång.

  • Där PHI startar eller går in i din miljö.
  • Vad händer med det när det finns i ditt system.
  • Där PHI lämnar din enhet.
  • Där potentiella eller befintliga läckor är.

2. Datainsamling

Nedan finns en lista över platser för att komma igång i dokumentationen om var PHI går in i din miljö.

  • E-post: Hur många datorer använder du, och vem kan logga in på var och en av dem?
  • Texter: Hur många mobila enheter finns det, och vem äger dem?
  • EHR-poster: Hur många anställda matar in data?
  • Fax: Hur många faxmaskiner har du?
  • USPS: Hur hanteras inkommande e-post?
  • Nya patientpapper: Hur många papper måste patienterna fylla i? Gör de det i receptionen? Undersökningsrum? Någonannanstans?
  • Affärsrelaterad kommunikation: Hur kommunicerar affärspartners med dig?
  • Databaser: Får du marknadsföringsdatabaser över potentiella patienter att kontakta?

Det räcker inte att bara veta var PHI börjar. Du måste också veta vart det går när det kommer in i din miljö.

För att förstå vad som händer med PHI i din miljö måste du spela in all hårdvara, programvara, enheter, system och datalagringsplatser som berör PHI på något sätt.

Och vad händer då när PHI lämnar dina händer? Det är ditt jobb att se till att det överförs eller förstörs på ett så säkert sätt som möjligt.

När du väl känner till alla platser där PHI är inrymt, sänds och lagras kommer du bättre att kunna skydda dessa utsatta platser.

Identifiera och dokumentera potentiella sårbarheter och hot

När du väl vet vad som händer under PHI-livscykeln är det dags att leta efter luckorna. Dessa luckor skapar en miljö för osäker PHI att läcka i eller utanför din miljö.

Det bästa sättet att hitta alla möjliga läckor är att skapa ett PHI-flödesschema som dokumenterar all information du hittade ovan och lägger ut den i ett grafiskt format.

Att titta på ett diagram gör det lättare att förstå PHI-spår och att identifiera och dokumentera förväntade sårbarheter och hot.

En sårbarhet är ett fel i komponenter, procedurer, design, implementering eller interna kontroller. Sårbarheter kan åtgärdas.

Några exempel på sårbarheter:

  • Webbplats kodad fel
  • Inga kontorssäkerhetspolicyer
  • Datorskärmar med tanke på offentliga patientområden

Ett hot är potentialen för en person eller sak att utlösa en sårbarhet. De flesta hot förblir utom din kontroll för att förändras, men de måste identifieras för att kunna bedöma risken.

Några exempel på hot:

  • Geologiska hot, såsom jordskred, jordbävningar och översvämningar
  • Hackare laddar ner skadlig kod till ett system
  • Åtgärder av arbetskraftsmedlemmar eller affärspartners

Återigen, även om du är över genomsnittet när det gäller efterlevnad, kanske du bara har en minimal förståelse för sårbarheter och hot. Det är viktigt att be en professionell om hjälp med din HIPAA riskbedömning.

Bedöm nuvarande säkerhetsåtgärder

Fråga dig själv vilken typ av säkerhetsåtgärder du vidtar för att skydda dina uppgifter.

Ur ett tekniskt perspektiv kan detta inkludera kryptering, tvåfaktorautentisering och andra säkerhetsmetoder som införts av din HIPAA-värdleverantör.

Eftersom du nu förstår hur PHI flyter i din organisation och bättre kan förstå ditt omfång. Med den förståelsen kan du identifiera sårbarheterna, sannolikheten för hothändelse och risken.

Bestäm sannolikheten för hotförekomst

Bara för att det finns ett hot betyder det inte att det kommer att påverka dig.

Till exempel kan en organisation i Florida och en organisation i New York tekniskt sett båda drabbas av en orkan. Sannolikheten för att en orkan drabbar Florida är dock mycket högre än New York. Så den Florida-baserade organisationens tornadorisknivå kommer att vara mycket högre än den New York-baserade organisationen.

Bestäm den potentiella effekten av hotförekomst

Vilken effekt skulle en viss risk du analyserar ha på din organisation?

Till exempel, medan en patient i väntrummet av misstag kan se PHI på en datorskärm, kommer det mer än troligtvis inte att ha nästan inverkan på att en hacker som attackerar ditt osäkra Wi-Fi och stjäl all din patientinformation skulle göra.

Genom att använda antingen kvalitativa eller kvantitativa metoder måste du bedöma den maximala effekten av ett datahot för din organisation.

Bestäm risknivån

Risker är sannolikheten för att ett visst hot kommer att utöva en viss sårbarhet och därmed inverkan på din organisation.

Enligt HHS är ”risk inte en enda faktor eller händelse, utan snarare en kombination av faktorer eller händelser (hot och sårbarheter) som, om de inträffar, kan ha en negativ inverkan på organisationen.”

Så låt oss bryta ner hela sårbarheten, hotet och riskanslutningen. Här är ett exempel:

Låt oss säga att ditt system tillåter svaga lösenord. Sårbarheten är det faktum att ett svagt lösenord är sårbart för attacker. Hotet är då att en hackare lätt kan knäcka det svaga lösenordet och bryta sig in i systemet. Risken är den oskyddade PHI i ditt system.

Alla risker bör tilldelas en nivå och åtföljas av en lista över korrigerande åtgärder som skulle utföras för att minska risken.

Slutför dokumentation

Beväpnad med den prioriterade listan över alla dina säkerhetsproblem är det dags att börja mildra dem. Börja med de högst rankade riskerna först och identifiera säkerhetsåtgärden som löser dessa problem.

Skriv upp allt i ett organiserat dokument. Det krävs inget specifikt format, men HHS kräver analysen skriftligen.

Tekniskt sett är du klar med riskanalysen när du har dokumenterat alla steg du tar.

Periodisk granskning och uppdateringar av riskbedömningen

Det är viktigt att komma ihåg att riskanalysen bearbeta är aldrig riktigt gjort eftersom det pågår.

Ett krav inkluderar att genomföra en riskanalys regelbundet. Och även om säkerhetsregeln inte anger en nödvändig tidslinje, vill du göra en ny riskanalys när ditt företag implementerar eller planerar att anta ny teknik eller affärsverksamhet.

Slutsatsen är – en riskanalys är grundläggande för din säkerhet. Du kan helt enkelt inte vara HIPAA-kompatibel utan en. Om du har några tips som du vill dela är vi alla öron.