Jak zajistit, aby vaše aplikace pro zdravotnictví splňovala požadavky HIPAA

Zákon HIPAA mimo jiné chrání zdravotní údaje pacientů.

Anthem, největší americká pojišťovna, se to naučila na vlastní kůži.

Co začalo obyčejným phishingovým e-mailem, vedlo k největšímu úniku zdravotnických dat v historii. Hackeři ukradli údaje 79 milionů pacientů. Informace zahrnovaly jejich jména, čísla sociálního pojištění a zdravotní průkazy.

Naštvaní pacienti zažalovali společnost Anthem a získali vyrovnání ve výši 115 milionů dolarů. Přestože se společnost vyhnula pokutě od regulátora, bude muset vynaložit až 260 milionů dolarů na zlepšení svého zabezpečení.

Na dodržování HIPAA dohlíží Úřad pro občanská práva (OCR) HHS. Jen v roce 2017 udělil americkým poskytovatelům zdravotní péče pokuty ve výši téměř 20 milionů dolarů.

I když jste malá organizace, zanedbání požadavků HIPAA může vést k vážným problémům.

V roce 2013 zaznamenala společnost Fresenius Medical Care North America pět případů narušení bezpečnosti údajů. Dohromady odhalily údaje pouhých 525 pacientů. Společnost však musela zaplatit monstrózní pokutu ve výši 3,5 milionu dolarů, protože řádně neanalyzovala bezpečnostní rizika.

Podle míry nedbalosti existují čtyři pneumatiky pokut HIPAA:

Slovníček HIPAA

Před řešením požadavků HIPAA byste měli rozumět těmto třem klíčovým termínům.

• Chráněné zdravotní informace (PHI) – veškeré údaje, které lze použít k identifikaci pacienta.

PHI se skládají ze dvou částí: zdravotních informací a osobních identifikátorů. Mezi ty druhé patří jména pacientů, adresy, data narození, čísla sociálního pojištění, zdravotní záznamy, fotografie atd. Skutečnost, že jednotlivci byly poskytnuty lékařské služby, je PHI sama o sobě.

Co se považuje za PHI? Úplný seznam.

• Zahrnuté subjekty – organizace a jednotlivci, kteří nabízejí zdravotnické služby/operace nebo za ně přijímají platby.

Mezi ně patří všichni poskytovatelé zdravotní péče (např. nemocnice, lékaři, zubaři, psychologové), zdravotní plány (např. pojišťovny, HMO, vládní programy jako Medicare a Medicaid) a clearingová centra (organizace, které působí jako prostředníci mezi poskytovateli zdravotní péče a pojišťovnami).

• Obchodní partneři – třetí strany, které jménem krytých subjektů nakládají s PHI.

Do této kategorie patří vývojáři zdravotnických aplikací, poskytovatelé hostingu/úložiště dat, e-mailové služby atd.

Podle zákona HIPAA musíte s každou stranou, která má přístup k vašim PHI, podepsat smlouvu o obchodním partnerovi (BAA). Rozhodnutí nepodepsat smlouvu BAA vás nezbavuje požadavků HIPAA.

Může existovat mnoho neúmyslných způsobů, jak se citlivé údaje mohou dostat do vašeho systému.

Příklad služba, která umožňuje lékařům diagnostikovat kožní onemocnění na základě anonymních fotografií. Aplikace nezpracovává PHI, protože nelze identifikovat její uživatele. Jakmile však k fotografiím přidáte jméno nebo adresu osoby, stanou se z nich PHI.

Pokud vaše aplikace shromažďuje, ukládá nebo předává PHI subjektům, na které se vztahuje, musíte splňovat požadavky HIPAA.

Jak se stát kompatibilním s HIPAA?

Chcete-li být kompatibilní s HIPAA, budete muset pravidelně provádět technické i netechnické hodnocení svého úsilí o ochranu zdravotních informací a důkladně je dokumentovat. Regulační orgán zveřejnil vzorový protokol o auditu, který vám pomůže posoudit soulad s předpisy HIPAA.

