7 Schritte zu übergeben, oder besser noch vermeiden, ein OCR-security-audit

Die US-Abteilung Gesundheit und Human Services “ Büro für Bürgerrechte ist verantwortlich für die überwachung und Durchsetzung der Einhaltung der HIPAA-Sicherheits-und Datenschutz-Regelungen als auch die zusätzlichen Regeln und Klarstellungen enthalten, die in HITECH.

OCR erzwingt Datenschutz-und Sicherheits-Vorschriften durch compliance-audits, Bildungs-und öffentlichkeitsarbeit, und anschließende Geldstrafen oder Minderung der Aufwendungen. OCR funktioniert auch mit dem Department of Justice auf mögliche strafrechtliche Verstöße.

Eine OCR-audit in der Regel ausgelöst wird, durch eines von zwei Ereignissen: Entweder eine Beschwerde gegen die Praxis von einem Patienten oder einer internen whistleblower, oder die Praxis berichtet von einer Verletzung zu OCR.

„Verstoß gegen die Auswirkungen auf 500 Personen oder mehr gemeldet werden müssen, OCR, zusätzlich zu anderen Anforderungen an die Berichterstattung“, erklärte Troy Young, chief technology officer bei AdvancedMD, eine medizinische office-Plattform-Anbieter.

„Es gibt jedoch keine direkte Korrelation zwischen dem Ausmaß einer Verletzung und die OCR ist in Ordnung“, sagte der Junge, der vor kurzem ein master-Abschluss in cybersecurity von Utah Valley University.

Jumbo Geldbußen auch für kleine Abweichungen

Organisationen im Gesundheitswesen können bestraft werden mit einer hohen Geldstrafe auch für die kleinsten Verletzung, wenn es keine Anstrengung, um über die Einhaltung der Vorschriften. Dies wird unterstützt durch das Department of Health and Human Services‘ änderungen an der HIPAA-Malus-Systems im April 2019 Einstellung der jährlichen Grenzen basierend auf der Organisation „Maß der Schuld“ im Zusammenhang mit der Verletzung.

„Zwischen April 2003 und Juli 2018, mehr als 180.000 Beschwerden untersucht wurden, indem die OCR -,“ Young berichtet. „Mehr als 37,500 waren, was ich denken würde, ‚geprüft‘, aber nur 55 führte zu finanziellen Sanktionen. Das Ziel ist nicht wirklich, um Strafen zu vermeiden; es ist zu vermeiden, die überprüfung oder stellen Sie es so schmerzlos wie möglich.“

„Jeden Monat Lesen, ein Kapitel, und nehmen das action-items. Im nächsten Monat Lesen Sie das nächste Kapitel und Bericht über die action-Elemente aus der vorherigen Sitzung.“

Troy Young, AdvancedMD

Also, was sind die Schritte, die ein Anbieter im Gesundheitswesen Organisation ergreifen können, um zu vermeiden, dass eine OCR-Prüfung, oder, wenn nicht zu vermeiden, übergeben Sie ein OCR-audit? Jung sagt, es gibt sieben Schritte, die Unternehmen ergreifen, um dieses Ziel zu erreichen.

„Als ersten Schritt muss die Organisation Schulen Sie alle Mitarbeiter auf die Anforderungen in das Amt des Nationalen Koordinator für Gesundheit IT-Leitfaden zur Privatsphäre und Sicherheit der Elektronischen Gesundheitsinformationen,“ riet er. „Das Handbuch beschreibt die Anbieter, die die Verantwortung unter HIPAA; die Anforderungen an Datenschutz und Sicherheit für die Sinnvolle Nutzung von Programmen; und Ansätze für die Implementierung eines Sicherheits-management-Prozess.“

Sammeln Sie Schlüssel-Mitarbeiter monatlich

Der Leitfaden ist in sieben Kapitel. In einem praktischen Ansatz, um nach der Führung, den compliance Führer wählen können, zu montieren wichtigsten Mitarbeiter einmal im Monat, fuhr er Fort.

„Jeden Monat Lesen, ein Kapitel, und nehmen das action-items“, sagte er. “Im nächsten Monat, Lesen Sie das nächste Kapitel, und Bericht über die action-Elemente aus der vorherigen Sitzung. Auf diese Weise, ein Gesundheits-Organisation konnte die Führung in acht Monaten. Das kann einfacher sein, zu lernen, zu behalten und zu implementieren, als zu versuchen alles auf einmal zu tun.“

Die restlichen sechs Schritte sind best practices und Empfehlungen fallen in die ONC-Leitfaden zu Datenschutz und Sicherheit, so Young. Wenn eine Organisation folgt, die Empfehlungen des Leitfadens, wird es eine Lösung für all diese Schritte.

„Benennen Sie einen Sicherheitsbeauftragten, den“ Jungen geraten. “Auch kleine Unternehmen müssen wählen Sie eine compliance-champion-verantwortlich für die Entwicklung und Aufrechterhaltung der Sicherheit Praktiken zu erfüllen von HIPAA-Anforderungen. Diese Rolle ist verantwortlich für den Schutz der Patienten “ elektronische geschützten Gesundheit Informationen von unerlaubten Zugriff durch die Implementierung von Cyber Security-best-practices und Abstimmung mit anderen Führungskräften wie einen Datenschutzbeauftragten, der Praxis-manager, IT-Hersteller oder administrator, und die anderen.“

Richtlinien und Verfahren

Ein weiterer Schritt ist die überprüfung der Dokumentation von Richtlinien und Verfahren, so Young.

„Jede Organisation ist erforderlich um sicherzustellen, dass angemessene und geeignete Strategien und Verfahren zur Einhaltung der Sicherheitsbestimmungen“, sagte er. „Die Dokumentation sollte umfassen die Offenlegung von PHI und Sicherheitsmaßnahmen wie die Verschlüsselung von Geräten, Richtlinien für die Handhabung von gedruckten PHI und Patienten Anfragen für medizinische Aufzeichnungen.“

Kapitel 6 die ONC-Handbuch enthält eine Liste der Beispiele für Richtlinien, die jedes Unternehmen haben sollte, fügte er hinzu. Die Organisation sollte in regelmäßigen Abständen überprüfen und aktualisieren Sie die Dokumentation basiert auf eine Branche oder organisatorische änderungen, die möglicherweise Auswirkungen auf die Sicherheit von ePHI, sagte er.

Durchführen einer Sicherheits-Risiko-Analyse ist ein weiterer wichtiger Schritt healthcare-Anbieter sollten Unternehmen ergreifen, um zu vermeiden, oder übergeben Sie ein OCR-audit, Junge sagte.

„Durch die Durchführung einer Risikobewertung, einer Organisation identifizieren können, compliance-Lücken und setzen Sie einen plan in Ort, um die Probleme zu beheben, und übergeben Sie die Prüfung“, sagte er. „Die jährliche Beurteilung umfasst physische, administrative, technische und organisatorische Komponenten.“

Im Gespräch mit Anbietern

Ein Sicherheitsbeauftragter sollte überprüfen, EHR-und andere software-Pakete, besprechen Schutz der Daten der Verkäufer, fügte er hinzu. Organisationen, die mit on-premise-EHR-Systemen müssen vor-Ort-Personal für die Wartung und überwachung der hardware und software, mit regelmäßigen anti-virus-und anti-malware-software-Installationen auf allen Computern, die täglich die Daten sichern, und regelmäßige Daten-back-up-tests, riet er.

