Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri, HIPAA/HITECH
HHS OCR Kılavuzları İçeriden Öğrenenler için Öne Çıkan Yaptırımlar; Telesağlık Gizliliği, Güvenlik Riskleri
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
23 Ekim 2023
Sağlık kuruluşları, çalışanların HIPAA tarafından düzenlenen bilgileri dikkatsizce kullanması veya bilgileri siber suçlulara satması nedeniyle içeriden gelen tehditlerin hasta mahremiyetine yönelik riskler oluşturduğunun uzun süredir farkındadır.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Sağlık ve İnsani Hizmetler Bakanlığı Ofisi tarafından yayınlanan yeni bir kılavuz belgeye göre, bu tehditlerle mücadele etmek için sağlık firmalarının kötü davranışlar nedeniyle içerideki kişilere yaptırım uygulayacak ve tüm işyerinin HIPAA kurallarını ihlal etmenin sonuçlarını bilmesini sağlayacak güçlü politikalara ihtiyacı var. İnsan hakları. HHS ayrıca yakın zamanda sağlık hizmeti sağlayıcıları ve hastalar için telesağlık gizliliği ve güvenlik riskleri hakkında iki yeni kaynak yayınladı.
HIPAA’yı ihlal eden çalışanlara yönelik yaptırım politikalarına ilişkin yeni kılavuz, başka bir HHS biriminin (Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi) geçen yıl sosyal mühendislik programları yoluyla hassas sağlık bilgilerine erişim sağlayan bilgisayar korsanlarını içeren tehditler hakkında bir uyarı yayımlamasının ardından geldi.
HHS OCR, yaptırım politikalarının hesap verebilirliği artırmak ve veri korumasını geliştirmek için önemli bir araç olabileceğini söyledi. “Yaptırım politikaları, kimlik hırsızlığı halkaları yoluyla verilerin çalınması gibi kötü niyetli kişilerin kasıtlı eylemlerinin yanı sıra, bir ağ sunucusundaki verilerin güvenliğinin sağlanamaması gibi iş gücü üyelerinin politikalara ve prosedürlere uyma konusundaki başarısızlıklarını ele almak için kullanılabilir. veya potansiyel bir güvenlik olayını araştırın” dedi ajans.
Hem HIPAA Gizlilik Kuralı hem de Güvenlik Kuralı, kapsam dahilindeki kuruluşların ve iş ortaklarının kuralları ihlal eden iş gücü üyelerine yönelik yaptırım politikaları olmasını gerektirir, ancak düzenlemeler bireysel suçlar için herhangi bir özel ceza veya belirli yaptırım metodolojisi öngörmez.
HHS OCR, “Denetlenen bir kuruluşun politikalarını veya HIPAA Kurallarını ihlal eden iş gücü üyelerine yaptırım uygulamak, HIPAA uyumluluğu kültürü oluşturmada etkili olabilir ve uyumsuzluğun olumsuz bir sonuç doğuracağının bilinmesi uyum olasılığını artırdığı için gelişmiş siber güvenlik sağlayabilir.” HHS OCR söz konusu.
Ayrıca, kurum, işgücü üyelerini kuruluşun yaptırım politikası konusunda eğitmenin, işgücü üyelerine hangi eylemlerin yasak ve cezalandırılabilir olduğunu önceden bildirerek “uyumluluğu ve siber güvenlik konusunda daha fazla dikkatli olmayı da teşvik edebileceğini” belirtti.
HHS OCR, kuruluşlara, kurumun daha önce, hastaların korunan sağlık bilgilerini izinsiz bir şekilde ifşa eden iş gücü üyelerine yaptırım uygulamayarak HIPAA’yı potansiyel olarak ihlal eden kuruluşları içeren en az iki ihlal vakasında HIPAA yaptırım önlemleri aldığını hatırlattı.
Bu vakalar, 2017’de Houston, Teksas merkezli Memorial Hermann Sağlık Sistemi ile 2,4 milyon dolarlık bir anlaşmaya ve 2018’de Hartford Allergy Associates ile 125.000 dolarlık bir anlaşmaya yol açtı.
WilmerHale hukuk firmasından gizlilik avukatı Kirk Nahra, “HIPAA, şirketlerin çalışanların kurallara uymaları gerektiğini bilmeleri ve kurallara uymamaları halinde sonuçları olacağını bilmeleri gereken birçok alandan biri” dedi.
Nahra, “Pek çok şirket – bana göre oldukça uygun bir şekilde – kurallara uyulmaması nedeniyle her türlü yaptırıma genel olarak uygulanan daha geniş İK yaptırım politikalarına atıfta bulundu.” diye ekledi. Ancak HHS OCR’nin rehberliğini yaptırım politikalarından ziyade gelişmiş eğitimin önemine odaklaması gerektiğini öne sürdü.
“Çalışanlar ya eğitim ve daha iyi güvenlik politikalarının yardımcı olabileceği durumlarda hata yaparlar ya da eğitimin amaç olmadığı durumlarda kötü aktörlerdir ve belki de bunun sonuçlarının olacağını bilmeleri gerekir” dedi. “Yaptırım politikalarının genişletilmesinin burada ne kadar fark yaratacağından emin değilim.”
