วิธีเข้ารหัสข้อมูลที่สอดคล้องกับ HITECH และ HIPAA [คำแนะนำ]
เผยแพร่แล้ว: 2020-03-02หากบริษัทของคุณทำงานในสาขาที่ใช้ข้อมูลผู้ป่วย คุณต้องปฏิบัติตามกฎความปลอดภัย HIPAA สองการกระทำปกป้องบันทึกสุขภาพอิเล็กทรอนิกส์ HIPAA ซึ่งก่อตั้งขึ้นระหว่างการบริหารของคลินตัน ได้รับการออกแบบสำหรับผู้ป่วยที่มีระบบดิจิทัลด้านการดูแลสุขภาพที่เชื่อถือได้ แม้ว่าจะอยู่ระหว่างงานก็ตาม พระราชบัญญัติ HITECH ซึ่งจัดตั้งขึ้นระหว่างการบริหารของโอบามา ได้รับการออกแบบมาเพื่อรองรับจุดอ่อนใน HITECH และอำนวยความสะดวกในการนำบันทึกดิจิทัลไปใช้โดยองค์กรด้านการดูแลสุขภาพ
การกระทำทั้งสองนี้ปกป้องข้อมูลด้านสุขภาพของชาวอเมริกันโดยการกำหนดกฎเกณฑ์สำหรับการจัดการข้อมูลที่ละเอียดอ่อน เนื่องจากการกระทำทั้งสองระบุว่าองค์กรต้องกรอกข้อตกลงทางธุรกิจเพื่อจัดการข้อมูลด้านสุขภาพของอเมริกา แม้แต่องค์กรนอกชายฝั่งก็ต้องรับผิด การปกป้องข้อมูลลูกค้าที่ปลอดภัย เช่น การบันทึกและบันทึกการโทรด้วยการเข้ารหัสข้อมูลในขณะที่ไม่ได้ใช้งานนั้นไม่เพียงพอ องค์กรยังต้องปกป้องข้อมูลเมื่อมีการส่ง การปฏิบัติตามข้อกำหนดเป็นวิธีเดียวที่จะหลีกเลี่ยงบทลงโทษที่สูงชันได้
ทั้ง HIPAA และ HITECH ได้รับการออกแบบมาเพื่อเพิ่มความสะดวกให้กับลูกค้า การกระทำดังกล่าวทำให้ผู้ป่วยสามารถตรวจสอบข้อมูลด้านสุขภาพของตนได้ตามสะดวกด้วย ID ผู้ใช้ที่ให้มา ข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI) เป็นข้อมูลที่ละเอียดอ่อน และการปฏิบัติตามข้อกำหนดจะปกป้องคุณและพนักงานของคุณจากความรับผิดในอนาคต
การปฏิบัติตามข้อกำหนดยังช่วยให้มั่นใจได้ว่าข้อมูลทางการแพทย์สามารถแชร์แบบดิจิทัลกับทั้งบุคลากรทางการแพทย์และผู้ป่วย บริการที่ผ่านการตรวจสอบความถูกต้องสำหรับการแบ่งปันข้อมูลทางการแพทย์ผ่านแพลตฟอร์มดิจิทัลเรียกว่าบริการสุขภาพทางไกล และเทคโนโลยีการสื่อสารเหล่านี้จะปกป้องเสียง ข้อมูล และภาพใดๆ จากการละเมิดข้อมูล
- HIPAA คืออะไร?
- ไฮเทคคืออะไร?
- การปฏิบัติตามข้อกำหนดของ HITECH-HIPAA ส่งผลกระทบต่อธุรกิจอย่างไร
- การป้องกันการเข้ารหัสเวชระเบียน
- การป้องกันทางเทคนิค
- การป้องกันทางกายภาพ
- การป้องกันทางปกครอง
- ข้อมูลที่เข้ารหัสปกป้ององค์กร
- วิธีในการเข้ารหัสข้อมูล
- คุณเข้ารหัสข้อมูลบนพีซีอย่างไร
- คุณเข้ารหัสข้อมูลบนอุปกรณ์มือถืออย่างไร?
- คุณเข้ารหัสข้อมูลในการขนส่งอย่างไร
- แนวทางปฏิบัติที่ดีที่สุดสำหรับการเข้ารหัสคืออะไร?
- ลงทุนในซอฟต์แวร์เข้ารหัสระดับสูง
- จัดการคีย์อย่างชาญฉลาด
- ทดสอบความปลอดภัยรายวัน
- ใช้การตรวจสอบผู้ใช้
- ทำไมคุณควรเข้ารหัสข้อมูลของคุณ?
- ปกป้องบริษัทจากความรับผิด
- ลดความซับซ้อนของการใช้งานเทคโนโลยีใหม่
- รับรองข้อมูลบันทึกการโทรที่เก็บไว้
- การปฏิบัติตาม HITECH และ HIPAA ช่วยประหยัดเงิน
HIPAA คืออะไร?
พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพเป็นความพยายามครั้งแรกของรัฐสภาในการช่วยให้บุคคลสามารถรักษาประวัติสุขภาพและการประกันภัยระหว่างงานได้ พระราชบัญญัติเบื้องต้นได้ผ่านในปี 2539 และได้รับการปรับปรุงในปี 2546 และ 2548 นอกจากจะทำให้การประกันสุขภาพสำหรับพนักงานและอดีตพนักงานง่ายขึ้นแล้ว HIPAA ยังเป็นการกระทำที่ปกป้องข้อมูลโดยการใช้เทคโนโลยีเช่นเครือข่ายส่วนตัวเสมือน (VPN) และ การเข้ารหัสความปลอดภัยชั้นการขนส่ง (TLS)
- VPN: เครือข่ายส่วนตัวเสมือนเข้ารหัสข้อมูลที่เป็นความลับขณะเดินทางในและนอกเครือข่าย
- TLS: การรักษาความปลอดภัยชั้นการขนส่งเป็นโปรโตคอลที่ใช้รหัสลับเพื่อเข้ารหัสข้อมูลผู้ป่วย อัลกอริทึมบางตัวที่สร้างรหัสลับมีความปลอดภัยน้อยกว่าวิธีอื่นๆ
HIPAA ส่งผลโดยตรงต่อแผนสุขภาพ ผู้ให้บริการด้านสุขภาพ และสำนักหักบัญชีด้านการดูแลสุขภาพ การกระทำดังกล่าวในขั้นต้นไม่ครอบคลุมถึงผู้ร่วมธุรกิจขององค์กรเหล่านี้ ข้อมูลใด ๆ ที่มีการเข้าถึงบนอุปกรณ์มือถือจะต้องใช้ ID ผู้ใช้สำหรับผู้ถือการรักษาพยาบาลและผู้ป่วย การรั่วไหลของข้อมูลมักจะเกิดขึ้นที่ระดับอุปกรณ์ และโปรโตคอลการเข้ารหัสและเทคนิคการเข้ารหัสระดับเครือข่ายทำให้มั่นใจได้ว่าอุปกรณ์ของผู้ป่วยและของบริษัทจะไม่ทำให้เกิดช่องโหว่ นโยบาย “นำอุปกรณ์ของคุณมาเอง” จะต้องติดตั้งซอฟต์แวร์เข้ารหัส
การละเมิด HIPAA อาจมีค่าใช้จ่ายสูง ในเดือนพฤษภาคมปี 2019 Touchstone Medical Imaging ถูกตั้งข้อหา 3 ล้านดอลลาร์สำหรับการใช้ศูนย์ข้อมูลบุคคลที่สามที่เปิดเผยบันทึกสุขภาพอิเล็กทรอนิกส์ (HER) ของผู้ป่วยมากกว่า 300,000 ราย
ไฮเทคคืออะไร?
พระราชบัญญัติเทคโนโลยีสารสนเทศด้านสุขภาพสำหรับเศรษฐกิจและสุขภาพทางคลินิก ได้รับการออกแบบครั้งแรกเพื่อให้องค์กรด้านการดูแลสุขภาพและผู้ร่วมงานมีเหตุผลทางการเงินในการอัปเดตข้อมูลผู้ป่วย สถาปนิกของ HITECH ตระหนักดีว่าจำเป็นต้องมีการป้องกันที่แข็งแกร่งขึ้นในยุคที่มีการแลกเปลี่ยนข้อมูลด้านสุขภาพทางอิเล็กทรอนิกส์เพิ่มขึ้น HITECH ถูกส่งผ่านในช่วงการบริหารของโอบามาในปี 2552
องค์กรด้านการดูแลสุขภาพที่ใช้ข้อมูลดิจิทัลจะได้รับรางวัลเงินสดจากรัฐบาล แต่องค์กรที่ได้รับผลกระทบทั้งหมดมีหน้าที่รับผิดชอบในการจัดการบันทึกสุขภาพของผู้ป่วยอย่างปลอดภัย การละเมิดมีสี่ระดับสำหรับบริษัทด้านการดูแลสุขภาพและพันธมิตรที่เกี่ยวข้องซึ่งสะท้อนถึงระดับความรับผิดในการละเมิด ที่ระดับสูงสุด บทลงโทษสำหรับการละเมิดความปลอดภัยเพียงครั้งเดียวคือ 1.5 ล้านดอลลาร์ จำเป็นต้องเข้าใจว่าไฮเทควางภาระความรับผิดชอบไว้บนไหล่ของทั้งองค์กรและพนักงาน และถือว่าพวกเขารับผิดชอบต่อการละเลยโดยจงใจ
การปฏิบัติตามข้อกำหนดของ HITECH-HIPAA ส่งผลกระทบต่อธุรกิจอย่างไร
ธุรกิจของคุณจำเป็นต้องตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามอย่างสมบูรณ์หากคุณทำงานด้วยข้อมูลทางการแพทย์ของผู้ป่วย ซึ่งรวมถึงข้อมูลโดยตรงหรือแม้แต่บันทึกการโทรที่อาจมีข้อมูลเกี่ยวกับแผนสุขภาพของผู้ป่วยหรือประวัติทางการแพทย์ ตัวอย่างเช่น การใช้แอพที่ใช้กันอย่างแพร่หลายอย่าง Facetime จะทำให้บริษัทของคุณได้รับโทษ หากมีการพูดคุยถึงข้อมูลทางการแพทย์ของผู้ป่วยในแง่มุมใดๆ โดยใช้แพลตฟอร์ม การใช้ซอฟต์แวร์ใดๆ ที่ไม่ผ่านการตรวจสอบสำหรับ telehealth โดย HIPAA หรือ HITECH ถือเป็นการละเมิดระเบียบข้อบังคับของรัฐบาลกลางที่สำคัญ