Můžete si najmout nezávislého auditora, který toto posouzení provede za vás. Existuje mnoho organizací, například HITRUST, které se na takové věci specializují. Jen nezapomeňte, že úřad OCR neuznává žádné certifikáty třetích stran.

Technická bezpečnostní opatření. Bezpečnostní opatření, jako je přihlašování, šifrování, nouzový přístup, záznamy o činnosti atd. Zákon nespecifikuje, jaké technologie byste měli k ochraně PHI používat.

Fyzická ochranná opatření jsou zaměřena na zabezpečení zařízení a přístrojů, v nichž jsou PHI uloženy (servery, datová centra, počítače, notebooky atd.).

S moderními cloudovými řešeními se toto pravidlo většinou vztahuje na hosting vyhovující předpisu HIPAA.

Zákon se vztahuje na širokou škálu zdravotnického softwaru. Systém pro řízení nemocnic (HMS) se radikálně liší od aplikací pro vzdálenou diagnostiku. Existují však některé funkce, které jsou nezbytné pro všechny aplikace vyhovující HIPAA.

Předkládáme tedy minimální seznam požadovaných funkcí softwaru vyhovujícího HIPAA:

1. Aplikace, které jsou v souladu se zákonem HIPAA, musí být v souladu se zákonem HIPAA. Řízení přístupu

Každý systém, který uchovává PHI, by měl omezit, kdo může citlivé údaje prohlížet nebo měnit. Podle pravidel ochrany soukromí HIPAA by nikdo neměl vidět více informací o pacientech, než je nutné k výkonu jeho práce. Pravidlo také specifikuje zrušení identifikace, práva pacienta na prohlížení vlastních údajů a jeho možnost poskytnout nebo omezit přístup ke svým PHI.

Jedním ze způsobů, jak toho dosáhnout, je přidělit každému uživateli jedinečné ID. To by vám umožnilo identifikovat a sledovat činnost osob přistupujících k vašemu systému.

Dále budete muset každému uživateli přidělit seznam oprávnění, která mu umožní prohlížet nebo měnit určité informace. Můžete regulovat přístup k jednotlivým databázovým entitám a adresám URL.

V nejjednodušší podobě se řízení přístupu založené na uživatelích skládá ze dvou databázových tabulek. Jedna tabulka obsahuje seznam všech oprávnění a jejich ID. Druhá tabulka přiřazuje tato oprávnění jednotlivým uživatelům.

V tomto příkladu může lékař (ID uživatele 1) vytvářet, prohlížet a upravovat lékařské záznamy, zatímco radiolog (ID uživatele 2) je může pouze aktualizovat.
Řízení přístupu založené na rolích je další způsob, jak tento požadavek realizovat. Pomocí něj můžete přiřadit oprávnění různým skupinám uživatelů v závislosti na jejich pozici (např. lékaři, laboranti, administrátoři).

2. Ověřování osoby nebo subjektu

Po přiřazení oprávnění by váš systém měl být schopen ověřit, že osoba, která se snaží získat přístup k PHI, je ta, za kterou se vydává. Zákon nabízí několik obecných způsobů, jak můžete toto zabezpečení realizovat:

Heslo je jednou z nejjednodušších metod ověřování. Bohužel je také jednou z nejsnáze prolomitelných. Podle společnosti Verizon dochází k 63 % případů narušení bezpečnosti dat kvůli slabým nebo ukradeným heslům. Jiná zpráva uvádí, že pětina firemních uživatelů má snadno napadnutelná hesla.

Naopak skutečně bezpečné heslo:

• Skládá se nejméně z 8-12 znaků, které zahrnují velká písmena, číslice a speciální znaky;
• Vyloučí běžně používané kombinace (např. „heslo“, „123456“, „qwerty“ a z nějakého nevysvětlitelného důvodu „opice“) a slovíčka;
• Zakáže jakékoli varianty uživatelského jména;
• Zabrání opakovanému použití hesla.

Případně to může být řetězec náhodných slov rozbitých dohromady jako betonový nanuk.

Vaše aplikace by mohla tyto požadavky kontrolovat na registrační obrazovce a odepřít přístup uživatelům se slabými hesly.

Neexistuje nic takového jako příliš velké zabezpečení. Zdroj: mailbox.org

Některé organizace nutí své zaměstnance měnit hesla každých zhruba 90 dní. Pokud to děláte příliš často, může to ve skutečnosti poškodit vaše úsilí o zabezpečení. Když jsou lidé nuceni hesla měnit, často vymýšlejí neoriginální kombinace (např. heslo ⇒ pa$$word).

Hackeři navíc mohou špatné heslo prolomit během několika sekund a okamžitě ho použít.

Proto byste měli zvážit používání dvoufaktorového ověřování. Takové systémy kombinují bezpečné heslo s druhým způsobem ověření. Tím může být cokoli od biometrického skeneru až po jednorázový bezpečnostní kód obdržený prostřednictvím SMS.

Myšlenka je jednoduchá: i kdyby hackeři nějakým způsobem získali vaše heslo, museli by k přístupu k PHI ukrást vaše zařízení nebo otisky prstů.

Ale bezpečné ověřování nestačí. Někteří útočníci se mohou dostat mezi zařízení uživatele a vaše servery. Tímto způsobem by hackeři mohli získat přístup k PHI, aniž by došlo k ohrožení účtu. Jedná se o tzv. únos relace, což je druh útoků typu man-in-the-middle.

Jeden z možných způsobů únosu relace. Zdroj: ČESKÁ POZICE Zdroj: ČESKÁ POZICE Zdroj: ČESKÁ POZICE Heimdal Security

Digitální podpis je jedním ze způsobů obrany proti takovým útokům. Opětovné zadání hesla při podepisování dokumentu by prokázalo identitu uživatele.

S rostoucí složitostí rolí v systému může autorizace HIPAA stát v cestě pomoci pacientům. Má smysl zavést nouzový přístup. Takové postupy umožňují oprávněným uživatelům zobrazit jakákoli data, která potřebují, když to situace vyžaduje.

Lékař by například mohl v případě nouze přistupovat k PHI jakéhokoli pacienta. Současně by systém automaticky upozornil několik dalších osob a spustil postup přezkoumání.

3. Zabezpečení přenosu

Měli byste chránit PHI, které posíláte po síti a mezi jednotlivými úrovněmi systému.

Pro veškerou komunikaci (nebo alespoň pro registrační obrazovky, všechny stránky obsahující PHI a autorizační soubory cookie) byste proto měli vynutit protokol HTTPS. Tento zabezpečený komunikační protokol šifruje data pomocí SSL/TLS. Pomocí speciálního algoritmu mění PHI na řetězec znaků, který je bez dešifrovacích klíčů bezvýznamný.

Soubor zvaný SSL certifikát váže klíč k vaší digitální identitě.

Při navazování spojení HTTP s vaší aplikací si prohlížeč vyžádá váš certifikát. Klient pak ověří jeho důvěryhodnost a zahájí takzvaný SSL handshake. Výsledkem je šifrovaný komunikační kanál mezi uživatelem a vaší aplikací.

Chcete-li pro svou aplikaci povolit protokol HTTPS, pořiďte si certifikát SSL od některého z důvěryhodných poskytovatelů a řádně jej nainstalujte.

Také se ujistěte, že k odesílání souborů obsahujících PHI používáte zabezpečený protokol SSH nebo FTPS namísto běžného FTP.

SSL handshake; zdroj: úložiště SSL

Email není bezpečný způsob odesílání PHI.

Oblíbené služby jako Gmail neposkytují potřebnou ochranu. Pokud posíláte e-maily obsahující PHI mimo váš server chráněný firewallem, měli byste je šifrovat. Existuje mnoho služeb a rozšíření prohlížeče, které to mohou udělat za vás. Případně můžete použít e-mailovou službu splňující požadavky HIPAA, například Paubox.

Měli byste také zavést zásady, které omezí, jaké informace lze prostřednictvím e-mailů sdílet.

4. Šifrování/dešifrování

Šifrování je nejlepší způsob, jak zajistit integritu PHI. I kdyby se hackerům podařilo ukrást vaše data, bez dešifrovacích klíčů by vypadala jako blábol.

Nešifrované notebooky a další přenosná zařízení jsou častým zdrojem porušení HIPAA. Pro jistotu zašifrujte pevné disky všech zařízení, která obsahují PHI. Můžete tak učinit pomocí bezplatných šifrovacích nástrojů, jako je BitLocker pro systém Windows nebo FileVault pro systém Mac OS.

5. Likvidace PHI

Pokud již PHI nepotřebujete, měli byste je trvale zničit. Dokud zůstane jeho kopie v některé z vašich záloh, nejsou data považována za „zlikvidovaná“.

V roce 2010 vrátila společnost Affinity Health Plan své kopírky leasingové společnosti. Nevymazala však jejich pevné disky. Výsledkem bylo narušení bezpečnosti, které odhalilo osobní údaje více než 344 000 pacientů.

Affinity musela za tento incident zaplatit 1,2 milionu dolarů.

PHI se může skrývat na mnoha nečekaných místech: ve fotokopírkách, skeneru, biomedicínském zařízení (např. magnetické rezonanci nebo ultrazvukovém přístroji), přenosných zařízeních (např.např. notebooky), staré diskety, USB flash disky, DVD/CD disky, paměťové karty, flash paměť v základních deskách a síťových kartách, paměť ROM/RAM atd.

Kromě vymazání dat byste měli také řádně zničit média obsahující PHI, než je vyhodíte nebo darujete. V závislosti na situaci je můžete buď vymazat magneticky (např. pomocí degausseru), přepsat data pomocí softwaru, jako je DBAN, nebo disk zničit fyzicky (např. rozbít kladivem).

U paměťových disků založených na technologii flash (např. klíčenky USB) jsou data rozložena po celém médiu, aby se zabránilo jejich opotřebení. Z tohoto důvodu je obtížné citlivé informace zcela vymazat běžným softwarem pro ničení dat. K likvidaci flash disků však můžete použít nástroje výrobce, jako je například Samsung Magician Software (nebo prostě použít kladivo).

6. Zálohování a ukládání dat

Zálohování je pro integritu dat nezbytné. Poškození databáze nebo havárie serveru může snadno poškodit vaše PHI. Stejně tak požár v datovém centru nebo zemětřesení.

Proto je důležité mít uloženo více kopií PHI na několika různých místech.

Váš plán zálohování PHI by měl určovat pravděpodobnost ohrožení dat. Všechny informace s vysokým a středním rizikem by měly být zálohovány denně a uloženy v bezpečném zařízení. S poskytovateli zálohování byste také měli podepsat smlouvu BAA.

Záloha je k ničemu, pokud ji nemůžete obnovit.

V srpnu 2016 se společnost Martin Medical Practice Concepts stala obětí útoku ransomwaru. Společnost zaplatila hackerům za dešifrování informací PHI. Kvůli selhání zálohování však místní nemocnice přišly o informace o 5 000 pacientech.

Pravidelně testujte svůj systém, abyste předešli selhání obnovy. Měli byste také zaznamenávat výpadky systému a případná selhání při zálohování PHI.

A nezapomeňte, že samotné zálohování by mělo být v souladu s bezpečnostními standardy HIPAA.

7. Kontrola auditu

Absence kontroly auditu by mohla vést k vyšším pokutám.

Měli byste sledovat, co se děje s PHI uloženými ve vašem systému. Zaznamenávejte každé přihlášení a odhlášení uživatele ze systému. Měli byste vědět, kdo, kdy a kde přistupoval k citlivým datům, kdy je aktualizoval, upravoval nebo mazal.

Monitorování lze provádět softwarovými, hardwarovými nebo procedurálními prostředky. Jednoduchým řešením by bylo použití tabulky v databázi nebo souboru protokolu, který by zaznamenával všechny interakce s informacemi o pacientovi.

Tato tabulka by se měla skládat z pěti sloupců:

• user_id. Jedinečný identifikátor uživatele, který provedl interakci s PHI;
• název_entity. Entita, se kterou uživatel interagoval (Entita je reprezentace nějakého reálného konceptu ve vaší databázi, např. zdravotní záznam);
• record_id. Identifikátor entity;
• typ_akce. Povaha interakce (vytvoření, čtení, aktualizace nebo odstranění);
• action_time. Přesný čas interakce.

V tomto příkladu lékař (user_id 1) vytvořil záznam pacienta, radiolog jej prohlížel a později tentýž lékař záznam změnil.

Budete muset pravidelně kontrolovat záznamy o činnosti, abyste zjistili, zda někteří uživatelé nezneužívají svá oprávnění k přístupu k PHI.

8. Automatické odhlášení

Systém s PHI by měl automaticky ukončit každou relaci po uplynutí stanovené doby nečinnosti. Aby mohl uživatel pokračovat, musel by znovu zadat své heslo nebo se autorizovat jiným způsobem.

To by ochránilo PHI, pokud někdo ztratí své zařízení, zatímco je přihlášen do vaší aplikace.

Přesná doba nečinnosti, která spustí odhlášení, by měla záviset na specifikách vašeho systému.

U zabezpečené pracovní stanice ve vysoce chráněném prostředí můžete časovač nastavit na 10-15 minut. U webových řešení by tato doba neměla přesáhnout 10 minut. A u mobilní aplikace můžete nastavit časový limit na 2-3 minuty.

Různé programovací jazyky implementují automatické odhlašování různými způsoby.

Zdroj: MailChimp

9. Dodatečné zabezpečení mobilních aplikací

Mobilní zařízení představují mnoho dalších rizik. Chytrý telefon může být snadno odcizen nebo ztracen na frekventovaném místě, čímž dojde k ohrožení citlivých informací.

Chcete-li tomu zabránit, můžete použít:

• Zámek obrazovky (Android/iOS);
• Šifrování celého zařízení (Android/iOS);
• Dálkové mazání dat (Android/iOs).

Tyto funkce nemůžete uživatelům vnucovat, ale můžete je k jejich používání vybízet. Pokyny můžete zahrnout do úvodního školení nebo poslat e-maily s popisem, jak je povolit.

Tip: PHI můžete ukládat do zabezpečeného kontejneru odděleně od osobních údajů. Tímto způsobem můžete na dálku vymazat zdravotní údaje, aniž byste ovlivnili cokoli jiného.

Mnoho lékařů používá k zasílání zdravotních informací osobní chytré telefony. Tuto hrozbu můžete neutralizovat pomocí platforem pro bezpečné zasílání zpráv.

Takové aplikace hostují citlivé údaje v zabezpečené databázi. Pro přístup k PHI si uživatelé musí stáhnout messenger a přihlásit se ke svému účtu.

Dalším řešením jsou šifrované zdravotnické portály chráněné heslem, kde si pacienti mohou přečíst zprávy od svých lékařů. Takové portály posílají oznámení bez PHI v nich (např. „Vážený uživateli, dostal jste novou zprávu od „).

Pamatujte, že oznámení push nejsou ve výchozím nastavení bezpečná. Mohou se zobrazit na obrazovce, i když je uzamčená. Dbejte proto na to, abyste prostřednictvím oznámení push neposílali žádné PHI. Totéž platí i pro SMS a jakékoli automatické zprávy.

Zdroj: Bridge Patient Portal

Další věc, kterou je třeba vzít v úvahu, je, že úřad FDA může některé aplikace mHealth klasifikovat jako zdravotnické prostředky (software, který ovlivňuje rozhodovací proces zdravotnických pracovníků).

Než tedy začnete s vývojem, nezapomeňte si ověřit, zda vaše aplikace musí splňovat další zdravotnické předpisy. Pro rychlou odpověď se můžete podívat na tento test Federální obchodní komise.

Zabalení

Nyní máte minimální seznam funkcí pro software vyhovující HIPAA.

Samy o sobě nezaručí jeho bezpečnost. Neochrání vás před phishingem ani sociálním inženýrstvím.

Mít tyto funkce by však mělo auditora přesvědčit, že jste pro ochranu dat svých klientů udělali dost.

Aby byly audity méně bolestivé, zdokumentujte veškeré své úsilí o shodu s předpisy HIPAA. Pro každou verzi své aplikace uveďte písemné specifikace, plány na testování jejího zabezpečení a jejich výsledky. A nezapomeňte si před zahájením vývoje ověřit, zda není třeba dodržovat i další předpisy.