如何加密符合 HITECH 和 HIPAA 標準的數據 [指南]

已發表: 2020-03-02

如果您的公司在使用患者數據的領域工作,則您必須遵守 HIPAA 合規性安全規則。 兩項法案保護電子健康記錄。 HIPAA 是在克林頓執政期間建立的,旨在為擁有可靠數字醫療保健系統的患者設計,即使他們在工作之間也是如此。 奧巴馬政府期間制定的 HITECH 法案旨在彌補 HITECH 的弱點並促進醫療機構採用數字記錄。

這兩項法案都通過建立敏感信息管理規則來保護美國人的健康數據。 由於這兩項法案都規定組織必須填寫商業協議來管理美國健康信息,因此即使是離岸組織也要承擔責任。 僅通過對靜止的客戶數據(如通話記錄和記錄)進行加密來保護這些數據是不夠的——組織還必須在數據傳輸時對其進行保護。 合規是避免嚴厲處罰的唯一方法。

HIPAA 和 HITECH 都旨在為客戶帶來額外的便利。 該法案允許患者在方便時使用提供的用戶 ID 查看他們的健康信息。 受電子保護的健康信息 (ePHI) 是敏感數據,合規將保護您和您的員工免於未來的責任。

合規性還確保醫療信息可以與醫療保健專業人員和患者進行數字化共享。 通過數字平台共享醫療信息的經過驗證的服務稱為遠程醫療服務,這些通信技術可以保護語音、數據和任何圖像免受數據洩露。

  • 什麼是 HIPAA?
  • 什麼是HITECH?
  • HITECH-HIPAA 合規性如何影響企業?
  • 加密醫療記錄的保障措施
    • 技術保障
    • 物理保障
    • 行政保障
  • 加密數據保護組織
  • 加密數據的方法
    • 如何在 PC 上加密數據?
    • 您如何加密移動設備上的數據?
    • 您如何加密傳輸中的數據?
  • 加密的最佳實踐是什麼?
    • 投資高端加密軟件
    • 智能管理密鑰
    • 測試安全日報
    • 實施用戶認證
  • 為什麼要加密數據?
    • 保護公司免於承擔責任
    • 簡化新技術實施
    • 確保存檔的通話錄音數據
  • 保持 HITECH 和 HIPAA 合規性可以節省資金

什麼是 HIPAA?

《健康保險流通與責任法案》是國會首次嘗試幫助個人在工作之間維護他們的健康記錄和保險。 最初的法案於 1996 年通過,並在 2003 年和 2005 年得到更新。除了使員工和前僱員的健康保險更容易維護之外,HIPAA 也是一項通過採用虛擬專用網絡 (VPN) 和傳輸層安全 (TLS) 加密。

  • VPN:虛擬專用網絡在機密數據進出網絡時對其進行加密。
  • TLS:傳輸層安全性是一種使用密碼加密患者數據的協議。 一些生成密碼的算法不如其他算法安全。

HIPAA 直接影響健康計劃、醫療保健提供者和醫療保健票據交換所。 該法案最初並未涵蓋這些組織的商業夥伴。 在移動設備上訪問的任何信息都必須使用醫療保健持有人和患者的用戶 ID。 數據洩露往往發生在設備級別,加密協議和網絡級別的加密技術可確保患者和公司設備不會導致漏洞。 “自帶設備”政策必須要求安裝加密軟件。

HIPAA 違規可能代價高昂——2019 年 5 月,Touchstone Medical Imaging 因使用第三方數據中心暴露了超過 300,000 名患者的電子健康記錄 (HER) 而被處以 300 萬美元的罰款。

什麼是HITECH?

《經濟和臨床健康信息技術法案》最初旨在為醫療保健組織及其員工提供金錢上的理由來更新他們的患者數據。 HITECH 架構師認識到,在電子健康信息交換增加的時代,需要加強保護。 HITECH 最初是在 2009 年奧巴馬政府期間通過的。

將數據數字化的醫療保健組織從政府那裡獲得現金獎勵,但所有受影響的組織都有責任安全處理患者受保護的健康記錄。 醫療保健公司及其相關合作夥伴的違規行為分為四個級別,反映了違規行為的責任級別。 在最高級別,單個安全漏洞的罰款為 150 萬美元。 重要的是要了解 HITECH 將責任放在組織及其員工的肩上,並要求他們對故意忽視負責。

HITECH-HIPAA 合規性如何影響企業?

如果您使用患者醫療數據(即使是切線),您的企業需要確保完全合規。 這包括直接數據,甚至可能包含有關患者健康計劃或病史信息的通話記錄。 例如,如果使用該平台討論患者醫療數據的任何方面,僅使用 Facetime 等廣泛使用的應用程序將使您的公司面臨處罰。 使用任何未經 HIPAA 或 HITECH 驗證的遠程醫療軟件都是違反聯邦法規的主要行為。

2013 年,美國衛生與公眾服務部 (HHS) 發布了更新版的 HITECH-HIPAA 綜合規則,有效擴大了受這兩項法案影響的企業數量。 雖然這是幾年前的事了,但企業完全有可能在 HITECH-HIPAA 水域游泳,卻不知道他們受制於這些醫療保健合規法案的政策。

因此,如果您屬於 HIPAA 涵蓋實體的分類,這意味著您是醫療保健組織、醫療保健票據交換所、健康計劃管理員或任何這些組織的業務夥伴,那麼您需要確保精確合規或承擔責任。 根據法律,業務夥伴必須簽署業務夥伴協議 (BAA),以便他們了解他們應對錯誤的 ePHI 數據管理負責。

數據洩露的發生率越來越高,但通過正確的加密級別和正確選擇的通信提供商,您將能夠保護自己和您的數據。 每年,HHS 秘書都會向受影響的醫療保健實體發布指導——跟上這一點會提醒您聯邦政策可能發生的任何變化。

在統一通信領域,可以發送數據的技術種類繁多。 這將包括公司短信、電子表格和視頻會議軟件。 它們中的每一個都通過互聯網通信渠道傳輸相關數據,這意味著通信技術的各個方面都必須完全合規。 以下是一些必須加密以保護患者醫療保健數據的 UC 功能:

  • 文本
  • 語音電話
  • 通話錄音
  • 傳真
  • 語音郵件
  • 視頻會議
  • 聊天
  • 文件共享

每個階段的加密

此外,需要在數據處於靜止狀態和傳輸過程中進行加密。

在休息

這是當數據存儲在靜態位置時,例如在服務器上。 靜態數據只是保留以供將來使用,並且加密用於確保使用可能由於數據包丟失而出現的後門的 VoIP 黑客將無法訪問正在存儲的數據。 攻擊者重視這類數據,因為它往往更完整。

在途中

傳輸中的數據對 VoIP 電話服務和 UC 有直接影響,因為這種類型的加密發生在數據被分成數據包並發送到目的地時。 傳輸中數據加密不僅用於通過 Internet 連接傳輸的信息,有時,這種加密也用於通過局域網 (LAN) 或廣域網 (WAN) 傳輸的數據。

加密醫療記錄的保障措施

數據加密

在保護患者信息方面,HIPAA 安全規則規定了幾個關鍵保護措施的實施。 聯邦法律規定的類型包括技術、物理和行政保障。 安全管理過程很複雜,但通過正確的實施,您的組織將獲得高水平的保護。

技術保障

HIPAA 和 HITECH 法案規定,技術保障是“用於保護受保護的電子健康信息並控制對其訪問的技術和政策程序”。

這些保障措施的實施將取決於組織的規模和行業。 因此,您的組織需要識別患者數據管理中可能存在的任何風險或漏洞。

您將需要實施一些訪問控制方法,引入活動日誌和審計控制。 除此之外,您還需要引入一些 ePHI 身份驗證方法,以便可以檢測到任何更改或損壞的數據。 為了提高安全性,自動註銷帶有 HITECH-HIPAA 數據的設備也是一種保障措施,可以確保物理設備上的任何數據都受到保護。 即使那些被授予設施訪問權限的人也無法訪問具有受保護數據的設備。

物理保障

HIPAA 法規還規定了您的組織需要在您的 ePHI 安全措施中添加物理層的一些方法。 例如,您需要嚴格控制設施訪問,以便只有授權代理才能獲得對包含敏感數據的服務器和設備的物理訪問權限。

工作站定位和安全使用也是您必須實施的保障措施。 例如,需要使用工作站周圍的障礙物等物體。 HIPAA 規則還規定瞭如何在這些設備上執行 ePHI 功能。

具有患者信息的設備可能存在安全風險,即使它們不再被積極使用。 HIPAA 指南規定必須保留和維護 ePHI 硬件清單。 此外,必須在移動工作站之前製作任何 ePHI 的副本。 在移動電子媒體(如密鑰驅動器)時,還必須遵守適當的數據管理。

最後,由於企業移動性允許從智能手機和移動設備遠程存儲和訪問患者數據,因此也必須對這些項目使用保護措施。 貴公司必須制定政策,詳細說明當用戶離開組織或設備升級或重複使用時如何從這些設備中刪除患者數據。 遵循這些準則的正確設備處理程序將防止直接訪問安全事件。

行政保障

為了遵守與 ePHI 數據管理有關的 HIPAA 隱私規則,需要實施最終的保護措施。 這些將需要結合 HITECH-HIPAA 的隱私和安全規則要求的政策和程序。

根據聯邦法規,您需要進行定期風險評估,以確定與患者數據的所有接觸點。 任何使用 ePHI 的區域都需要進行評估。 如果存在可能發生數據洩露的點,則必須對其進行識別並加固任何漏洞。

必須定期重複此風險評估階段。 除此之外,如果有員工違反了與這些數據相關的任何政策,那麼還必須有一項製裁政策來解決和減少事件發生的機會。

此外,為了防止數據洩露,還需要安排定期培訓,以進一步降低數據洩露事件發生的可能性。 培訓的主題可以包括如何應對潛在的數據洩露以及如何識別惡意軟件。 您必須記錄用作防止攻擊和違規的管理保障的任何培訓。

您還需要製定、測試和實施應急計劃。 這是為了在緊急情況下保護數據,這可能是數據洩露或自然災害。 適當的計劃可確保業務流程中的失誤是可解決的,並且程序可以繼續進行,而不會使數據面臨進一步的風險。 在緊急模式下,需要使用備份和策略來幫助恢復任何丟失的數據。

現代企業通常需要第三方的幫助。 HIPAA 和 HITECH 規定業務合作夥伴應對數據洩露負責,但組織還必須限制對不需要的第三方的數據訪問。 這包括分包商、軟件供應商和上級組織。 此外,任何被授予訪問權限的第三方都需要簽署 BAA 協議。

最後,當檢測到安全事件時,需要進行報告。 有時,安全事件並不總是表明存在違規行為,但在所有情況下,都必須報告這些事件,以便控制事件並檢索數據。 這將允許相關方進行風險評估並確定數據是否被盜或丟失。 正確的報告可以更好地進行災難恢復,並可以促進更好的風險分析。

HIPAA 違規通知要求規定,企業必須立即披露已發生受保護醫療數據的違規行為。 根據 HIPAA,違規定義為“一般而言,隱私規則下不允許的使用或披露會損害受保護健康信息的安全性或隱私性”。 在違規情況下,您必須向受影響的個人和 HHS 秘書報告。 聯邦政策甚至可能規定也必須向媒體報告違規行為。

加密數據保護組織

加密數據組織

不合規不僅會暴露患者數據,而且使用未加密通信的做法會削弱利益相關者的信心,並會損害您組織的聲譽。 由於一次 HITECH 違規行為造成數百萬美元的損失,不合規的組織也很容易因為不安全的信息而被淘汰出局。

為了合規,所有電話和外部設備都必須包含使用用戶 ID 的身份驗證,並且必須使用靜態加密記錄和安全保存所有呼叫數據。 如果筆記本電腦或手機被盜,這將保護您組織的數據。 除了存儲語音信息的通話記錄外,在與患者通話期間執行的所有管理功能都需要記錄。 這稱為存儲元數據。

由於這些行為會影響企業及其合作夥伴,因此 VoIP 電話服務和 UC 提供商必須符合 HIPAA。 這也意味著無法使用幾個月後刪除錄音數據的服務提供商。 此外,必須避免任何具有低存儲上限的提供商,因為通話錄音和元數據會佔用服務器上的大量空間。

加密數據的方法

數據加密不僅適用於希望符合 HIPAA 和 HITECH 標準的企業,任何處理個人身份信息 (PII) 的中小型企業 (SMB) 都需要使用加密方法。 這包括靜態數據和傳輸中數據的加密實踐。 與醫療保健無關的數據洩露可能不會受到監管處罰,但此類數據洩露仍可能使您的組織面臨與洩露相關的訴訟。

如何在 PC 上加密數據?

對於 Mac 系統,FileVault 和 GNU Privacy Guard 等軟件可用於加密計算機,使數據符合 HIPAA 和 HITECH 標準。 對於 Windows 機器,BitLocker 和 Veracrypt 等解決方案是有用的選擇。

當數據被加密時,它被分解成一個隨機的字符集合,需要使用密鑰或密碼來解鎖。 惡意方解鎖加密數據的主要方法是擁有解密密鑰,該密鑰應僅掌握在 IT 人員和受信任的員工手中。 幸運的是,當涉及到靜態數據時,大多數硬件平台都設計有加密功能的順利實施,以便您的公司可以保護其信息。

您如何加密移動設備上的數據?

Android 和 iOS 等移動平台具有內置加密功能。 對於 iPhone,只需簡單地訪問設置,然後是 Touch ID 和密碼,以及密碼選項,您就可以為設備選擇數字或字母數字代碼。 對於 Android,可以通過導航到設置、安全、加密電話來完成該過程,最後,您需要設置一個數字代碼。 在 Android 上,這個過程很長,可能需要一個小時——一定要讓你的手機插上電源。

您如何加密傳輸中的數據?

安全套接字層 (SSL) 也是一種在數據從設備移動到設備時保護數據的方法。 如果您曾經在網站上的 URL 旁邊看到“安全”字樣,這就是 SSL 隧道在起作用。 SSL 明確用於瀏覽器和雲解決方案,為文件傳輸提供一層加密。

所有這些加密方法都將保護您的數據,因為它位於硬盤驅動器上,但為了符合 HITECH-HIPAA 標準,您的數據在傳輸時需要受到保護。 8×8、Mitel、RingCentral for Healthcare 和 Zoom 等提供商都為其訂戶提供傳輸中加密,並且還擁有 BAA 協議。 此類提供商都非常有價值,因為它們能夠在傳輸過程中加密您的數據,這是某些受保護信息最容易受到攻擊的時候。

此外,雲加密網關是在應用程序級別工作的雲安全代理。 這些解決方案逐項加密和標記數據。 這些作為出色的傳輸解決方案工作,並且它們是可配置的,因此組織可以動態更改加密算法。 您將能夠選擇更高級別的加密或選擇稍微不那麼嚴格的加密級別,以保留文件格式和與文件相關的任何排序。

加密最佳實踐

為了保護您自己和您組織的 ePHI 數據,您需要採取一些步驟。 這是 HITECH-HIPAA 友好型加密最佳實踐的快速列表。

投資高端加密軟件

違反 HIPAA 會破壞小型企業,因此投資於功能更全、符合國家安全標準的加密解決方案是非常值得的。 一個好的解決方案可以快速加密,而且許多解決方案都有工具可以幫助解決可能出現的任何問題。 例如,如果出現錯誤,一個好的加密工具會提醒您並提供一個解決方案,您可以使用該解決方案使系統達到安全標準。 此外,質量軟件將創建日誌,以便管理員能夠查看加密數據的狀態。