ในปี 2013 กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐฯ (HHS) ได้ออกกฎ HITECH-HIPAA Omnibus Rule ฉบับปรับปรุง ซึ่งช่วยขยายจำนวนธุรกิจที่ได้รับผลกระทบจากการกระทำทั้งสองอย่างมีประสิทธิภาพ แม้ว่านี่จะเป็นเวลาไม่กี่ปีหลัง แต่ก็เป็นไปได้อย่างยิ่งที่ธุรกิจสามารถว่ายน้ำในน่านน้ำของ HITECH-HIPAA และไม่ทราบว่าอยู่ภายใต้นโยบายของการปฏิบัติตามข้อกำหนดด้านการดูแลสุขภาพเหล่านี้
ดังนั้น หากคุณอยู่ในประเภทของหน่วยงานที่ครอบคลุม HIPAA ซึ่งหมายความว่าคุณเป็นทั้งองค์กรด้านการดูแลสุขภาพ สำนักหักบัญชีด้านการดูแลสุขภาพ ผู้ดูแลระบบแผนสุขภาพ หรือผู้ร่วมธุรกิจขององค์กรเหล่านั้น คุณจะต้องแน่ใจว่า การปฏิบัติตามอย่างแม่นยำหรือต้องรับผิด ตามกฎหมาย ผู้ร่วมธุรกิจต้องลงนามในข้อตกลงผู้ร่วมธุรกิจ (BAA) เพื่อให้เข้าใจว่าพวกเขามีหน้าที่รับผิดชอบต่อการจัดการข้อมูล ePHI ที่ผิดพลาด
การละเมิดข้อมูลกำลังเกิดขึ้นในอัตราที่เพิ่มขึ้น แต่ด้วยระดับการเข้ารหัสที่เหมาะสมและผู้ให้บริการการสื่อสารที่ได้รับการคัดเลือกอย่างถูกต้อง คุณจะสามารถป้องกันตัวเองและข้อมูลของคุณได้ ทุกปี เลขานุการของ HHS จะออกคำแนะนำแก่หน่วยงานด้านการดูแลสุขภาพที่ได้รับผลกระทบ - การปฏิบัติตามนี้จะแจ้งเตือนคุณถึงการเปลี่ยนแปลงใดๆ ต่อนโยบายของรัฐบาลกลางที่อาจมีการเปลี่ยนแปลง
ในขอบเขตของการสื่อสารแบบครบวงจร มีเทคโนโลยีมากมายที่สามารถส่งข้อมูลได้ ซึ่งจะรวมถึง SMS ของบริษัท แบบฟอร์มอิเล็กทรอนิกส์ และซอฟต์แวร์การประชุมทางวิดีโอ แต่ละรายการเหล่านี้จะส่งข้อมูลที่เกี่ยวข้องผ่านช่องทางการสื่อสารทางอินเทอร์เน็ต ซึ่งหมายความว่าทุกแง่มุมของเทคโนโลยีการสื่อสารจะต้องเป็นไปตามข้อกำหนดอย่างสมบูรณ์ ต่อไปนี้คือคุณลักษณะบางส่วนของ UC ที่ต้องเข้ารหัสเพื่อปกป้องข้อมูลด้านการรักษาพยาบาลของผู้ป่วย:
- ข้อความ
- โทรด้วยเสียง
- บันทึกการโทร
- แฟกซ์
- ข้อความเสียง
- การประชุมทางวิดีโอ
- แชท
- การแชร์ไฟล์
การเข้ารหัสในทุกขั้นตอน
นอกจากนี้ การเข้ารหัสจะต้องเกิดขึ้นเมื่อข้อมูลไม่มีการเคลื่อนไหวและระหว่างการขนส่ง
ในส่วนที่เหลือ
นี่คือเวลาที่ข้อมูลถูกเก็บไว้ในตำแหน่งคงที่ เช่นบนเซิร์ฟเวอร์ ข้อมูลที่เหลือจะถูกเก็บไว้เพื่อใช้ในอนาคต และใช้การเข้ารหัสเพื่อให้แน่ใจว่าแฮกเกอร์ VoIP ที่ใช้แบ็คดอร์ที่อาจเกิดขึ้นเนื่องจากแพ็กเก็ตสูญหายจะไม่สามารถเข้าถึงข้อมูลที่จัดเก็บได้ ผู้โจมตีให้ความสำคัญกับข้อมูลประเภทนี้เนื่องจากมีแนวโน้มที่จะสมบูรณ์มากกว่า
ระหว่างทาง
ข้อมูลระหว่างทางส่งผลกระทบโดยตรงต่อบริการโทรศัพท์ VoIP และ UC เนื่องจากการเข้ารหัสประเภทนี้เกิดขึ้นเนื่องจากข้อมูลถูกแบ่งออกเป็นแพ็กเก็ตและส่งไปยังปลายทาง การเข้ารหัสข้อมูลระหว่างทางไม่ได้มีไว้สำหรับข้อมูลที่เดินทางผ่านการเชื่อมต่ออินเทอร์เน็ตเท่านั้น แต่บางครั้งยังเป็นการเข้ารหัสที่ใช้สำหรับข้อมูลที่ส่งผ่านเครือข่ายท้องถิ่น (LAN) หรือเครือข่ายบริเวณกว้าง (WAN)
การป้องกันการเข้ารหัสเวชระเบียน
เมื่อพูดถึงการปกป้องข้อมูลผู้ป่วย กฎความปลอดภัยของ HIPAA จะกำหนดการใช้มาตรการป้องกันที่สำคัญหลายประการ ประเภทที่กำหนดโดยกฎหมายของรัฐบาลกลางรวมถึงการป้องกันทางเทคนิค กายภาพ และการบริหาร กระบวนการจัดการความปลอดภัยนั้นซับซ้อน แต่ด้วยการใช้งานที่ถูกต้อง องค์กรของคุณจะมีการป้องกันในระดับสูง
การป้องกันทางเทคนิค
