如何加密符合 HITECH 和 HIPAA 标准的数据 [指南]

已发表: 2020-03-02

如果您的公司在使用患者数据的领域工作,则您必须遵守 HIPAA 合规性安全规则。 两项法案保护电子健康记录。 HIPAA 是在克林顿执政期间建立的,旨在为拥有可靠数字医疗保健系统的患者设计,即使他们在工作之间也是如此。 奥巴马政府期间制定的 HITECH 法案旨在弥补 HITECH 的弱点并促进医疗机构采用数字记录。

这两项法案都通过建立敏感信息管理规则来保护美国人的健康数据。 由于这两项法案都规定组织必须填写商业协议来管理美国健康信息,因此即使是离岸组织也要承担责任。 仅通过对静止的客户数据(如通话记录和记录)进行加密来保护这些数据是不够的——组织还必须在数据传输时对其进行保护。 合规是避免严厉处罚的唯一方法。

HIPAA 和 HITECH 都旨在为客户带来额外的便利。 该法案允许患者在方便时使用提供的用户 ID 查看他们的健康信息。 受电子保护的健康信息 (ePHI) 是敏感数据,合规将保护您和您的员工免于未来的责任。

合规性还确保医疗信息可以与医疗保健专业人员和患者进行数字化共享。 通过数字平台共享医疗信息的经过验证的服务称为远程医疗服务,这些通信技术可以保护语音、数据和任何图像免受数据泄露。

  • 什么是 HIPAA?
  • 什么是HITECH?
  • HITECH-HIPAA 合规性如何影响企业?
  • 加密医疗记录的保障措施
    • 技术保障
    • 物理保障
    • 行政保障
  • 加密数据保护组织
  • 加密数据的方法
    • 如何在 PC 上加密数据?
    • 您如何加密移动设备上的数据?
    • 您如何加密传输中的数据?
  • 加密的最佳实践是什么?
    • 投资高端加密软件
    • 智能管理密钥
    • 测试安全日报
    • 实施用户认证
  • 为什么要加密数据?
    • 保护公司免于承担责任
    • 简化新技术实施
    • 确保存档的通话录音数据
  • 保持 HITECH 和 HIPAA 合规性可以节省资金

什么是 HIPAA?

《健康保险流通与责任法案》是国会首次尝试帮助个人在工作之间维护他们的健康记录和保险。 最初的法案于 1996 年通过,并在 2003 年和 2005 年得到更新。除了使员工和前雇员的健康保险更容易维护之外,HIPAA 也是一项通过采用虚拟专用网络 (VPN) 和传输层安全 (TLS) 加密。

  • VPN:虚拟专用网络在机密数据进出网络时对其进行加密。
  • TLS:传输层安全性是一种使用密码加密患者数据的协议。 一些生成密码的算法不如其他算法安全。

HIPAA 直接影响健康计划、医疗保健提供者和医疗保健票据交换所。 该法案最初并未涵盖这些组织的商业伙伴。 在移动设备上访问的任何信息都必须使用医疗保健持有人和患者的用户 ID。 数据泄露往往发生在设备级别,加密协议和网络级别的加密技术可确保患者和公司设备不会导致漏洞。 “自带设备”政策必须要求安装加密软件。

HIPAA 违规可能代价高昂——2019 年 5 月,Touchstone Medical Imaging 因使用第三方数据中心暴露了 300,000 多名患者的电子健康记录 (HER) 而被处以 300 万美元的罚款。

什么是HITECH?

《经济和临床健康信息技术法案》最初旨在为医疗保健组织及其员工提供金钱上的理由来更新他们的患者数据。 HITECH 架构师认识到,在电子健康信息交换增加的时代,需要加强保护。 HITECH 最初是在 2009 年奥巴马政府期间通过的。

将数据数字化的医疗保健组织从政府那里获得现金奖励,但所有受影响的组织都有责任安全处理患者受保护的健康记录。 医疗保健公司及其相关合作伙伴的违规行为分为四个级别,反映了违规行为的责任级别。 在最高级别,单个安全漏洞的罚款为 150 万美元。 重要的是要了解 HITECH 将责任放在组织及其员工的肩上,并要求他们对故意忽视负责。

HITECH-HIPAA 合规性如何影响企业?

