Sådan gør du din sundhedspleje-app HIPAA-kompatibel

HIPAA beskytter blandt andet patienternes sundhedsoplysninger.

Anthem, det største amerikanske forsikringsselskab, lærte dette på den hårde måde.

Det, der startede med en simpel phishing-e-mail, førte til det største brud på sundhedsdata i historien. Hackerne stjal data om 79 millioner patienter. Oplysningerne omfattede deres navne, socialsikringsnumre og medicinske ID’er.

De rasende patienter sagsøgte Anthem og vandt et forlig på 115 millioner dollars. Selv om selskabet undgik tilsynsmyndighedernes bøder, skulle det bruge op til 260 millioner dollars på at forbedre sin sikkerhed.

HHS Office for Civil Rights (OCR) fører tilsyn med overholdelsen af HIPAA. Alene i 2017 har det givet amerikanske sundhedsudbydere bøder på næsten 20 millioner dollars.

Selv hvis du er en lille organisation, kan en forsømmelse af HIPAA-kravene føre til alvorlige problemer.

I 2013 havde Fresenius Medical Care North America fem brud på datasikkerheden. Tilsammen har de udsat dataene for blot 525 patienter. Men virksomheden måtte betale en monstrøs bøde på 3,5 millioner dollars, fordi den ikke analyserede sikkerhedsrisikoen ordentligt.

Afhængigt af graden af forsømmelighed er der fire dæk for HIPAA-bøder:

HIPAA-glossar

Du bør forstå disse tre nøglebegreber, før du tager fat på HIPAA-kravene.

• Beskyttede sundhedsoplysninger (PHI) – alle data, der kan bruges til at identificere en patient.

PHI består af to dele: sundhedsoplysninger og personlige identifikatorer. Sidstnævnte omfatter patienters navne, adresser, fødselsdatoer, socialsikringsnumre, lægejournaler, fotos osv. Det faktum, at en person har modtaget medicinske ydelser, er i sig selv en PHI.

Hvad betragtes som PHI? Den fulde liste.

• Dækkede enheder – organisationer og enkeltpersoner, der tilbyder sundhedstjenester/operationer eller accepterer betalinger for dem.

De omfatter alle sundhedsudbydere (f.eks. hospitaler, læger, tandlæger, psykologer), sundhedsplaner (f.eks. forsikringsudbydere, HMO’er, offentlige programmer som Medicare og Medicaid) og clearinghouses (de organisationer, der fungerer som mellemmænd mellem sundhedsudbyderne og forsikringsselskaberne).

• Business Associates – de tredjeparter, der håndterer PHI på vegne af omfattede enheder.

Denne kategori omfatter udviklere af sundhedsplejeapps, hosting-/datalagringsudbydere, e-mailtjenester osv.

I henhold til HIPAA skal du underskrive en Business Associate Agreement (BAA) med hver part, der har adgang til dine PHI. Hvis du beslutter dig for ikke at underskrive en BAA, slipper du ikke for HIPAA-kravene.

Der kan være mange utilsigtede måder, hvorpå de følsomme data kan komme ind i dit system.

Tag f.eks. en tjeneste, der gør det muligt for læger at diagnosticere hudtilstande på baggrund af anonyme fotos. Appen håndterer ikke PHI, da du ikke kan identificere dens brugere. Men så snart du tilføjer personens navn eller adresse til billederne, bliver de til PHI.

Hvis din applikation indsamler, gemmer eller overfører PHI til de omfattede enheder, skal du overholde HIPAA.

Hvordan bliver du HIPAA-kompatibel?

For at være HIPAA-kompatibel skal du foretage regelmæssige tekniske og ikke-tekniske evalueringer af din indsats for at beskytte sundhedsoplysninger og dokumentere dem grundigt. Tilsynsmyndigheden har offentliggjort et eksempel på en revisionsprotokol, som kan hjælpe dig med at vurdere din HIPAA-overholdelse.