การกระทำของ HIPAA และ HITECH ระบุว่าการป้องกันทางเทคนิคคือ "เทคโนโลยีและขั้นตอนนโยบายสำหรับการใช้งานที่ปกป้องข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์และควบคุมการเข้าถึงข้อมูลดังกล่าว"
การดำเนินการป้องกันเหล่านี้จะขึ้นอยู่กับขนาดและอุตสาหกรรมขององค์กร ด้วยเหตุผลนี้ องค์กรของคุณจะต้องระบุความเสี่ยงหรือจุดอ่อนที่อาจมีอยู่ในการจัดการข้อมูลผู้ป่วย
คุณจะต้องใช้วิธีการควบคุมการเข้าถึง แนะนำบันทึกกิจกรรม และการควบคุมการตรวจสอบ นอกจากนี้ คุณจะต้องแนะนำวิธีการตรวจสอบสิทธิ์ ePHI บางอย่าง เพื่อให้สามารถตรวจพบข้อมูลที่เปลี่ยนแปลงหรือทำลายได้ เพื่ออำนวยความสะดวกในการรักษาความปลอดภัยที่สูงขึ้น การล็อกเอาต์อุปกรณ์โดยอัตโนมัติด้วยข้อมูล HITECH-HIPAA ยังเป็นเครื่องป้องกันที่สามารถรับรองได้ว่าข้อมูลใดๆ บนอุปกรณ์ทางกายภาพได้รับการปกป้อง แม้แต่อุปกรณ์ที่ได้รับสิทธิ์ในการเข้าถึงสิ่งอำนวยความสะดวกก็จะไม่สามารถเข้าถึงอุปกรณ์ที่มีข้อมูลที่ได้รับการป้องกันได้
การป้องกันทางกายภาพ
กฎระเบียบของ HIPAA ยังกำหนดวิธีการบางอย่างที่องค์กรของคุณจะต้องเพิ่มชั้นทางกายภาพให้กับมาตรการรักษาความปลอดภัย ePHI ของคุณ ตัวอย่างเช่น คุณจะต้องควบคุมการเข้าถึงสิ่งอำนวยความสะดวกอย่างเคร่งครัด เพื่อให้มีเพียงตัวแทนที่ได้รับอนุญาตเท่านั้นที่ได้รับสิทธิ์เข้าถึงเซิร์ฟเวอร์และอุปกรณ์ที่มีข้อมูลที่ละเอียดอ่อนทางกายภาพ
การวางตำแหน่งเวิร์กสเตชันและการใช้งานที่ปลอดภัยยังเป็นเครื่องป้องกันที่คุณต้องดำเนินการ ตัวอย่างเช่น จำเป็นต้องใช้วัตถุเช่นสิ่งกีดขวางรอบเวิร์กสเตชัน กฎ HIPAA ยังกำหนดวิธีการทำงานของฟังก์ชัน ePHI บนอุปกรณ์เหล่านี้
อุปกรณ์ที่มีข้อมูลผู้ป่วยอาจมีความเสี่ยงด้านความปลอดภัย แม้ว่าจะไม่ได้ใช้งานแล้วก็ตาม หลักเกณฑ์ของ HIPAA ระบุว่าต้องเก็บและบำรุงรักษาสินค้าคงคลังของฮาร์ดแวร์ ePHI นอกจากนี้ ต้องทำสำเนา ePHI ก่อนย้ายเวิร์กสเตชัน ต้องสังเกตการจัดการข้อมูลที่เหมาะสมเมื่อย้ายสื่ออิเล็กทรอนิกส์ เช่น คีย์ไดรฟ์ด้วย
สุดท้าย เนื่องจากความคล่องตัวขององค์กรทำให้สามารถจัดเก็บข้อมูลระยะไกลและเข้าถึงข้อมูลผู้ป่วยจากสมาร์ทโฟนและอุปกรณ์เคลื่อนที่ได้ จึงต้องมีการใช้การป้องกันสำหรับรายการเหล่านี้ด้วย บริษัทของคุณต้องพัฒนานโยบายที่มีรายละเอียดว่าข้อมูลผู้ป่วยจะถูกลบออกจากอุปกรณ์เหล่านี้อย่างไรเมื่อผู้ใช้ออกจากองค์กรหรืออุปกรณ์ได้รับการอัพเกรดหรือนำกลับมาใช้ใหม่ ขั้นตอนการจัดการอุปกรณ์ที่เหมาะสมซึ่งเป็นไปตามแนวทางเหล่านี้จะป้องกันเหตุการณ์ด้านความปลอดภัยที่เข้าถึงได้โดยตรง
การป้องกันทางปกครอง
การป้องกันขั้นสุดท้ายที่จะต้องดำเนินการเพื่อให้คุณปฏิบัติตามกฎความเป็นส่วนตัวของ HIPAA นั้นเกี่ยวข้องกับการจัดการข้อมูล ePHI สิ่งเหล่านี้จะรวมถึงนโยบายและขั้นตอนที่รวมข้อกำหนดของกฎความเป็นส่วนตัวและความปลอดภัยของ HITECH-HIPAA
ตามข้อบังคับของรัฐบาลกลาง คุณจะต้องทำการประเมินความเสี่ยงเป็นประจำเพื่อระบุจุดติดต่อทั้งหมดกับข้อมูลผู้ป่วย พื้นที่ใดก็ตามที่ใช้ ePHI จะต้องได้รับการประเมิน หากมีจุดที่อาจมีการละเมิดข้อมูลได้ จะต้องระบุข้อมูลดังกล่าวและเสริมจุดอ่อนต่างๆ
ขั้นตอนการประเมินความเสี่ยงนี้ต้องทำซ้ำเป็นระยะๆ นอกจากนี้ หากมีพนักงานที่ละเมิดนโยบายใด ๆ ที่เกี่ยวข้องกับข้อมูลนี้ ก็จะต้องมีนโยบายการคว่ำบาตรเพื่อจัดการและลดโอกาสของเหตุการณ์ด้วย
