Cum să vă faceți aplicația de asistență medicală conformă cu HIPAA

Printre altele, HIPAA protejează informațiile de sănătate ale pacienților.

Anthem, cea mai mare companie de asigurări din SUA, a învățat acest lucru pe calea cea mai grea.

Ceea ce a început cu un simplu e-mail de phishing, a dus la cea mai mare încălcare a datelor medicale din istorie. Hackerii au furat datele a 79 de milioane de pacienți. Informațiile includeau numele, numerele de asigurări sociale și ID-urile medicale ale acestora.

Pacienții furioși au dat în judecată Anthem și au obținut o înțelegere de 115 milioane de dolari. Deși compania a evitat amenzile autorităților de reglementare, va trebui să cheltuiască până la 260 de milioane de dolari pentru a-și îmbunătăți securitatea.

Oficiul pentru Drepturi Civile al SHS (OCR) supraveghează conformitatea HIPAA. Numai în 2017, acesta a amendat furnizorii de servicii medicale din SUA cu aproape 20 de milioane de dolari.

Chiar dacă sunteți o organizație mică, neglijarea cerințelor HIPAA poate duce la probleme grave.

În 2013 Fresenius Medical Care North America a avut cinci încălcări ale securității datelor. Împreună, acestea au expus datele a doar 525 de pacienți. Dar compania a trebuit să plătească o amendă monstruoasă de 3,5 milioane de dolari pentru că nu a analizat corespunzător riscurile de securitate.

În funcție de gradul de neglijență, există patru anvelope de amenzi HIPAA:

Glosar HIPAA

Ar trebui să înțelegeți acești trei termeni cheie înainte de a aborda cerințele HIPAA.

• Informații medicale protejate (PHI) – orice date care pot fi folosite pentru a identifica un pacient.

PHI constă din două părți: informații medicale și identificatori personali. Aceștia din urmă includ numele pacienților, adresele, datele de naștere, numerele de asigurări sociale, fișele medicale, fotografii etc. Faptul că o persoană a beneficiat de servicii medicale este o ISP în sine.

Ce se consideră ISP? Lista completă.

• Entități acoperite – organizații și persoane care oferă servicii/operațiuni de asistență medicală sau care acceptă plăți pentru acestea.

Acestea includ toți furnizorii de asistență medicală (de exemplu, spitale, medici, dentiști, psihologi), planurile de sănătate (de exemplu, furnizorii de asigurări, HMO, programe guvernamentale precum Medicare și Medicaid) și centrele de compensare (organizațiile care acționează ca intermediari între furnizorii de asistență medicală și companiile de asigurări).

• Asociați de afaceri – terții care gestionează ISP în numele entităților acoperite.

Această categorie include dezvoltatorii de aplicații de sănătate, furnizorii de servicii de găzduire/stocare a datelor, servicii de e-mail etc.

Conform HIPAA, trebuie să semnați un Acord de asociere de afaceri (BAA) cu fiecare parte care are acces la ISP-urile dumneavoastră. Decizia de a nu semna un BAA nu vă scutește de cerințele HIPAA.

Pot exista multe moduri neintenționate prin care datele sensibile pot intra în sistemul dumneavoastră.

Să luăm, de exemplu, un serviciu care permite medicilor să diagnosticheze afecțiunile pielii pe baza unor fotografii anonime. Aplicația nu gestionează ISP, deoarece nu puteți identifica utilizatorii săi. Dar de îndată ce adăugați numele sau adresa persoanei la fotografii, acestea devin ISP.

Dacă aplicația dvs. colectează, stochează sau transmite ISP către entitățile acoperite, trebuie să vă conformați cu HIPAA.

Cum să deveniți conform HIPAA?

Pentru a fi conform HIPAA, va trebui să faceți evaluări tehnice și non-tehnice regulate ale eforturilor dvs. de a proteja informațiile de sănătate și să le documentați temeinic. Autoritatea de reglementare a publicat un model de protocol de audit care vă poate ajuta să vă evaluați conformitatea cu HIPAA.