如果您使用患者医疗数据(即使是切线),您的企业需要确保完全合规。 这包括直接数据,甚至可能包含有关患者健康计划或病史信息的通话记录。 例如,如果使用该平台讨论患者医疗数据的任何方面,仅使用 Facetime 等广泛使用的应用程序将使您的公司面临处罚。 使用任何未经 HIPAA 或 HITECH 验证的远程医疗软件都是违反联邦法规的主要行为。

2013 年,美国卫生与公众服务部 (HHS) 发布了更新版的 HITECH-HIPAA 综合规则,有效扩大了受这两项法案影响的企业数量。 虽然这是几年前的事了,但企业完全有可能在 HITECH-HIPAA 水域游泳,却不知道他们受制于这些医疗保健合规法案的政策。

因此,如果您属于 HIPAA 涵盖实体的分类,这意味着您是医疗保健组织、医疗保健票据交换所、健康计划管理员或任何这些组织的业务伙伴,那么您需要确保精确合规或承担责任。 根据法律,业务伙伴必须签署业务伙伴协议 (BAA),以便他们了解他们应对错误的 ePHI 数据管理负责。

数据泄露的发生率越来越高,但通过正确的加密级别和正确选择的通信提供商,您将能够保护自己和您的数据。 每年,HHS 秘书都会向受影响的医疗保健实体发布指导——跟上这一点会提醒您联邦政策可能发生的任何变化。

在统一通信领域,可以发送数据的技术种类繁多。 这将包括公司短信、电子表格和视频会议软件。 它们中的每一个都通过互联网通信渠道传输相关数据,这意味着通信技术的各个方面都必须完全合规。 以下是一些必须加密以保护患者医疗保健数据的 UC 功能:

  • 文本
  • 语音电话
  • 通话录音
  • 传真
  • 语音邮件
  • 视频会议
  • 聊天
  • 文件共享

每个阶段的加密

此外,需要在数据处于静止状态和传输过程中进行加密。

在休息

这是当数据存储在静态位置时,例如在服务器上。 静态数据只是保留以供将来使用,并且加密用于确保使用可能由于数据包丢失而出现的后门的 VoIP 黑客将无法访问正在存储的数据。 攻击者重视这类数据,因为它往往更完整。

在途中

传输中的数据对 VoIP 电话服务和 UC 有直接影响,因为这种类型的加密发生在数据被分成数据包并发送到目的地时。 传输中数据加密不仅用于通过 Internet 连接传输的信息,有时,这种加密也用于通过局域网 (LAN) 或广域网 (WAN) 传输的数据。

加密医疗记录的保障措施

数据加密

在保护患者信息方面,HIPAA 安全规则规定了几个关键保护措施的实施。 联邦法律规定的类型包括技术、物理和行政保障。 安全管理过程很复杂,但通过正确的实施,您的组织将获得高水平的保护。

技术保障

HIPAA 和 HITECH 法案规定,技术保障是“用于保护受保护的电子健康信息并控制对其访问的技术和政策程​​序”。

这些保障措施的实施将取决于组织的规模和行业。 因此,您的组织需要识别患者数据管理中可能存在的任何风险或漏洞。

您将需要实施一些访问控制方法,引入活动日志和审计控制。 除此之外,您还需要引入一些 ePHI 身份验证方法,以便可以检测到任何更改或损坏的数据。 为了提高安全性,自动注销带有 HITECH-HIPAA 数据的设备也是一种保障措施,可以确保物理设备上的任何数据都受到保护。 即使那些被授予设施访问权限的人也无法访问具有受保护数据的设备。

物理保障

HIPAA 法规还规定了您的组织需要在您的 ePHI 安全措施中添加物理层的一些方法。 例如,您需要严格控制设施访问,以便只有授权代理才能获得对包含敏感数据的服务器和设备的物理访问权限。

工作站定位和安全使用也是您必须实施的保障措施。 例如,需要使用工作站周围的障碍物等物体。 HIPAA 规则还规定了如何在这些设备上执行 ePHI 功能。

具有患者信息的设备可能存在安全风险,即使它们不再被积极使用。 HIPAA 指南规定必须保留和维护 ePHI 硬件清单。 此外,必须在移动工作站之前制作任何 ePHI 的副本。 在移动电子媒体(如密钥驱动器)时,还必须遵守适当的数据管理。

最后,由于企业移动性允许从智能手机和移动设备远程存储和访问患者数据,因此也必须对这些项目使用保护措施。 贵公司必须制定政策,详细说明当用户离开组织或设备升级或重复使用时如何从这些设备中删除患者数据。 遵循这些准则的正确设备处理程序将防止直接访问安全事件。

行政保障

为了遵守与 ePHI 数据管理有关的 HIPAA 隐私规则,需要实施最终的保护措施。 这些将需要结合 HITECH-HIPAA 的隐私和安全规则要求的政策和程序。

根据联邦法规,您需要进行定期风险评估,以确定与患者数据的所有接触点。 任何使用 ePHI 的区域都需要进行评估。 如果存在可能发生数据泄露的点,则必须对其进行识别并加固任何漏洞。

