Hedef, kötü aktörlerin yetkisiz erişim kazanmasını önlemek olduğunda veri güvenliği yeterince zordur. Ancak bazen, diğer gereksinimler bunu daha da zorlaştırır.
Sağlık hizmeti sağlayıcıları ve veri ihtiyaçlarına hizmet eden şirketler için geçerlidir. Onlar için veri güvenliği, kontrolleri korumanın ve düzenleyici gereksinimleri karşılamanın karmaşık bir karışımıdır.
Hipaa güvenlik hakkında ne diyor
1996 Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası (HIPAA), elektronik sağlık işlemleri için ulusal güvenlik standartları belirler. Kapsayıcı amacı, sağlık şirketlerinin elektronik olarak saklarken veya paylaşırken hasta verilerini korumasını sağlamaktır.
HIPAA, Korumalı Sağlık Bilgileri (PHI) dediği şeye odaklanır. Düzenlemeleri, PHI’yi isim, adres, telefon numarası ve Sosyal Güvenlik numarası gibi standart kişisel bilgileri içerecek şekilde tanımlar. Bir hastanın kabul ve deşarj verileri ve tıbbi kayıt numaraları gibi bakımının bir sonucu olarak oluşturulan veriler de dahil edilmiştir. Bir hasta ve parmak izleri veya ses izleri gibi biyometrik tanımlayıcıların fotoğrafları da Phi olarak kabul edilir.
Kurallar kapsamındaki kuruluşlar sadece hastalarla ilgilenen sağlık kuruluşlarını değil, aynı zamanda Phi’yi yönetmede rol oynayan herhangi bir “iş ortakları” da yer almaktadır. HIPAA, bu iş ortaklarını, kapsamlı bir iş ortağı adına “sağlık hizmetleri oluşturan, alan, koruyan veya ileten bir alt yüklenici” içerecek şekilde tanımlar. Ayrıca, verilere “veri iletim hizmetleri” veya “rutin olarak erişim gerektiren” sağlayan herkesi de kapsar.
Uyumlu kalmak için, PHI’yi ele alanlar, Phi’nin gizliliğini, bütünlüğünü ve mevcudiyetini sağlamayı amaçlayan bazı genel güvenlik standartlarını karşılamalıdır. Yasanın dili, onun kapsadığı kişileri, bilginin güvenliğine ve yasaya izin verilmeyen veya talep edilmeyen “makul olarak beklenen kullanım veya açıklamalara” karşı “makul olarak beklenen herhangi bir tehdit veya tehlikeye karşı koruma” olarak adlandırılır.
Güvenlik eğitimi bir başka önemli HIPAA gereksinimidir. Kapsanan varlıklar ve onları destekleyen iş ortaklarının “işgücünün” yasanın hükümlerine uygun olmasını sağlamak için adımlar atmaları gerektiğini söylüyor.
ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), “makul olarak beklenen bir tehdidi” ele alan güvenlik gerektirmenin, yasanın gereksinimlerini ölçeklendirilebilir hale getirmeyi amaçladığını açıklamaktadır. “Tek bedene uyan” bir güvenlik kurulumu istemek yerine, karşılaşılan tehditlerin-ve bunları ele almak için gereken kontrollerin-bir kuruluştan diğerine değişebileceğini kabul eder.
HHS, HIPAA tarafından ele alınanların, makul olarak kabul edilecek güvenlik derecesini değerlendirirken boyutları, karmaşıklığı ve yetenekleri de dahil olmak üzere çeşitli faktörleri dikkate almaları gerektiğini söylüyor. HHS’nin kapalı varlıklardan göz önünde bulundurmasını istediği bir diğer önemli faktör de, yönettiği elektronik PHI için “potansiyel risklerin olasılığı ve kritikliği” dir.
HIPAA uyumluluğuna doğru temel adımlar
Veri gizliliği ve güvenlik iş dünyasında standart haline gelmiştir. Boyutlarına veya sektörlerine bakılmaksızın, her türlü veriyi depolayan şirketler, sürekli bir saldırı barajını püskürtmek için güvenceleri olması gerektiğini biliyorlar.
