What is HIPAA Compliance?

Il Legge sulla portabilità e accessibilità dell'assicurazione sanitaria (HIPAA) è una normativa concepita per proteggere le informazioni sanitarie dei pazienti negli Stati Uniti. Alcune organizzazioni che hanno accesso a informazioni sanitarie protette (PHI) sono tenute a implementare i controlli di sicurezza, i processi e le procedure delineati nella normativa HIPAA.

Scheda Tecnica Compliance Richiedi una Demo

What is HIPAA Compliance?

Chi deve essere conforme alla normativa HIPAA e perché?

L'HIPAA definisce due tipi di organizzazioni che sono tenute a rispettare i suoi requisiti:

  • Entità coperte: L'HIPAA definisce "entità coperte" le organizzazioni sanitarie e i loro dipendenti che hanno accesso ai dati personali. Questo include medici, infermieri e compagnie di assicurazione.
  • Associati d'affari: Secondo l'HIPAA, i "soci in affari" sono organizzazioni che forniscono servizi alle entità coperte che comportano l'accesso ai dati personali. Per esempio, un'organizzazione che gestisce la fatturazione per un fornitore di servizi sanitari ha accesso al nome, all'indirizzo, ecc. dei pazienti, che sono protetti come PHI ai sensi dell'HIPAA.

 

Secondo l'HIPAA, sia le entità coperte che i soci in affari devono rispettare l'HIPAA. Le entità coperte sono regolate direttamente dall'Ufficio per i Diritti Civili (OCR) del Dipartimento della Salute e dei Servizi Umani (HHS). I requisiti HIPAA vengono applicati agli associati d'affari tramite i loro contratti con le entità coperte.

 

Tuttavia, il regolamento si applica solo alle organizzazioni che rientrano nella definizione di entità coperte o di associati d'affari ai sensi della legge. Altre organizzazioni che hanno accesso alle informazioni sanitarie ma non le ricevono dalle entità coperte non sono soggette alle normative HIPAA. Per esempio, gli sviluppatori di app per la salute e il fitness che raccolgono informazioni sanitarie direttamente dagli utenti, ma che non sono un'organizzazione sanitaria, non sono tenuti a rispettare le sue direttive.

 

Tuttavia, queste organizzazioni potrebbero trarne beneficio. L'HIPAA descrive le migliori prassi per la protezione dei dati personali e la loro osservanza può ridurre l'esposizione dell'organizzazione alle minacce informatiche e la probabilità e l'impatto di una potenziale violazione dei dati. Inoltre, nel caso di una violazione o di un incidente di sicurezza, la conformità alla normativa aiuta a dimostrare che l'azienda ha eseguito la dovuta diligenza e ha compiuto un buon sforzo per proteggere i dati dei suoi clienti.

Quali sono le regole HIPAA?

L'HIPAA è suddiviso in due regole principali: la Privacy Rule e la Security Rule. A queste regole si aggiungono la Breach Notification Rule, che descrive come le organizzazioni debbano segnalare una violazione di PHI, e la Omnibus Rule, che ha esteso i requisiti HIPAA anche agli associati d'affari.

Regola sulla privacy. Gli Standard per la Privacy delle Informazioni Sanitarie Identificabili Individualmente (Privacy Rule) stabiliscono come le organizzazioni sanitarie debbano proteggere alcuni tipi di informazioni sanitarie loro affidate. La Privacy Rule definisce i casi in cui è possibile accedere e divulgare i dati personali. Definisce inoltre le salvaguardie che le entità coperte devono attuare per proteggere le informazioni personali e conferisce ai pazienti alcuni diritti relativi alle loro informazioni personali.

 

Regola di sicurezza. Gli Standard di Sicurezza per la Protezione delle Informazioni Sanitarie Protette Elettroniche (Security Rule) descrivono i controlli di sicurezza informatica che le aziende devono attuare per le informazioni sanitarie protette (PHI) che vengono archiviate o trasferite elettronicamente. Fornisce controlli concreti sulla sicurezza informatica, processi e procedure che le organizzazioni devono mettere in atto per soddisfare i requisiti di protezione dei dati delineati nella Privacy Rule.

I dati protetti dall'HIPAA

L'HIPAA è stato concepito per proteggere le informazioni personali fornite dai pazienti alle entità coperte e ai loro associati d'affari. HHS definisce diciotto tipi di identificatori PHI, tra cui:

  1. Nome
  2. Indirizzo
  3. Date chiave 
  4. Numero di previdenza sociale
  5. Numero di telefono
  6. Indirizzo e-mail
  7. Numero di fax
  8. Numero del beneficiario del piano sanitario
  9. Numero di cartella clinica
  10. Numero di certificato/licenza
  11. Numero di conto
  12. Identificatori del veicolo, numeri di serie o numeri di targa
  13. Identificatori del dispositivo o numeri di serie
  14. Indirizzo IP
  15. URL web
  16. Foto a figura intera
  17. Identificatori biometrici, come le impronte digitali o vocali.
  18. Qualsiasi altro numero, caratteristica o codice di identificazione unico.