„Ein weiterer wichtiger Schritt ist die überprüfung des Betriebssystems und der software-patching-Prozesse für die grundlegenden Sicherheitsmaßnahmen, wie sichere Kennwörter für Router und WLAN-access-points“, sagte er. „Bewertung von Schwachstellen in Netzwerk-Systeme, vor allem ungepatchte software und falsche Konfiguration der Netzwerk-Geräte, ist von entscheidender Bedeutung, so ist die Kontrolle von server-Konfigurationen und Passwörter und sicherstellen, dass patches sind aktuell.“

Ein Gesundheits-Organisation kann auch prüfen, mieten ein außen-security-Unternehmen zu führen Sie eine HIPAA-Sicherheits-Risiko-Analyse, fuhr er Fort. Eine dedizierte security-professional kann auch führen eine Schwachstellen-scan zur Beurteilung einer Organisation Penetration, sagte er.

An einer anderen front, Organisationen im Gesundheitswesen sollten beginnen, die Schaffung einer Risiko-management-plan, Jung angegeben.

„Die Abwesenheit von ein Sicherheits-Risiko-assessment oder management-plan ist ein häufiger Grund für die großen Strafen“, sagte er. “Organisationen im Gesundheitswesen brauchen ein Risiko-management-plan vor, nicht nach, kommt es zu einem Bruch. Dokument Risiken, die sich aus dem Sicherheits-Risiko-Analyse, die bestimmen, wie Sie behandelt werden, und die Fortschritte der Gegenmaßnahmen. Erstellen Sie eine Daten-Verletzung-response-plan; alle Verstöße müssen gemeldet werden, um OCR innerhalb von 60 Tagen nach der Entdeckung.“

Überprüfen Sie business associate agreements

Auch Organisationen im Gesundheitswesen sollten Geschäftspartner Vereinbarungen mit allen Lieferanten/Auftragnehmer, die Zugang zu PHI, der Junge sagte.

„Ein Geschäftspartner ist eine person oder Organisation, die Interaktion mit der Organisation PHI“, erklärte er. “Die Organisation muss sicherstellen, dass alle Geschäftspartner führen Risikobewertungen jährlich. Ob es ein zuweiser -, software-Hersteller, Labor-oder medizinische imaging-Gruppe, die die Verarbeitung der Datensätze, deren Verletzung auch Auswirkungen auf die Organisation.“

Haben Sie einen guten Geschäftspartner-Vereinbarung – ein Anwalt helfen können – und verlangen zu wissen, was Sie tun, um die Patientendaten zu schützen, betonte er. Wenn es gibt Löcher in den associate-security-system, zu verstehen, was Sie sind, und die partner planen, untersuchen und beheben Sie, sagte er.

Und schließlich, Organisationen im Gesundheitswesen sollten regelmäßig HIPAA Ausbildung, um sicherzustellen, Mitarbeiter sind der stärkste und nicht der schwächste, link, Young beraten.

„OCR-Prüfer Fragen, für den Nachweis, dass die Organisation regelmäßig kommuniziert mit allen Mitarbeitern hinsichtlich der Bedeutung der Einhaltung der HIPAA-Vorschriften und umfasst die Erinnerungen für Möglichkeiten, die Mitarbeiter helfen der Organisation zu erfüllen Ihre Ziele,“ sagte er.

Phishing, Passwörter und unverschlüsselte PHI

Zusätzlich zu den regulären Schulungsveranstaltungen auf die ONC-Handbuch zu Sicherheit und Datenschutz, dies schließt die Warnung vor phishing-E-Mails, Einstellung, starke Passwörter und regelmäßig zu aktualisieren, für die Weitergabe der Informationen an die richtigen Empfänger, und dem sorgfältigen Umgang mit unverschlüsselten PHI, sagte er.

„Daten muss der Zugriff beschränkt werden sowohl in-house und in den gesamten Prozess von ePHI übertragung zwischen autorisierten Parteien“, Schloss er. „Alle computer-Festplatten, insbesondere Organisation laptops, müssen verschlüsselt werden und behandelt sicher zu vermeiden Sie den Verlust oder Diebstahl.“

Twitter: @SiwickiHealthIT
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist die HIMSS Media-Publikation.

Vorbereiten für next-gen-Cyber-Bedrohungen und sich der #HITsecurity Diskussion auf der HIMSS Healthcare Security Forum, das Dez. 9-10 in Boston.