Du kan hyre en uafhængig revisor til at foretage vurderingen for dig. Der findes mange organisationer som HITRUST, der specialiserer sig i den slags ting. Du skal blot huske, at OCR ikke anerkender certifikater fra tredjeparter.

Tekniske sikkerhedsforanstaltninger. Sikkerhedsforanstaltninger som f.eks. login, kryptering, adgang i nødstilfælde, aktivitetslogs osv. Loven angiver ikke, hvilke teknologier du skal bruge til at beskytte PHI.

Fysiske sikkerhedsforanstaltninger har til formål at sikre de faciliteter og enheder, der opbevarer PHI (servere, datacentre, pc’er, bærbare computere osv.).

Med moderne cloud-baserede løsninger gælder denne regel for det meste for HIPAA-kompatibel hosting.

Loven gælder for en lang række medicinske programmer. Et hospitalsstyringssystem (HMS) adskiller sig radikalt fra fjerndiagnostiske apps. Men der er nogle funktioner, der er afgørende for alle HIPAA-kompatible apps.

Så her er en minimumsliste over nødvendige funktioner til HIPAA-kompatibel software:

1. Adgangskontrol

Alle systemer, der gemmer PHI, bør begrænse, hvem der kan se eller ændre de følsomme data. I henhold til HIPAA Privacy Rule bør ingen se flere patientoplysninger, end det er nødvendigt for at udføre deres arbejde. Reglen specificerer også afidentifikation, patienters ret til at se deres egne data og deres mulighed for at give eller begrænse adgangen til deres PHI.

En måde at opnå dette på er ved at tildele hver bruger et unikt ID. Dette vil give dig mulighed for at identificere og spore aktiviteten af personer, der har adgang til dit system.

Dernæst skal du give hver bruger en liste over privilegier, der giver dem mulighed for at se eller ændre visse oplysninger. Du kan regulere adgangen til individuelle databaseenheder og URL’er.

I sin enkleste form består brugerbaseret adgangskontrol af to databasetabeller. Den ene tabel indeholder en liste over alle privilegier og deres ID’er. Den anden tabel tildeler disse privilegier til de enkelte brugere.

I dette eksempel kan lægen (bruger-id 1) oprette, se og ændre journalerne, mens radiologen (bruger-id 2) kun kan opdatere dem.
En rollebaseret adgangskontrol er en anden måde at implementere dette krav på. Med den kan du tildele privilegier til forskellige grupper af brugere afhængigt af deres stilling (f.eks. læger, laboranter, administratorer).

2. Godkendelse af person eller enhed

Når du har tildelt privilegier, skal dit system være i stand til at kontrollere, at den person, der forsøger at få adgang til PHI, er den, han/hun hævder at være. Loven tilbyder flere generelle måder, hvorpå du kan implementere denne sikkerhedsforanstaltning:

En adgangskode er en af de enkleste autentificeringsmetoder. Desværre er det også en af de letteste at knække. Ifølge Verizon sker 63 % af brud på datasikkerheden på grund af svage eller stjålne adgangskoder. En anden rapport fastslår, at en femtedel af virksomheders brugere har adgangskoder, der let kan kompromitteres.

På den anden side er en virkelig sikker adgangskode:

• Der består af mindst 8-12 tegn, der omfatter store bogstaver, tal og specialtegn;
• Udelukker de almindeligt anvendte kombinationer (f.eks. “password”, “123456”, “qwerty” og af en eller anden uforklarlig grund “monkey”) og ord i ordforrådet;
• Dækker eventuelle variationer af brugernavnet;
• Forhindrer genbrug af adgangskoden.

Alternativt kunne det være en række tilfældige ord, der er smadret sammen som en isterning i beton.

Din applikation kunne kontrollere disse krav på tilmeldingsskærmen og nægte adgang til brugere med svage adgangskoder.