Bununla birlikte, HIPAA güvenlik uyumluluğu, standart iş verileri gizliliği ve güvenlik süreçleri tarafından ele alınamayabilecek birkaç adım gerektirir. Örneğin, HIPAA kuralları veri önlemlerinin bir parçası olarak bir risk analizi gerektirir. Kuruluşların “kapsanan varlık veya iş ortağı tarafından tutulan elektronik korumalı sağlık bilgilerinin gizliliği, bütünlüğü ve kullanılabilirliği için potansiyel risklerin ve güvenlik açıklarının doğru ve kapsamlı bir değerlendirmesi” yapmasını gerektirirler.
Verimlilik uğruna ve maliyetleri düşük tutmak için, birçok kuruluş özelleştirilmiş bir risk değerlendirmesini atlar ve sadece endüstrilerinin standartlarıyla uyumlu kontroller uygular. Bu yaklaşım HIPAA’yı tatmin etmiyor.
HIPAA ayrıca bir “yaptırım politikası” gerektirir. Kuruluşların “kapsanan kuruluşun veya iş ortağının güvenlik politikalarına ve prosedürlerine uymayan işgücü üyelerine karşı uygun yaptırımlar” uygulaması gerektiğini açıklamaktadır. İnsan hatası bir güvenlik dökümüne yol açtığında, HIPAA sorumlu çalışanın karşısında resmi eylemin yapılması gerektiğini söyledi.
Dokümantasyon, HIPAA’nın standart veri gizliliği ve güvenlik prosedürlerinin önceliklendirilmeyebilmesini bekleyen başka bir bileşendir. HIPAA, belgelerin veri güvenliğini desteklemek için uygulanan politikaları ve prosedürleri göstermesi gerektiğini söyledi. Ayrıca periyodik olarak gözden geçirilmeli, gerektiğinde güncellenmeli ve uygulamadan sorumlu olanlara sunulmalıdır.
Gelişen ihtiyaçlara ayak uydurmak
Veri güvenliği, herhangi bir kuruluş için sürekli olarak değerlendirilmeli ve korunmalıdır. Her gün yeni tehditler ortaya çıkıyor ve onları etkisiz hale getirmek için sürekli olarak yeni güvenlik yamaları geliştiriliyor, bu nedenle güvenliklerinin eski büyümesine izin veren kuruluşlar kendilerini maliyetli sonuçlar riskine sokuyor.
Düzenleyici uyum da oyunda olduğunda, güncel kalmak daha da kritik hale gelir.
HHS kısa süre önce HIPAA’nın güvenlik gereksinimlerini güncelleme planlarını açıkladı. Duyuru, isteğe bağlı olarak kabul edilen bazı güvenlik kontrollerinin yakında zorunlu olacağını ileri sürüyor. Kuralların kapsadığı kuruluşlar için, olası bir değişikliğin etkilerini değerlendirmek mümkün olan en kısa sürede yapılması gereken bir şeydir.
HIPAA, onu destekleyen elektronik verilerin güvenliğini sağlayarak sağlık hizmetlerini daha etkili hale getirmeyi amaçlamaktadır. Sağlık alanında faaliyet gösteren kuruluşlar için bu, normun ötesine geçen veri güvenliği görevlerinin uygulanması anlamına gelir. HIPAA’nın güvenlik gereksinimlerini anlamak, bunları yerine koymak ve her zaman güncel ve etkili olduklarından emin olmak için uygunluk sorunlarından kaçınmak için anahtardır.
-Lindsay Dymowski Constantino, önde gelen bir LTC eczanesi ve LTC@Home Eczane Şirketlerinin kurucu ortağı ve başkanı olan Centennial Pharmacy Services’in başkanıdır ve ev ortamında uzun süreli bakım eczane hizmetleri sunulmasını vurgulamaktadır. Eczane alanında 15 yılı aşkın deneyime ve güçlü bir girişimcilik ruhu ile Lindsay, başarılı eczaneleri ilaç dağıtımının ötesinde neyin yönlendirdiğini derin bir anlayışa sahiptir-organizasyonel hedefleri hasta merkezli bakım yoluyla daha iyi sağlık sonuçlarına doğru desteklemeye odaklanmaktadır. Sağlık hizmetlerinde eczanenin geleceği konusunda tutkulu, ABD Haber ve Dünya Raporu gibi ulusal medyada yer aldı ve ulusal konferans sunumları, medya görünümleri, sürekli eğitim programları ve yönetim kurulu üyelikleri yoluyla aktif olarak katkıda bulunuyor. eczane uygulaması.
Reklam
LinkedIn grubumuz “Bilgi Güvenliği Topluluğu” nda 500.000’den fazla siber güvenlik uzmanına katılın!