必须定期重复此风险评估阶段。 除此之外,如果有员工违反了与这些数据相关的任何政策,那么还必须有一项制裁政策来解决和减少事件发生的机会。

此外,为了防止数据泄露,还需要安排定期培训,以进一步降低数据泄露事件发生的可能性。 培训的主题可以包括如何应对潜在的数据泄露以及如何识别恶意软件。 您必须记录用作防止攻击和违规的管理保障的任何培训。

您还需要制定、测试和实施应急计划。 这是为了在紧急情况下保护数据,这可能是数据泄露或自然灾害。 适当的计划可确保业务流程中的失误是可解决的,并且程序可以继续进行,而不会使数据面临进一步的风险。 在紧急模式下,需要使用备份和策略来帮助恢复任何丢失的数据。

现代企业通常需要第三方的帮助。 HIPAA 和 HITECH 规定业务合作伙伴应对数据泄露负责,但组织还必须限制对不需要的第三方的数据访问。 这包括分包商、软件供应商和上级组织。 此外,任何被授予访问权限的第三方都需要签署 BAA 协议。

最后,当检测到安全事件时,需要进行报告。 有时,安全事件并不总是表明存在违规行为,但在所有情况下,都必须报告这些事件,以便控制事件并检索数据。 这将允许相关方进行风险评估并确定数据是否被盗或丢失。 正确的报告可以更好地进行灾难恢复,并可以促进更好的风险分析。

HIPAA 违规通知要求规定,企业必须立即披露已发生受保护医疗数据的违规行为。 根据 HIPAA,违规定义为“一般而言,隐私规则下不允许的使用或披露会损害受保护健康信息的安全性或隐私性”。 在违规情况下,您必须向受影响的个人和 HHS 秘书报告。 联邦政策甚至可能规定也必须向媒体报告违规行为。

加密数据保护组织

加密数据组织

不合规不仅会暴露患者数据,而且使用未加密通信的做法会削弱利益相关者的信心,并会损害您组织的声誉。 由于一次 HITECH 违规行为造成数百万美元的损失,不合规的组织也很容易因为不安全的信息而被淘汰出局。

为了合规,所有电话和外部设备都必须包含使用用户 ID 的身份验证,并且必须使用静态加密记录和安全保存所有呼叫数据。 如果笔记本电脑或手机被盗,这将保护您组织的数据。 除了存储语音信息的通话记录外,在与患者通话期间执行的所有管理功能都需要记录。 这称为存储元数据。

由于这些行为会影响企业及其合作伙伴,因此 VoIP 电话服务和 UC 提供商必须符合 HIPAA。 这也意味着无法使用几个月后删除录音数据的服务提供商。 此外,必须避免任何具有低存储上限的提供商,因为通话录音和元数据会占用服务器上的大量空间。

加密数据的方法

数据加密不仅适用于希望符合 HIPAA 和 HITECH 标准的企业,任何处理个人身份信息 (PII) 的中小型企业 (SMB) 都需要使用加密方法。 这包括静态数据和传输中数据的加密实践。 与医疗保健无关的数据泄露可能不会受到监管处罚,但此类数据泄露仍可能使您的组织面临与泄露相关的诉讼。

如何在 PC 上加密数据?

对于 Mac 系统,FileVault 和 GNU Privacy Guard 等软件可用于加密计算机,使数据符合 HIPAA 和 HITECH 标准。 对于 Windows 机器,BitLocker 和 Veracrypt 等解决方案是有用的选择。

当数据被加密时,它被分解成一个随机的字符集合,需要使用密钥或密码来解锁。 恶意方解锁加密数据的主要方法是拥有解密密钥,该密钥应仅掌握在 IT 人员和受信任的员工手中。 幸运的是,当涉及到静态数据时,大多数硬件平台都设计有加密功能的顺利实施,以便您的公司可以保护其信息。

您如何加密移动设备上的数据?

Android 和 iOS 等移动平台具有内置加密功能。 对于 iPhone,只需简单地访问设置,然后是 Touch ID 和密码,以及密码选项,您就可以为设备选择数字或字母数字代码。 对于 Android,可以通过导航到设置、安全、加密电话来完成该过程,最后,您需要设置一个数字代码。 在 Android 上,这个过程很长,可能需要一个小时——一定要让你的手机插上电源。

您如何加密传输中的数据?