Telesağlık Rehberliği
HHS OCR’nin iki yeni tele-sağlık rehber belgesi, Başkan Joe Biden’ın Mayıs ayında, HHS OCR’nin belirli HIPAA ihlalleri için uygulama takdir yetkisi kullanacağını söylediği sınırlı feragat politikasını da sona erdiren, KOVİD ile ilgili üç yıllık ulusal halk sağlığı acil durumunu kaldırmasının ardından geldi. salgın sırasında. Bu yaptırım takdir yetkisi, tele-sağlıkla ilgili bazı potansiyel ihlaller için geçerliydi.
Ancak bu muafiyetler sona erdiğinden beri, yeni HHS OCR telesağlık kılavuz belgeleri sağlık hizmeti sağlayıcılarına telesağlığın kullanımıyla ilgili gizlilik ve güvenlik risklerini hatırlatıyor ve kuruluşların hastalarını riskler konusunda nasıl daha iyi eğitebileceklerine dair öneriler sunuyor.
“Telesağlık için Uzaktan İletişim Teknolojilerini Kullanırken Hastaları Korunan Sağlık Bilgilerine İlişkin Gizlilik ve Güvenlik Riskleri Konusunda Eğitmek” başlıklı yeni belge, sağlık hizmeti sağlayıcılarının hastalarla telesağlık gizliliği ve güvenlik risklerini tartışmasına yardımcı olacak öneriler sunuyor.
HHS OCR, HIPAA kapsamındaki kuruluşların hastaları PHI’ye yönelik tele-sağlık mahremiyeti ve güvenlik risklerinin nasıl azaltılacağı konusunda eğitmesini gerektirmese de, bu tür bilgilerin sağlanması “sağlayıcı ile hasta arasında daha etkili iletişimin desteklenmesine yardımcı olabilir, bu da kaliteli bakım için önemlidir” diye yazıyor HHS OCR.
Belgede “Hastalarınıza, tele sağlık için video konferans uygulamaları ve diğer uzaktan iletişim teknolojilerinin kullanılmasının, sağlık bilgilerinin gizliliği ve güvenliği açısından riskler oluşturabileceğini ve bu risklerin nasıl azaltılabileceğini anlatın” deniyor. HHS OCR, tele sağlık uygulamalarını kullanan ve sağlık hizmeti sağlayıcılarıyla diğer uzaktan iletişimi kullanan hastalar için kötü amaçlı yazılımdan koruma, yazılım yamaları ve güncellemeler de dahil olmak üzere çeşitli önleme ve hafifletme adımları önerdiğini belirtti.
İkinci yeni telesağlık kılavuzu olan “Hastalar için Telesağlık Gizliliği ve Güvenlik İpuçları”, hastaların bir telesağlık hizmeti, mobil uygulama veya hasta portalını kullanırken sağlık bilgilerini içeren gizlilik ve güvenlik risklerinden nasıl kaçınabilecekleri hakkında daha ayrıntılı ayrıntılar sağlar. Öneriler arasında çok faktörlü kimlik doğrulama ve şifrelemenin kullanılması ve halka açık Wi-Fi ve USB bağlantı noktalarının halka açık şarj istasyonları olarak kullanılmasından kaçınılması yer alıyor.
HHS OCR Direktörü Melanie Fontes Rainer yaptığı açıklamada, “Sağlık hizmeti sağlayıcıları, hastaların gizlilik ve güvenlik risklerini ve etkili siber güvenlik uygulamalarını anlamalarına yardımcı olarak tele-sağlığı destekleyebilir, böylece hastalar sağlık bilgilerinin gizli kalacağından emin olabilirler” dedi.
HHS OCR, Bilgi Güvenliği Medya Grubu’nun, materyallerin HIPAA ihlal raporlarında veya tele-sağlık veya iş gücü olaylarıyla ilgili şikayetlerde bir artışı yansıtıp yansıtmadığı ve kılavuzun, kurum tarafından 2015’te bekleyen uygulama eylemlerinin habercisi olup olmadığı da dahil olmak üzere, kılavuz belgelere ilişkin ek yorum talebine hemen yanıt vermedi. bu gibi durumlarda.
Nahra, telesağlığın HIPAA konusunda büyük bir kafa karışıklığı yaratmaya devam ettiğini söyledi. “Bu, hastalara sağlanan rahatlığın uygun güvenlik uygulamalarıyla dengelenmesinin temel meselesidir” dedi.
“OCR’nin uzaktan yakın görüşmelerde yaptırım önlemi almayacağını umuyorum. Yalnızca gerçekten vahim durumlara bakıyor olmalılar” dedi. “OCR’nin genel olarak iyi yürütülen bazı programların derinliklerine inme yönünde bazı eğilimler görüyoruz. Umarım dikkatlerini, kapsam dahilindeki kuruluşların hiçbir şekilde makul davranmadığı gerçek endişe verici alanlara odaklarlar.”