智能管理密鑰

根據 HHS 提供的文件,所有受保護的健康信息 (PHI) 必須在沒有專用密鑰系統的情況下完全無法破解。 HIPAA 要求規定必須使用算法對數據進行加密,並且密鑰不得位於存儲患者信息的同一設備上。

加密密鑰為您提供了一種快速解密可能存儲在您的驅動器或服務器上的任何數據的方法。 HHS 要求這些密鑰具有高級別的安全性,並聲明您不得將密鑰存儲在存儲加密數據的同一設備上。 正確的密鑰管理要求您妥善保管這些密鑰,因為丟失它們意味著您將丟失數據。 使用存儲提供程序是個好主意,這樣您就可以在需要數據時使用安全的方法進行檢索。

測試安全日報

作為企業所有者和主要利益相關者,您將希望為所有加密數據建立一個安全的集中管理流程。 這意味著尋找允許您利用基於 Web 的儀表板的加密解決方案是一個好主意,該儀表板將提供詳細說明加密數據發生情況的指標。 有了一個,您將能夠了解最新的安全措施以及服務器和相關設備上加密的可識別健康信息的狀態。 這包括有關更新、設備配置和日誌的警報。

實施用戶認證

從一開始,HIPAA 就要求組織使用用戶身份驗證來訪問 ePHI 數據。 大多數公司都使用用戶名和密碼,但在處理敏感數據時,有一些新技術可以提高安全性。 使用正確的工具,可以大大降低患者信息系統中未經授權訪問的風險。 例如,實施加密令牌和生物識別等技術是確保只有經過身份驗證的用戶才能對其加密數據進行訪問控制的可靠方法。

為什麼要加密數據?

保護客戶數據

既然您知道如何開始加密和一些最佳實踐,讓我們來看看加密數據的幾個關鍵原因。

保護公司免於承擔責任

不要被數百萬美元的罰款所抓住。 加密將保護您的數據免受威脅您業務的數據洩露的影響。 它還可以保護您免於承擔責任; 數據被盜的患者已經提起了侵犯隱私訴訟,特別是如果多名患者受到數據洩露的影響。 加密是一種便宜得多的選擇。

簡化新技術實施

技術不斷更新,加密新技術不斷發布。 基於提供商的加密具有由其員工自動更新的好處。 當更新和新技術可用時,您的組織會升級以提供更高級別的 ePHI 安全性。 即使是在本地安裝的軟件也可以由 IT 人員快速更新,以添加額外的數據保護層。 對於具有基於雲的結構的 VoIP 提供商來說尤其如此。

隨著自動化系統和對話式人工智能的增加,需要保護收集的客戶信息。

確保存檔的通話錄音數據

使用通話記錄軟件收集的數據可以保護您的公司,因為它包含有用的信息,如果患者決定將您告上法庭,您的組織將受益。 在 HIPAA 和 HITECH 下,大多數通話記錄數據會無限期保存,因此可以在需要時進行有意義的使用。

保持 HITECH 和 HIPAA 合規可節省資金

無論您的組織直接從事醫療保健工作,還是只有醫療保健提供者的客戶,您都必須符合 HITECH-HIPAA。 正確的通信和存儲數據加密解決方案將為您提供一個安全框架,保護您免受罰款和訴訟。 患者和客戶擁有隱私權,因此請與您的 IT 組織交談,以確定您是否已採取所有必要步驟來完全加密您的相關數據。

您可能會認為高級加密是不必要的開支,但多花幾美元來提高 HITECH-HIPAA 合規性將防止您的企業成為最新的數據洩露恐怖故事。

有關記錄呼叫以提高合規性的更多信息,請查看我們的呼叫記錄功能指南,以便在選擇解決方案時注意。