Der findes ikke noget, der hedder for meget sikkerhed. Kilde: mailbox.org

Somme organisationer tvinger deres medarbejdere til at skifte adgangskoder hver 90. dag eller deromkring. Hvis du gør det for ofte, kan det faktisk skade din sikkerhedsindsats. Når folk tvinges til at skifte adgangskoder, finder de ofte på uoriginale kombinationer (f.eks. password ⇒ pa$$$word).

Og desuden kan hackere knække en dårlig adgangskode på få sekunder og bruge den med det samme.

Det er derfor, du bør overveje at bruge en to-faktor-autentifikation. Sådanne systemer kombinerer en sikker adgangskode med en anden verifikationsmetode. Det kan være alt fra en biometrisk scanner til en sikkerhedskode til engangsbrug, der modtages via sms.

Tanken er enkel: Selv hvis hackere på en eller anden måde får fat i din adgangskode, skal de stjæle din enhed eller dine fingeraftryk for at få adgang til PHI.

Men sikker autentificering er ikke nok. Nogle angribere kan komme ind mellem brugerens enhed og dine servere. På denne måde kunne hackerne få adgang til PHI uden at kompromittere kontoen. Dette er kendt som session hijacking, en slags man-in-the-middle-angreb.

En af de mulige måder at kapre en session på. Kilde: Heimdal Security

En digital signatur er en måde at forsvare sig mod sådanne angreb på. Ved at indtaste adgangskoden igen, når man underskriver et dokument, kan man bevise brugerens identitet.

Når rollerne i dit system bliver mere komplekse, kan HIPAA-tilladelse komme i vejen for at hjælpe patienterne. Det giver mening at implementere nødadgang. Sådanne procedurer giver autoriserede brugere mulighed for at se alle de data, de har brug for, når situationen kræver det.

En læge kan f.eks. få adgang til PHI for en hvilken som helst patient i en nødsituation. Samtidig ville systemet automatisk underrette flere andre personer og iværksætte en gennemgangsprocedure.

3. Overførselssikkerhed

Du bør beskytte de PHI, du sender over netværket og mellem de forskellige niveauer i dit system.

Det er derfor, du bør tvinge HTTPS til al din kommunikation (eller i det mindste til tilmeldingsskærmene, alle sider, der indeholder PHI og autorisationscookies). Denne sikre kommunikationsprotokol krypterer data med SSL/TLS. Ved hjælp af en særlig algoritme forvandler den PHI til en tegnstreng, der er meningsløs uden dekrypteringsnøgler.

En fil kaldet SSL-certifikat binder nøglen til din digitale identitet.

Når der oprettes en HTTP-forbindelse med dit program, anmoder browseren om dit certifikat. Klienten kontrollerer derefter dets troværdighed og indleder den såkaldte SSL-håndtrykning. Resultatet er en krypteret kommunikationskanal mellem brugeren og din app.

For at aktivere HTTPS for din app skal du skaffe et SSL-certifikat fra en af de betroede udbydere og installere det korrekt.

Sørg også for at bruge en sikker SSH- eller FTPS-protokol til at sende filerne med PHI i stedet for den almindelige FTP.

SSL-håndtryk; kilde: SSL-butikken

E-mail er ikke en sikker måde at sende PHI på.

Populære tjenester som Gmail giver ikke den nødvendige beskyttelse. Hvis du sender e-mails, der indeholder PHI, uden for din firewallede server, bør du kryptere dem. Der findes mange tjenester og browserudvidelser, der kan gøre dette for dig. Alternativt kan du bruge en HIPAA-kompatibel e-mailtjeneste som Paubox.

Du bør også implementere politikker, der begrænser, hvilke oplysninger der kan deles via e-mails.

4. Kryptering/afkryptering

Kryptering er den bedste måde at sikre PHI-integritet på. Selv hvis det lykkedes hackere at stjæle dine data, ville de ligne et sludder uden dekrypteringsnøglerne.

Ukrypterede bærbare computere og andre bærbare enheder er en almindelig kilde til HIPAA-overtrædelser. For at være på den sikre side skal du kryptere harddiskene på alle enheder, der indeholder PHI, for at være på den sikre side. Du kan gøre dette med gratis krypteringsværktøjer som BitLocker til Windows eller FileVault til Mac OS.

5. Bortskaffelse af PHI

Du bør destruere PHI permanent, når du ikke længere har brug for dem. Så længe dens kopi forbliver i en af dine sikkerhedskopier, anses dataene ikke for at være “bortskaffet”.

I 2010 returnerede Affinity Health Plan sine fotokopieringsmaskiner til leasingselskabet. Det slettede dog ikke deres harddiske. Det deraf følgende brud afslørede personlige oplysninger om mere end 344.000 patienter.

Affinity måtte betale 1,2 mio. dollars for denne hændelse.

PHI kan gemme sig mange uventede steder: fotokopieringsmaskiner, scannere, biomedicinsk udstyr (f.eks. MRI- eller ultralydsmaskiner), bærbare enheder (f.eks.f.eks. bærbare computere), gamle disketter, USB-flashdrev, dvd’er/cd’er, hukommelseskort, flashhukommelse i bundkort og netværkskort, ROM/RAM-hukommelse osv.

Ud over at slette dataene bør du også destruere de medier, der indeholder PHI, korrekt, før du smider eller giver dem væk. Afhængigt af situationen kan du enten slette dem magnetisk (f.eks. ved hjælp af en degausser), overskrive dataene ved hjælp af software som DBAN eller ødelægge drevet fysisk (f.eks. smadre det med en hammer).

I flashbaserede hukommelsesdrev (f.eks. USB-sticks) spredes dataene over hele mediet for at undgå slid. På grund af dette er det svært at slette de følsomme oplysninger fuldstændigt med almindelig dataødelæggelsessoftware. Du kan dog bruge producentens hjælpeprogrammer som Samsung Magician Software til at destruere dine flashdrev (eller bare bruge en hammer).

6. Sikkerhedskopiering og opbevaring af data

Sikkerhedskopiering er afgørende for dataintegriteten. En beskadigelse af en database eller et servernedbrud kan let skade dine PHI. Det samme gør en brand i et datacenter eller et jordskælv.

Det er derfor vigtigt at have flere kopier af dine PHI gemt flere forskellige steder.

Din backup-plan for PHI bør bestemme sandsynligheden for datakompromittering. Alle oplysninger med høj og mellemstor risiko bør sikkerhedskopieres dagligt og opbevares på et sikkert sted. Du bør også underskrive en BAA med dine backup-udbydere.

En backup er ubrugelig, hvis du ikke kan gendanne den.

I august 2016 blev Martin Medical Practice Concepts offer for et ransomware-angreb. Virksomheden betalte hackere for at dekryptere PHI. Men på grund af en fejl i backupen mistede de lokale hospitaler oplysninger om 5.000 patienter.

Test dit system regelmæssigt for at forhindre fejl i genoprettelsen. Du bør også logge systemets nedetid og eventuelle fejl i forbindelse med sikkerhedskopiering af PHI.

Og husk, at selve sikkerhedskopierne skal overholde HIPAA-sikkerhedsstandarderne.

7. Revisionskontrol

Fraværet af revisionskontrol kan føre til højere bøder.

Du bør overvåge, hvad der gøres ved de PHI, der er gemt i dit system. Registrer hver gang en bruger logger ind og ud af dit system. Du skal vide, hvem, hvornår og hvor de følsomme data er blevet tilgået, opdateret, ændret eller slettet.

Overvågning kan foretages via software, hardware eller proceduremæssige midler. En enkel løsning kan være at bruge en tabel i en database eller en logfil til at registrere alle interaktioner med patientoplysningerne.

En sådan tabel bør bestå af fem kolonner:

• user_id. Den unikke identifikator for den bruger, der har interageret med PHI;
• entity_name. Den enhed, som brugeren har interageret med (en enhed er en repræsentation af et eller andet virkeligt koncept i din database, f.eks. en patientjournal);
• record_id. Enhedens identifikator;
• action_type. Interaktionens art (oprettelse, læsning, opdatering eller sletning);
• action_time. Det præcise tidspunkt for interaktionen.

I dette eksempel har en læge (user_id 1) oprettet en patientjournal, en radiolog har set den, og senere har den samme læge ændret journalen.

Du bliver nødt til med jævne mellemrum at kontrollere aktivitetslogfilerne for at opdage, om nogle brugere misbruger deres rettigheder til at få adgang til PHI.

8. Automatisk logoff

Et system med PHI bør automatisk afslutte enhver session efter en bestemt periode med inaktivitet. For at fortsætte skal brugeren indtaste sin adgangskode igen eller autorisere sig på anden vis.

Dette vil beskytte PHI, hvis nogen mister sin enhed, mens de er logget ind i din app.

Den nøjagtige periode med inaktivitet, der udløser logout, bør afhænge af de særlige forhold i dit system.

Med en sikker arbejdsstation i et stærkt beskyttet miljø kan du indstille timeren til 10-15 minutter. For webbaserede løsninger bør denne periode ikke overstige 10 minutter. Og for en mobilapp kan du indstille timeoutet til 2-3 minutter.

Differente programmeringssprog implementerer automatisk logoff på forskellige måder.

Kilde: MailChimp

9. Mobilapps ekstra sikkerhed

Mobile enheder udgør mange ekstra risici. En smartphone kan nemt blive stjålet eller tabt i et område med megen trafik, hvilket kompromitterer de følsomme oplysninger.

For at forhindre dette kan du bruge:

• Skærmlås (Android/iOS);
• Fuld enheds-kryptering (Android/iOS);
• Fjernsletning af data (Android/iOs).

Du kan ikke påtvinge brugerne disse funktioner, men du kan opfordre folk til at bruge dem. Du kan inkludere instruktionerne i din onboarding eller sende e-mails med en beskrivelse af, hvordan du aktiverer dem.

Tip: Du kan opbevare PHI i en sikker beholder adskilt fra de personlige data. På den måde kan du fjernslette sundhedsoplysningerne uden at påvirke noget andet.

Mange læger bruger personlige smartphones til at sende sundhedsoplysninger. Du kan neutralisere denne trussel med sikre meddelelsesplatforme.

Sådanne applikationer hoster de følsomme data i en sikker database. For at få adgang til PHI skal brugerne downloade messengeren og logge ind på deres konti.

En anden løsning er krypterede passwordbeskyttede sundhedsportaler, hvor patienterne kan læse beskeder fra deres læger. Sådanne portaler sender meddelelser uden PHI i dem (f.eks. “Kære bruger, du har fået en ny besked fra “).

Husk, push-notifikationer er ikke sikre som standard. De kan blive vist på skærmen, selv om den er låst. Så sørg for, at du ikke sender nogen PHI via push-notifikationer. Det samme gælder for sms’er og eventuelle automatiske beskeder.

Kilde:

En anden ting, du skal overveje, er, at FDA kan klassificere nogle mHealth-apps som medicinsk udstyr (software, der påvirker sundhedspersonalets beslutningsproces).

Så husk at tjekke, om din app skal overholde andre sundhedsbestemmelser, inden du går i gang med udviklingen. Du kan tjekke denne test fra Federal Trade Commission for at få et hurtigt svar.

Afslutning

Nu har du fået en minimumsliste over funktioner til HIPAA-kompatibel software.

Alene garanterer de ikke dens sikkerhed. De vil ikke beskytte dig mod phishing eller social engineering.

Men hvis du har disse funktioner, bør det overbevise en revisor om, at du har gjort nok for at beskytte dine kundedata.

For at gøre revisioner mindre smertefulde skal du dokumentere alle dine bestræbelser på at overholde HIPAA. For hver version af din app skal du angive de skriftlige specifikationer, planerne for at teste dens sikkerhed og resultaterne heraf. Og glem ikke at tjekke, om du skal overholde andre regler, før du begynder udviklingen.