Puteți angaja un auditor independent care să facă evaluarea în locul dumneavoastră. Există multe organizații, cum ar fi HITRUST, care sunt specializate în așa ceva. Amintiți-vă doar că OCR nu recunoaște niciun certificat de la terți.

Măsuri de protecție tehnice. Măsuri de securitate cum ar fi autentificarea, criptarea, accesul de urgență, jurnalele de activitate etc. Legea nu specifică ce tehnologii ar trebui să folosiți pentru a proteja ISP.

Protecțiile fizice au ca scop securizarea instalațiilor și dispozitivelor care stochează ISP (servere, centre de date, PC-uri, laptopuri etc.).

Cu soluțiile moderne bazate pe cloud, această regulă se aplică mai ales la găzduirea conformă cu HIPAA.

Legea se aplică unei game largi de software medical. Un sistem de management al spitalului (HMS) diferă radical de aplicațiile de diagnosticare la distanță. Dar există unele caracteristici care sunt esențiale pentru toate aplicațiile conforme cu HIPAA.

Acum, iată o listă minimă de caracteristici necesare pentru un software conform HIPAA:

1. Controlul accesului

Care sistem care stochează PHI ar trebui să limiteze cine poate vizualiza sau modifica datele sensibile. Conform regulii de confidențialitate HIPAA, nimeni nu ar trebui să vadă mai multe informații despre pacienți decât este necesar pentru a-și face treaba. Regula specifică, de asemenea, de-identificarea, drepturile pacientului de a-și vedea propriile date și capacitatea acestuia de a acorda sau de a restricționa accesul la ISP-urile sale.

O modalitate de a realiza acest lucru este de a atribui fiecărui utilizator un ID unic. Acest lucru v-ar permite să identificați și să urmăriți activitatea persoanelor care accesează sistemul dumneavoastră.

În continuare, va trebui să acordați fiecărui utilizator o listă de privilegii care să îi permită să vizualizeze sau să modifice anumite informații. Puteți reglementa accesul la entități individuale ale bazei de date și la URL-uri.

În forma sa cea mai simplă, controlul accesului bazat pe utilizator constă în două tabele de bază de date. Un tabel conține lista tuturor privilegiilor și ID-urile acestora. Al doilea tabel atribuie aceste privilegii utilizatorilor individuali.

În acest exemplu, medicul (ID-ul utilizatorului 1) poate crea, vizualiza și modifica fișele medicale, în timp ce radiologul (ID-ul utilizatorului 2) poate doar să le actualizeze.
Un control al accesului bazat pe roluri este o altă modalitate de a implementa această cerință. Cu ajutorul acestuia, puteți atribui privilegii unor grupuri diferite de utilizatori în funcție de poziția acestora (de exemplu, medici, tehnicieni de laborator, administratori).

2. Autentificarea persoanei sau a entității

După ce ați atribuit privilegii, sistemul dvs. ar trebui să fie capabil să verifice dacă persoana care încearcă să acceseze informațiile medicale protejate este cea care pretinde că este. Legea oferă mai multe modalități generale prin care puteți implementa această protecție:

O parolă este una dintre cele mai simple metode de autentificare. Din păcate, este, de asemenea, una dintre cele mai ușor de spart. Potrivit Verizon, 63% dintre încălcările de date se întâmplă din cauza parolelor slabe sau furate. Un alt raport afirmă că o cincime dintre utilizatorii corporativi au parole ușor de compromis.

Pe de altă parte, o parolă cu adevărat sigură:

• Consistă din cel puțin 8-12 caractere care includ litere majuscule, numere și caractere speciale;
• Exclude combinațiile utilizate în mod obișnuit (de ex. „parolă”, „123456”, „qwerty” și, dintr-un motiv inexplicabil, „maimuță”) și cuvinte din vocabular;
• Dezactivează orice variație a numelui de utilizator;
• Previne reutilizarea parolei.