นอกจากนี้ เพื่อป้องกันการละเมิด จำเป็นต้องมีการจัดตารางการฝึกอบรมเป็นประจำเพื่อลดโอกาสที่ข้อมูลจะรั่วไหล หัวข้อของการฝึกอบรมอาจรวมถึงวิธีการตอบสนองต่อการละเมิดข้อมูลที่อาจเกิดขึ้นและวิธีระบุซอฟต์แวร์ที่เป็นอันตราย คุณจะต้องจัดทำเอกสารการฝึกอบรมที่ใช้เพื่อป้องกันการโจมตีและการละเมิด
คุณจะต้องพัฒนา ทดสอบ และนำแผนฉุกเฉินไปใช้ด้วย ทั้งนี้เพื่อป้องกันข้อมูลในกรณีฉุกเฉิน ซึ่งอาจเป็นการละเมิดข้อมูลหรือภัยธรรมชาติ การวางแผนที่เหมาะสมช่วยให้แน่ใจว่ากระบวนการทางธุรกิจที่ผิดพลาดสามารถแก้ไขได้ และขั้นตอนต่างๆ สามารถดำเนินต่อไปได้โดยไม่ทำให้ข้อมูลตกอยู่ในความเสี่ยงอีกต่อไป ระหว่างโหมดฉุกเฉิน ข้อมูลสำรองจะต้องพร้อมใช้งานและนโยบายเพื่อช่วยกู้คืนข้อมูลที่สูญหาย
ธุรกิจสมัยใหม่มักต้องการความช่วยเหลือจากบุคคลที่สาม HIPAA และ HITECH กำหนดให้คู่ค้าทางธุรกิจรับผิดชอบต่อการละเมิดข้อมูล แต่องค์กรยังต้องจำกัดการเข้าถึงข้อมูลสำหรับบุคคลที่สามที่ไม่ต้องการ ซึ่งรวมถึงผู้รับเหมาช่วง ผู้จำหน่ายซอฟต์แวร์ และองค์กรแม่ นอกจากนี้ ข้อตกลง BAA จะต้องลงนามสำหรับบุคคลที่สามที่ได้รับสิทธิ์ในการเข้าถึง
สุดท้าย เมื่อตรวจพบเหตุการณ์ด้านความปลอดภัย จะต้องรายงาน บางครั้ง เหตุการณ์ด้านความปลอดภัยไม่ได้บ่งชี้ถึงการละเมิดเสมอไป แต่ในทุกสถานการณ์ จะต้องรายงานเหตุการณ์เหล่านี้เพื่อให้เหตุการณ์นั้นถูกระงับและดึงข้อมูลกลับมา ซึ่งจะช่วยให้ฝ่ายที่เหมาะสมดำเนินการประเมินความเสี่ยงและพิจารณาว่าข้อมูลถูกขโมยหรือสูญหายหรือไม่ การรายงานที่เหมาะสมช่วยให้สามารถกู้คืนจากภัยพิบัติได้ดีขึ้น และสามารถอำนวยความสะดวกในการวิเคราะห์ความเสี่ยงได้ดีขึ้น
ข้อกำหนดการแจ้งเตือนการละเมิด HIPAA ระบุว่าธุรกิจต้องเปิดเผยทันทีว่ามีการละเมิดข้อมูลทางการแพทย์ที่ได้รับการคุ้มครอง ตาม HIPAA การละเมิดถูกกำหนดให้เป็น "โดยทั่วไปการใช้งานหรือการเปิดเผยที่ไม่ได้รับอนุญาตภายใต้กฎความเป็นส่วนตัวที่ประนีประนอมความปลอดภัยหรือความเป็นส่วนตัวของข้อมูลสุขภาพที่ได้รับการคุ้มครอง" ในสถานการณ์การละเมิด คุณต้องรายงานเรื่องนี้ต่อบุคคลที่ได้รับผลกระทบและเลขานุการของ HHS นโยบายของรัฐบาลกลางอาจกำหนดว่าต้องรายงานการละเมิดต่อสื่อเช่นกัน
ข้อมูลที่เข้ารหัสปกป้ององค์กร
การไม่ปฏิบัติตามข้อกำหนดไม่เพียงแต่จะเปิดเผยข้อมูลของผู้ป่วยเท่านั้น แต่การใช้การสื่อสารที่ไม่ได้เข้ารหัสจะทำลายความมั่นใจของผู้มีส่วนได้ส่วนเสียและจะทำลายชื่อเสียงขององค์กรของคุณ ด้วยการละเมิด HITECH เพียงครั้งเดียวซึ่งมีมูลค่าหลายล้าน จึงค่อนข้างง่ายสำหรับองค์กรที่ไม่ปฏิบัติตามข้อกำหนดที่จะถูกขับออกจากธุรกิจเนื่องจากข้อมูลที่ไม่ปลอดภัย
เพื่อให้เป็นไปตามข้อกำหนด โทรศัพท์และอุปกรณ์ภายนอกทั้งหมดต้องมีการตรวจสอบสิทธิ์ด้วย ID ผู้ใช้ และข้อมูลการโทรทั้งหมดต้องได้รับการบันทึกและเก็บไว้อย่างปลอดภัยโดยใช้การเข้ารหัสเมื่อไม่ได้ใช้งาน ซึ่งจะปกป้องข้อมูลขององค์กรของคุณหากแล็ปท็อปหรือโทรศัพท์ถูกขโมย นอกเหนือจากบันทึกการโทรที่เก็บข้อมูลเสียงแล้ว ฟังก์ชันการดูแลระบบทั้งหมดที่ดำเนินการระหว่างการโทรกับผู้ป่วยจำเป็นต้องมีการบันทึก สิ่งนี้เรียกว่าการจัดเก็บข้อมูลเมตา
เนื่องจากการกระทำเหล่านี้ส่งผลกระทบต่อธุรกิจและผู้ร่วมงาน บริการโทรศัพท์ VoIP และผู้ให้บริการ UC ต้องเป็นไปตาม HIPAA นอกจากนี้ยังหมายความว่าผู้ให้บริการที่ลบข้อมูลที่บันทึกหลังจากผ่านไปสองสามเดือนไม่สามารถใช้งานได้ นอกจากนี้ ต้องหลีกเลี่ยงผู้ให้บริการที่มีพื้นที่เก็บข้อมูลเหลือน้อย เนื่องจากการบันทึกการโทรและข้อมูลเมตาสามารถใช้พื้นที่บนเซิร์ฟเวอร์จำนวนมากได้