安全套接字层 (SSL) 也是一种在数据从设备移动到设备时保护数据的方法。 如果您曾经在网站上的 URL 旁边看到“安全”字样,这就是 SSL 隧道在起作用。 SSL 明确用于浏览器和云解决方案,为文件传输提供一层加密。

所有这些加密方法都将保护您的数据,因为它位于硬盘驱动器上,但为了符合 HITECH-HIPAA 标准,您的数据在传输时需要受到保护。 8×8、Mitel、RingCentral for Healthcare 和 Zoom 等提供商都为其订户提供传输中加密,并且还拥有 BAA 协议。 此类提供商都非常有价值,因为它们能够在传输过程中加密您的数据,这是某些受保护信息最容易受到攻击的时候。

此外,云加密网关是在应用程序级别工作的云安全代理。 这些解决方案逐项加密和标记数据。 这些作为出色的传输解决方案工作,并且它们是可配置的,因此组织可以动态更改加密算法。 您将能够选择更高级别的加密或选择稍微不那么严格的加密级别,以保留文件格式和与文件相关的任何排序。

加密最佳实践

为了保护您自己和您组织的 ePHI 数据,您需要采取一些步骤。 这是 HITECH-HIPAA 友好型加密最佳实践的快速列表。

投资高端加密软件

违反 HIPAA 会破坏小型企业,因此投资于功能更全、符合国家安全标准的加密解决方案是非常值得的。 一个好的解决方案可以快速加密,而且许多解决方案都有工具可以帮助解决可能出现的任何问题。 例如,如果出现错误,一个好的加密工具会提醒您并提供一个解决方案,您可以使用该解决方案使系统达到安全标准。 此外,质量软件将创建日志,以便管理员能够查看加密数据的状态。

智能管理密钥

根据 HHS 提供的文件,所有受保护的健康信息 (PHI) 必须在没有专用密钥系统的情况下完全无法破解。 HIPAA 要求规定必须使用算法对数据进行加密,并且密钥不得位于存储患者信息的同一设备上。

加密密钥为您提供了一种快速解密可能存储在您的驱动器或服务器上的任何数据的方法。 HHS 要求这些密钥具有高级别的安全性,并声明您不得将密钥存储在存储加密数据的同一设备上。 正确的密钥管理要求您妥善保管这些密钥,因为丢失它们意味着您将丢失数据。 使用存储提供程序是个好主意,这样您就可以在需要数据时使用安全的方法进行检索。

测试安全日报

作为企业所有者和主要利益相关者,您将希望为所有加密数据建立一个安全的集中管理流程。 这意味着寻找允许您利用基于 Web 的仪表板的加密解决方案是一个好主意,该仪表板将提供详细说明加密数据发生情况的指标。 有了一个,您将能够了解最新的安全措施以及服务器和相关设备上加密的可识别健康信息的状态。 这包括有关更新、设备配置和日志的警报。

实施用户认证

从一开始,HIPAA 就要求组织使用用户身份验证来访问 ePHI 数据。 大多数公司都使用用户名和密码,但在处理敏感数据时,有一些新技术可以提高安全性。 使用正确的工具,可以大大降低患者信息系统中未经授权访问的风险。 例如,实施加密令牌和生物识别等技术是确保只有经过身份验证的用户才能对其加密数据进行访问控制的可靠方法。

为什么要加密数据?

保护客户数据

既然您知道如何开始加密和一些最佳实践,让我们来看看加密数据的几个关键原因。

保护公司免于承担责任

不要被数百万美元的罚款所抓住。 加密将保护您的数据免受威胁您业务的数据泄露的影响。 它还可以保护您免于承担责任; 数据被盗的患者已经提起了侵犯隐私诉讼,特别是如果多名患者受到数据泄露的影响。 加密是一种便宜得多的选择。

简化新技术实施

技术不断更新,加密新技术不断发布。 基于提供商的加密具有由其员工自动更新的好处。 当更新和新技术可用时,您的组织会升级以提供更高级别的 ePHI 安全性。 即使是在本地安装的软件也可以由 IT 人员快速更新,以添加额外的数据保护层。 对于具有基于云的结构的 VoIP 提供商来说尤其如此。

随着自动化系统和对话式人工智能的增加,需要保护收集的客户信息。

确保存档的通话录音数据

使用通话记录软件收集的数据可以保护您的公司,因为它包含有用的信息,如果患者决定将您告上法庭,您的组织将受益。 在 HIPAA 和 HITECH 下,大多数通话记录数据会无限期保存,因此可以在需要时进行有意义的使用。

保持 HITECH 和 HIPAA 合规可节省资金

无论您的组织直接从事医疗保健工作,还是只有医疗保健提供者的客户,您都必须符合 HITECH-HIPAA。 正确的通信和存储数据加密解决方案将为您提供一个安全框架,保护您免受罚款和诉讼。 患者和客户拥有隐私权,因此请与您的 IT 组织交谈,以确定您是否已采取所有必要步骤来完全加密您的相关数据。

您可能会认为高级加密是不必要的开支,但多花几美元来提高 HITECH-HIPAA 合规性将防止您的企业成为最新的数据泄露恐怖故事。

有关记录呼叫以提高合规性的更多信息,请查看我们的呼叫记录功能指南,以便在选择解决方案时注意。