Violazioni comuni dell'HIPAA

La conformità HIPAA è obbligatoria per le entità coperte, e queste organizzazioni possono essere sanzionate in caso di non conformità. L'HIPAA definisce quattro livelli di violazione:

  • Livello 1: L'entità coperta non era a conoscenza della violazione e la violazione non avrebbe potuto essere realisticamente evitata se l'entità coperta avesse fatto uno sforzo in buona fede per rispettare l'HIPAA. Le sanzioni vanno da 100 a 50.000 dollari.
  • Livello 2: L'entità coperta era a conoscenza della violazione, ma non era possibile evitarla, visti gli sforzi in buona fede per rispettare l'HIPAA. Le sanzioni vanno da 1.000 a 50.000 dollari.
  • Livello 3: La violazione si è verificata a causa di una "negligenza intenzionale" delle regole HIPAA che l'entità coperta ha tentato di correggere. Le sanzioni vanno da 10.000 a 50.000 dollari.
  • Livello 4: La violazione si è verificata a causa di una "negligenza intenzionale" che l'entità coperta non ha tentato di correggere. Le sanzioni partono da 50.000 dollari.

La maggior parte delle violazioni dell'HIPAA comprende la rottura di PHI, intenzionalmente o meno. Alcune comuni violazioni dell'HIPAA includono:

  • Dispositivo smarrito o rubato
  • ransomware e altri malware
  • Credenziali utente compromesse
  • Condivisione accidentale dei dati tramite e-mail, social media, ecc.
  • Irruzione fisica in ufficio
  • Violazione delle cartelle cliniche elettroniche (EHR)

Lista di controllo della conformità HIPAA

Il raggiungimento della Conformità HIPAA è un processo in più fasi. Alcuni passi chiave da compiere sono:

  1. Determinare i suoi obblighi di conformità: Come accennato in precedenza, l'HIPAA si applica alle entità coperte e - attraverso di esse - ai loro associati d'affari. Secondo l'HIPAA, le entità coperte sono definite come fornitori di servizi sanitari, piani sanitari e centri di clearing sanitario. I loro soci d'affari sono tutte le organizzazioni con cui condividono le informazioni personali. 
  2. Imparare le regole HIPAA: Le Regole sulla privacy e sulla sicurezza HIPAA definiscono le responsabilità di un'entità coperta o di un associato d'affari ai sensi dell'HIPAA. La comprensione dei controlli, delle politiche e dei processi richiesti è essenziale per raggiungere e mantenere la Conformità. 
  3. Identificare l'ambito di conformità: L'HHS definisce diciotto tipi di dati che si qualificano come PHI e che devono essere protetti ai sensi dell'HIPAA. Identificare dove questi tipi di dati vengono archiviati, elaborati e trasmessi all'interno dell'ambiente IT di un'organizzazione è essenziale per determinare quali sistemi e personale sono soggetti ai mandati dell'HIPAA. 
  4. Perform a Gap Assessment: Un'organizzazione può disporre di alcuni dei controlli HIPAA richiesti, ma altri possono mancare. Una valutazione delle lacune rispetto ai requisiti HIPAA è necessaria per identificare i punti in cui l'azienda non riesce a soddisfare i requisiti di conformità. 
  5. Distribuire i controlli mancanti: Una valutazione delle lacune può identificare i punti in cui l'organizzazione non è attualmente conforme. Dopo aver identificato queste lacune, sviluppi e attui una strategia per colmare i buchi. 
  6. Creare la documentazione richiesta: L'HIPAA richiede che le entità coperte abbiano determinate politiche e processi documentati. Se manca qualche processo o non è documentato, generi i documenti necessari. 
  7. Si prepari agli audit di conformità: Il superamento di un audit di Conformità richiede la capacità di dimostrare a un auditor che i controlli di sicurezza, i processi e le procedure di un'organizzazione soddisfano i requisiti della normativa. Sviluppi un piano per affrontare l'audit e raccolga tutti i dati e i rapporti necessari prima dell'audit.

Come può aiutare Check Point

L'obiettivo principale dell'HIPAA è quello di proteggere i PHI affidati alle entità coperte e ai loro associati d'affari. Le norme HIPAA sulla privacy e sulla sicurezza impongono alle organizzazioni di controllare e monitorare l'accesso ai dati personali e di proteggerli da accessi non autorizzati.

Check Point offre una serie di soluzioni che aiutano fornitori di servizi sanitari e altre organizzazioni per ottenere la Conformità con l'HIPAA e altre normative. Check Point CloudGuard esegue Monitoraggio della Conformitàraccolta di dati e generazione di report per gli ambienti basati sul cloud. Per saperne di più sull'ottenimento della Conformità del cloud con CloudGuard, è invitato a Si registri per una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK