Coviant Software CEO’su Gregory Hoffer tarafından
Herkes biliyor birisi eski model araba delisi kimdir. Sert havalarda bebeklerini garajda tutuyorlar ve güneşli günlerde bir tur atmak ve göstermek için yuvaya koyuyorlar. O araba yolda değilken, kaput yukarıda ve arkadaşınız (veya belki bir amca, komşu veya yalnızca arabanın kendisinden tanıdığınız biri) yağlı kot pantolon ve tişört giymiş, çamurluğa doğru eğilmiş. elinde bir İngiliz anahtarı, bir sonraki şehre giderken bir kedi yavrusu gibi mırıldandığından emin olmak için motor bloğundaki bir şeyi kurcalıyor.
Evet, yeni aracınızla gurur duyuyorsunuz. Belki bir plug-in EV veya yüksek teknoloji gösterge panosuna sahip bir SUV. Ortalama bir profile sahip hızlı bir spor araba veya sizi gitmek istediğiniz yere konfor ve stil içinde götüren ferah bir sedan olabilir. Ama içten içe o kişiyi ve onların klasik Detroit kaslarını kıskanıyorsun. Ses ve görünüm taklit edilemez ama aynı zamanda bir klasiği üretim hattından çıktıktan onlarca yıl sonra bile çalışır durumda tutmak için gereken beceriye gıpta edersiniz. Ve eski arabanın gösterişli konforlardan yoksun olmasına rağmen, en yeni modelle aynı temel işlevi yerine getiriyor (yalnızca daha soğuk).
Yeni Modeller Eski Klasiklere Karşı
Bilgi güvenliği ve gizlilik düzenlemeleri ile çok farklı değil. Düzenli bir ritimle, dünyanın dört bir yanındaki hükümetler, hassas kişisel verilerin kutsallığını korumayı amaçlayan yeni yasalar çıkarır. Burada ABD’de, Avrupa Birliği’nin Genel Veri Gizliliği Yönetmeliği’ne (GDPR) göre modellenen birkaç yeni eyalet yasası 2023’te yürürlüğe girecek. Yurtdışındaki yeni düzenlemeler arasında Dijital Operasyonlara Dayanıklılık Yasası (DORA); 2021’den beri Çin Halk Cumhuriyeti, Kişisel Bilgileri Koruma Yasasını (PIPL), Siber Güvenlik Yasasını (CSL) ve Giden Veri Aktarımı Güvenlik Değerlendirmesini benimsemiştir; 2020’de Avrupa Birliği’nden ayrılmasının ardından Birleşik Krallık, 2018 Veri Koruma Yasasını (DPA) GDPR’ye uyacak şekilde uyarladı; Kanada’da Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasasını (PIPEDA) güncellemek için çabalar sürmektedir; Japonya’nın Kişisel Bilgilerin Korunması Yasasının (APPI) en son gelişimi 2022’de yürürlüğe girdi; ve vuruş devam ediyor.
Ancak tüm bu güçlendirilmiş, modern kısaltmalar piyasaya çıkıp baş uyum, gizlilik ve bilgi güvenliği görevlilerinin özlemle solumasına neden olurken, işlemeye devam eden, krom tamponları güneş ışığında parıldayan klasik bir düzenleme var: Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA).
Çeyrek Yüzyılın Standardı
HIPAA, bir hükümet tarafından yürürlüğe giren ilk veri gizliliği yönetmeliği değildi, ancak yasa 1996’da sokaklara ilk çıktığında, bu, hantal ve kutulu arabalardan kuyruklu çağa geçmek gibiydi. Cesur ve küstahtı; herkes dikkate aldı. Kuyruk yüzgeçlerinin Uzay Çağı’nın doğuşunu yansıtması gibi, HIPAA da Dijital Çağ’ın ihtiyaçlarını ve dijital hale gelirken hassas sağlık verilerini koruma ihtiyacını yansıtıyordu. 2009’da HIPAA, dijital sağlık kayıtlarının benimsenmesini hızlandırmak için Ekonomik Bakım Yasası kapsamında federal bir yetkiyi takiben yeniden tasarlandı. Bu, Ekonomik ve Klinik Sağlık için Sağlık Bilgi Teknolojisi Yasası’nın (HITECH) yürürlüğe girdiği, mevcut yasayı güçlendirdiği ve HIPAA-HITECH (hala en yaygın olarak HIPAA olarak anılan) haline geldiği zamandı.
HIPAA, kısmen çeyrek yüzyıldan fazla bir süredir yürürlükte olduğu için, ama aynı zamanda kişisel – ve genellikle hassas – sağlık verilerini gizli tutmanın önemini kavramanın kolay olması nedeniyle en tanınmış veri koruma düzenlemelerinden biri olmaya devam ediyor. Tıbbi kayıtları tutarken dikkatsizce atılacak bir yanlış adımın hastaya zarar verebileceğini anlamak için avukat olmanıza gerek yok. Ve, HIPAA’nın yürürlüğe girmesinden bu yana geçen çeyrek yüzyılda meydana gelen veri koruma düzenlemelerinin çoğalmasına rağmen, korunan sağlık bilgilerinin (PHI) düzgün bir şekilde yönetilmesi ve güvenceye alınması, uyumluluk konusundaki en göz korkutucu görevlerden biri olmaya devam ediyor.
PHI’yi Güvenli Bir Şekilde Yönetmek Çok Büyük Bir Görevdir
Tıbbi verilerin HIPAA güvenlik gerekliliklerine uygun olarak işlenmesiyle ilgili zorluklardan biri, PHI’nin birçok farklı biçimde olabilmesidir. Tecrübelerimize göre, her biri çok farklı ihtiyaçlara sahip birkaç büyük sağlık kuruluşuyla çalışıyoruz. Bazı örnekler şunları içerir:
ilk on yönetilen bakım hizmeti sağlayıcısı: yaklaşık çeyrek milyon dosya
Önemli bir Güneydoğu sağlık ağı: on binlerce dosya
Büyük bir Doğu Kıyısı hastane: on binlerce dosya
bölgesel tıbbi görüntüleme hizmetleri şirket: yüzlerce dosya
Bu veriler için her gün koordine edilmesi ve yürütülmesi gereken yüzlerce farklı harici hedef olabilir: sigorta şirketleri, birinci basamak hekimleri, tamamlayıcı tıbbi hizmet sağlayıcıları, avukatlar, devlet kurumları, işverenler ve daha fazlası. Yapılması gereken çok şey var – otomasyon da dahil olmak üzere teknik destek olmadan insanlar için çok fazla şey – ve herhangi bir hata, PHI’nin açığa çıkmasına ve tehlikeye atılmasına neden olarak potansiyel bir HIPAA ihlalini tetikleyebilir.
HIPAA Uyumluluğu İçin Dört Temel Adım
Yasayı uygulamakla görevli kurum olan ABD Sağlık ve İnsani Hizmetler Departmanına göre, PHI ile ilgilenen ve HIPAA’yı takip etmesi gereken kuruluşların dahil olduğu tüm karmaşıklıklara rağmen, kuruluşların uyumlu hale gelmesi için dört adım vardır:
- Oluşturdukları, aldıkları, sürdürdükleri veya ilettikleri tüm e-PHI’ların gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak;
- Bilgilerin güvenliğine veya bütünlüğüne yönelik makul olarak tahmin edilen tehditleri belirleyin ve bunlara karşı koruyun;
- Makul olarak tahmin edilen, izin verilmeyen kullanımlara veya ifşalara karşı koruma; Ve,
- İşgücünün uyumluluğunu sağlayın.
Doğru Araçlar Bir Uyumluluk Motorunu Ayarlı Tutar
Bu noktaların her birini basit bir araçla ele alarak kuruluşların kaosu yönetmesine ve HIPAA ve diğer düzenlemeler kapsamındaki uyum programlarını desteklemesine yardımcı olduk. Bu, güvenli bir yönetilen dosya aktarımı (MFT) platformudur ve şunları sağlar:
- OpenPGP kullanarak ve SFTP ve diğer güvenli aktarım protokollerini kullanarak şifreli kanallarda çalışarak dosya şifrelemeyi otomatikleştirir;
- DMZ’de hiçbir kullanıcı verisinin, kimlik doğrulama verisinin veya şifreleme anahtarının saklanmadığından emin olmak için güvenlik duvarının arkasında ve ağ DMZ’sinde bir uç ağ geçidi ile konuşlandırılır, böylece hizmetler ve veriler makul şekilde tahmin edilen güvenlik tehditlerinden korunur;
- Erişimi yalnızca kimliği doğrulanmış kullanıcılarla ve çok faktörlü kimlik doğrulama desteğiyle sınırlı tutar; Ve,
- İnsan hatası riskini en aza indirmek ve işgücü uyumluluğunu kolaylaştırmak için veri aktarım sürecinin tüm yönleriyle tamamen otomatikleştirilmiş kodsuz basit kurulum, yapılandırma ve operasyonlar sunar.
Dahası, tam denetlenebilirlik için tüm operasyonel kayıtlar tutulur. Denetlenebilirlik olmadan, uyumluluğu kanıtlamak için gerekli belgeleri sağlamak zordur.
Tek başına hiçbir teknoloji, bir kuruluşun bilgi güvenliği ve veri gizliliği programlarını HIPAA’ya veya başka herhangi bir düzenlemeye uygun hale getiremez, ancak bu tür programları oluştururken doğru çözümleri seçmek önemlidir. Ve klasik bir otomobilin bakımında olduğu gibi, HIPAA uyum programınızın iyi yağlanmış bir makine gibi çalışmasını sağlamak için ayarlama zamanı geldiğinde doğru aletler önemlidir.
yazar hakkında
Gregory Hoffer, güvenli, yönetilen dosya aktarım platformu Diplomat MFT’nin üreticisi olan San Antonio merkezli Coviant Software’in CEO’sudur. Greg’in kariyeri, yirmi yılı aşkın süredir başarılı organizasyonel liderlik ve ödüllü ürün geliştirmeyi kapsamaktadır. Federal Bilgi İşleme Standartları (FIPS), DMZ Ağ Geçidi, OpenPGP ve büyük dosyaları ve aktarılan verileri korumak için gerekli olan diğer özellikleri gerçekleştirmeye yardımcı olan çığır açan teknoloji ortaklıklarının kurulmasında etkili oldu.
Daha fazla bilgi için çevrimiçi olarak Coviant Software’i ziyaret edin veya şu adresi takip edin: Coviant Yazılımı Twitter ve LinkedIn’de.