วิธีในการเข้ารหัสข้อมูล
การเข้ารหัสข้อมูลไม่ได้มีไว้สำหรับธุรกิจที่ต้องการปฏิบัติตาม HIPAA และ HITECH เท่านั้น ธุรกิจขนาดเล็กและขนาดกลาง (SMB) ใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) จะต้องใช้วิธีการเข้ารหัส ซึ่งรวมถึงแนวทางปฏิบัติในการเข้ารหัสสำหรับทั้งข้อมูลที่อยู่นิ่งและระหว่างการส่ง การละเมิดข้อมูลที่ไม่เกี่ยวกับการดูแลสุขภาพอาจดำเนินต่อไปโดยไม่มีการลงโทษตามกฎระเบียบ แต่การละเมิดข้อมูลประเภทนี้ยังสามารถเปิดองค์กรของคุณให้ถูกฟ้องร้องเกี่ยวกับการละเมิดได้
คุณเข้ารหัสข้อมูลบนพีซีอย่างไร
สำหรับระบบ Mac สามารถใช้ซอฟต์แวร์อย่าง FileVault และ GNU Privacy Guard เพื่อเข้ารหัสคอมพิวเตอร์เพื่อให้ข้อมูลเป็นไปตามมาตรฐาน HIPAA และ HITECH สำหรับเครื่อง Windows โซลูชันเช่น BitLocker และ Veracrypt เป็นตัวเลือกที่มีประโยชน์
เมื่อข้อมูลถูกเข้ารหัส ข้อมูลจะถูกแบ่งออกเป็นกลุ่มสุ่มของอักขระที่จะต้องปลดล็อคโดยใช้กุญแจหรือรหัส วิธีหลักสำหรับบุคคลที่ประสงค์ร้ายในการปลดล็อกข้อมูลที่เข้ารหัสคือการมีคีย์ถอดรหัส ซึ่งควรอยู่ในมือของเจ้าหน้าที่ไอทีและพนักงานที่เชื่อถือได้เท่านั้น โชคดีที่เมื่อเป็นเรื่องของข้อมูลที่อยู่นิ่ง แพลตฟอร์มฮาร์ดแวร์ส่วนใหญ่ได้รับการออกแบบโดยใช้คุณสมบัติการเข้ารหัสที่ราบรื่น เพื่อให้บริษัทของคุณสามารถปกป้องข้อมูลได้
คุณเข้ารหัสข้อมูลบนอุปกรณ์มือถืออย่างไร?
แพลตฟอร์มมือถือเช่น Android และ iOS มีการเข้ารหัสในตัว สำหรับ iPhones การตั้งค่าง่ายๆ จากนั้นแตะ ID และรหัสผ่าน และตัวเลือกรหัสผ่าน จะช่วยให้คุณเลือกรหัสตัวเลขหรือตัวอักษรและตัวเลขสำหรับอุปกรณ์ได้ สำหรับ Android กระบวนการนี้สามารถทำได้โดยไปที่การตั้งค่า จากนั้นไปที่ความปลอดภัย จากนั้นไปที่เข้ารหัสโทรศัพท์ และสุดท้าย คุณจะต้องตั้งค่ารหัสตัวเลข สำหรับ Android กระบวนการนี้ครอบคลุมและอาจใช้เวลานานถึงหนึ่งชั่วโมง – อย่าลืมเสียบโทรศัพท์ไว้
คุณเข้ารหัสข้อมูลในการขนส่งอย่างไร
Secure sockets layer (SSL) เป็นวิธีปกป้องข้อมูลของคุณในขณะที่กำลังย้ายจากอุปกรณ์หนึ่งไปอีกอุปกรณ์หนึ่ง หากคุณเคยเห็นคำว่า "ปลอดภัย" ข้าง URL บนเว็บไซต์ แสดงว่าเป็นอุโมงค์ข้อมูล SSL ในที่ทำงาน SSL ถูกใช้อย่างชัดแจ้งสำหรับเบราว์เซอร์และโซลูชันระบบคลาวด์เพื่อจัดเตรียมชั้นของการเข้ารหัสสำหรับการถ่ายโอนไฟล์
วิธีการเข้ารหัสทั้งหมดเหล่านี้จะปกป้องข้อมูลของคุณเมื่ออยู่บนฮาร์ดไดรฟ์ แต่สำหรับการปฏิบัติตาม HITECH-HIPAA ข้อมูลของคุณจะต้องได้รับการปกป้องในขณะที่กำลังส่ง ผู้ให้บริการอย่าง 8×8, Mitel, RingCentral for Healthcare และ Zoom ต่างก็ให้การเข้ารหัสระหว่างการส่งสำหรับสมาชิกของพวกเขา และยังมีข้อตกลง BAA ด้วย ผู้ให้บริการเหล่านี้ล้วนมีค่ามากสำหรับความสามารถในการเข้ารหัสข้อมูลของคุณในขณะที่กำลังส่ง ซึ่งเป็นช่วงที่ข้อมูลที่ได้รับการป้องกันบางส่วนมีความเสี่ยงมากที่สุด
นอกจากนี้ เกตเวย์การเข้ารหัสบนคลาวด์ยังเป็นพร็อกซีความปลอดภัยบนคลาวด์ที่ทำงานในระดับแอปพลิเคชัน โซลูชันเหล่านี้เข้ารหัสและแปลงข้อมูลเป็นโทเค็นทีละรายการ สิ่งเหล่านี้ทำงานเป็นโซลูชันระหว่างการขนส่งที่ยอดเยี่ยมและสามารถกำหนดค่าได้เพื่อให้องค์กรสามารถเปลี่ยนอัลกอริทึมสำหรับการเข้ารหัสได้ทันที คุณจะสามารถเลือกระดับการเข้ารหัสที่สูงขึ้นหรือเลือกใช้การเข้ารหัสที่เข้มงวดน้อยกว่าเล็กน้อยเพื่อรักษารูปแบบไฟล์และการจัดเรียงใดๆ ที่เกี่ยวข้องกับไฟล์
แนวทางปฏิบัติที่ดีที่สุดสำหรับการเข้ารหัส
ในการปกป้องตัวคุณเองและข้อมูล ePHI ขององค์กร คุณต้องดำเนินการสองสามขั้นตอน ต่อไปนี้คือรายการแนวทางปฏิบัติที่ดีที่สุดสำหรับการเข้ารหัสที่เป็นมิตรกับ HITECH-HIPAA
ลงทุนในซอฟต์แวร์เข้ารหัสระดับสูง
การละเมิด HIPAA ทำลายธุรกิจขนาดเล็ก ดังนั้นการลงทุนในโซลูชันการเข้ารหัสที่มีคุณลักษณะครบถ้วนมากขึ้นซึ่งจะเป็นไปตามมาตรฐานความปลอดภัยระดับประเทศจึงคุ้มค่ากับค่าใช้จ่าย วิธีแก้ปัญหาที่ดีจะเข้ารหัสอย่างรวดเร็ว และหลายๆ ตัวก็มีเครื่องมือที่จะช่วยแก้ปัญหาที่อาจจะเกิดขึ้นได้ ตัวอย่างเช่น หากมีข้อผิดพลาด เครื่องมือเข้ารหัสที่ดีจะแจ้งเตือนคุณและนำเสนอโซลูชันที่คุณสามารถใช้เพื่อทำให้ระบบมีมาตรฐานความปลอดภัย นอกจากนี้ ซอฟต์แวร์ที่มีคุณภาพจะสร้างบันทึกเพื่อให้ผู้ดูแลระบบสามารถตรวจสอบสถานะของข้อมูลที่เข้ารหัสได้
จัดการคีย์อย่างชาญฉลาด
ตามเอกสารที่จัดทำโดย HHS ข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทั้งหมด (PHI) จะต้องอ่านไม่ได้อย่างสมบูรณ์โดยไม่มีระบบคีย์เฉพาะ ข้อกำหนดของ HIPAA ระบุว่าข้อมูลต้องได้รับการเข้ารหัสโดยใช้อัลกอริธึม และคีย์ต้องไม่อยู่ในอุปกรณ์เดียวกันกับที่จัดเก็บข้อมูลผู้ป่วย
คีย์การเข้ารหัสช่วยให้คุณสามารถถอดรหัสข้อมูลใดๆ ที่อาจจัดเก็บไว้ในไดรฟ์หรือเซิร์ฟเวอร์ของคุณได้อย่างรวดเร็ว HHS ต้องการความปลอดภัยระดับสูงสำหรับคีย์เหล่านี้ และระบุว่าคุณต้องไม่จัดเก็บคีย์บนอุปกรณ์เดียวกันกับที่เก็บข้อมูลที่เข้ารหัสไว้ การจัดการคีย์ที่เหมาะสมนั้นต้องการให้คุณรักษาคีย์เหล่านี้ให้ปลอดภัย เนื่องจากการทำคีย์หายหมายความว่าคุณจะสูญเสียข้อมูลของคุณ เป็นความคิดที่ดีที่จะใช้ผู้ให้บริการพื้นที่เก็บข้อมูลเพื่อให้คุณมีวิธีการดึงข้อมูลที่ปลอดภัยเมื่อต้องการข้อมูล
ทดสอบความปลอดภัยรายวัน
ในฐานะเจ้าของธุรกิจและผู้มีส่วนได้ส่วนเสียหลัก คุณจะต้องมีกระบวนการจัดการแบบรวมศูนย์ที่ปลอดภัยสำหรับข้อมูลที่เข้ารหัสทั้งหมด ซึ่งหมายความว่าเป็นความคิดที่ดีที่จะค้นหาโซลูชันการเข้ารหัสที่ช่วยให้คุณใช้แดชบอร์ดบนเว็บที่จะให้ตัวชี้วัดที่มีรายละเอียดว่าเกิดอะไรขึ้นกับข้อมูลที่เข้ารหัสของคุณ ด้วยสิ่งนี้ คุณจะสามารถติดตามมาตรการรักษาความปลอดภัยและสถานะของข้อมูลสุขภาพที่สามารถระบุตัวตนที่เข้ารหัสบนเซิร์ฟเวอร์และอุปกรณ์ที่เกี่ยวข้องได้ ซึ่งรวมถึงการแจ้งเตือนเกี่ยวกับการอัปเดต การกำหนดค่าอุปกรณ์ และบันทึก
ใช้การตรวจสอบผู้ใช้
ตั้งแต่เริ่มต้น HIPAA ต้องการให้องค์กรใช้การพิสูจน์ตัวตนผู้ใช้เพื่อเข้าถึงข้อมูล ePHI บริษัทส่วนใหญ่ใช้ชื่อผู้ใช้และรหัสผ่าน แต่มีเทคโนโลยีใหม่ๆ ที่ช่วยเสริมความปลอดภัยเมื่อทำงานกับข้อมูลที่ละเอียดอ่อน ด้วยเครื่องมือที่เหมาะสม ความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตจะลดลงอย่างมากภายในระบบข้อมูลผู้ป่วย ตัวอย่างเช่น การใช้เทคโนโลยีเช่นโทเค็นการเข้ารหัสและไบโอเมตริกซ์เป็นวิธีที่แน่นอนเพื่อให้แน่ใจว่ามีเพียงผู้ใช้ที่ได้รับการรับรองความถูกต้องเท่านั้นที่จะสามารถควบคุมการเข้าถึงข้อมูลที่เข้ารหัสของพวกเขาได้
ทำไมคุณควรเข้ารหัสข้อมูลของคุณ?
เมื่อคุณรู้วิธีเริ่มการเข้ารหัสและแนวทางปฏิบัติที่ดีที่สุดแล้ว มาดูเหตุผลสำคัญสองสามประการในการเข้ารหัสข้อมูลของคุณ
ปกป้องบริษัทจากความรับผิด
อย่าถูกจับกับค่าปรับหลายล้านดอลลาร์ การเข้ารหัสจะปกป้องข้อมูลของคุณจากการรักษาความปลอดภัยการละเมิดที่คุกคามธุรกิจของคุณ นอกจากนี้ยังปกป้องคุณจากความรับผิด ผู้ป่วยที่ถูกขโมยข้อมูลได้ยื่นฟ้องการละเมิดความเป็นส่วนตัว โดยเฉพาะอย่างยิ่งหากผู้ป่วยหลายรายได้รับผลกระทบจากการละเมิดข้อมูล การเข้ารหัสเป็นทางเลือกที่ถูกกว่ามาก
ลดความซับซ้อนของการใช้งานเทคโนโลยีใหม่
เทคโนโลยีอัปเดตอย่างต่อเนื่องและเทคโนโลยีใหม่สำหรับการเข้ารหัสอย่างต่อเนื่อง การเข้ารหัสตามผู้ให้บริการมีประโยชน์ในการอัพเดทอัตโนมัติโดยพนักงานของพวกเขา เมื่อมีการอัปเดตและเทคโนโลยีใหม่ องค์กรของคุณจะอัปเกรดเพื่อให้มีการรักษาความปลอดภัย ePHI ในระดับที่สูงขึ้น แม้แต่ซอฟต์แวร์ที่ติดตั้งในองค์กรก็สามารถอัปเดตได้อย่างรวดเร็วโดยเจ้าหน้าที่ไอทีเพื่อเพิ่มชั้นการป้องกันข้อมูลเพิ่มเติม โดยเฉพาะอย่างยิ่งสำหรับผู้ให้บริการ VoIP ที่มีโครงสร้างบนคลาวด์
ด้วยการเพิ่มขึ้นของระบบอัตโนมัติและ AI เชิงสนทนา ข้อมูลของลูกค้าที่เก็บรวบรวมจำเป็นต้องได้รับการปกป้อง
รับรองข้อมูลบันทึกการโทรที่เก็บไว้
ข้อมูลที่รวบรวมด้วยซอฟต์แวร์บันทึกการโทรสามารถปกป้องบริษัทของคุณได้ เนื่องจากมีข้อมูลที่เป็นประโยชน์ที่เป็นประโยชน์ต่อองค์กรของคุณ หากผู้ป่วยตัดสินใจพาคุณขึ้นศาล ภายใต้ HIPAA และ HITECH ข้อมูลบันทึกการโทรส่วนใหญ่จะถูกเก็บไว้โดยไม่มีกำหนด ดังนั้นจึงพร้อมใช้อย่างมีความหมายเมื่อจำเป็น
การปฏิบัติตาม HITECH และ HIPAA ช่วยประหยัดเงิน
ไม่ว่าองค์กรของคุณจะทำงานโดยตรงในด้านการดูแลสุขภาพหรือคุณเพียงแค่มีลูกค้าที่เป็นผู้ให้บริการด้านการดูแลสุขภาพ คุณต้องปฏิบัติตามข้อกำหนดของ HITECH-HIPAA โซลูชันการเข้ารหัสที่เหมาะสมสำหรับการสื่อสารและข้อมูลที่จัดเก็บของคุณจะทำให้คุณมีกรอบงานการรักษาความปลอดภัยที่จะปกป้องคุณจากค่าปรับและการฟ้องร้อง ผู้ป่วยและลูกค้ามีสิทธิ์ในความเป็นส่วนตัว ดังนั้นควรปรึกษากับองค์กรไอทีของคุณเพื่อพิจารณาว่าคุณได้ทำตามขั้นตอนที่จำเป็นทั้งหมดเพื่อเข้ารหัสข้อมูลที่เกี่ยวข้องอย่างสมบูรณ์หรือไม่
คุณอาจพิจารณาว่าการเข้ารหัสแบบพรีเมียมเป็นค่าใช้จ่ายที่ไม่จำเป็น แต่การใช้จ่ายเพิ่มอีกสองสามดอลลาร์สำหรับการปฏิบัติตาม HITECH-HIPAA ที่เพิ่มขึ้นจะป้องกันไม่ให้ธุรกิจของคุณกลายเป็นเรื่องราวสยองขวัญที่ละเมิดข้อมูลล่าสุด
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการบันทึกการโทรเพื่อให้เป็นไปตามข้อกำหนดที่ดียิ่งขึ้น โปรดดูคู่มือของเราเกี่ยวกับคุณลักษณะการบันทึกการโทรเพื่อดูเมื่อเลือกโซลูชัน