Alternativ, ar putea fi un șir de cuvinte la întâmplare zdrobite împreună ca o înghețată de beton.

Aplicația dvs. ar putea verifica aceste cerințe pe ecranul de înregistrare și să refuze accesul utilizatorilor cu parole slabe.

Nu există prea multă securitate. Sursa: mailbox.org

Câteva organizații își obligă angajații să își schimbe parolele la fiecare 90 de zile sau cam așa ceva. A face acest lucru prea des vă poate afecta de fapt eforturile de securitate. Atunci când sunt obligați să schimbe parolele, oamenii vin adesea cu combinații lipsite de originalitate (de exemplu, parola ⇒ pa$$word).

Mai mult, hackerii pot sparge o parolă proastă în câteva secunde și o pot folosi imediat.

De aceea, ar trebui să luați în considerare utilizarea unei autentificări cu doi factori. Astfel de sisteme combină o parolă sigură cu o a doua metodă de verificare. Aceasta poate fi orice, de la un scaner biometric până la un cod de securitate de unică folosință primit prin SMS.

Ideea este simplă: chiar dacă hackerii ar obține cumva parola dumneavoastră, ar trebui să vă fure dispozitivul sau amprentele digitale pentru a accesa ISP.

Dar autentificarea sigură nu este suficientă. Unii atacatori ar putea ajunge între dispozitivul utilizatorului și serverele dumneavoastră. În acest fel, hackerii ar putea accesa PHI fără a compromite contul. Acest lucru este cunoscut sub numele de deturnare a sesiunii, un fel de atac de tip man-in-the-middle.

Una dintre modalitățile posibile de deturnare a unei sesiuni. Sursă: „Sursa: Heimdal Security

O semnătură digitală este o modalitate de apărare împotriva unor astfel de atacuri. Reintroducerea parolei la semnarea unui document ar dovedi identitatea utilizatorului.

Ca urmare a faptului că rolurile din sistemul dvs. devin mai complexe, autorizația HIPAA poate sta în calea ajutorării pacienților. Este logic să implementați accesul de urgență. Astfel de proceduri permit utilizatorilor autorizați să vizualizeze orice date de care au nevoie atunci când situația o cere.

Un medic ar putea, de exemplu, să acceseze ISP ale oricărui pacient în caz de urgență. În același timp, sistemul ar notifica automat mai multe alte persoane și ar lansa o procedură de revizuire.

3. Securitatea transmiterii

Ar trebui să protejați ISP pe care le trimiteți prin rețea și între diferitele niveluri ale sistemului dumneavoastră.

De aceea, ar trebui să forțați HTTPS pentru toate comunicările (sau cel puțin pentru ecranele de înregistrare, toate paginile care conțin ISP și cookie-urile de autorizare). Acest protocol de comunicare securizat criptează datele cu SSL/TLS. Folosind un algoritm special, acesta transformă PHI într-un șir de caractere care nu are sens fără chei de decriptare.

Un fișier numit certificat SSL leagă cheia de identitatea dumneavoastră digitală.

Când se stabilește o conexiune HTTP cu aplicația dumneavoastră, browserul vă solicită certificatul. Clientul îi verifică apoi credibilitatea și inițiază așa-numitul handshake SSL. Rezultatul este un canal de comunicare criptat între utilizator și aplicația dumneavoastră.

Pentru a activa HTTPS pentru aplicația dumneavoastră, obțineți un certificat SSL de la unul dintre furnizorii de încredere și instalați-l corespunzător.

De asemenea, asigurați-vă că folosiți un protocol SSH sau FTPS securizat pentru a trimite fișierele care conțin PHI, în locul protocolului FTP obișnuit.

SSL handshake; sursa: the SSL store

Emailul nu este o modalitate sigură de a trimite PHI.

Serviciile populare precum Gmail nu oferă protecția necesară. Dacă trimiteți e-mailuri care conțin PHI dincolo de serverul dumneavoastră protejat de firewall, ar trebui să le criptați. Există multe servicii și extensii de browser care pot face acest lucru pentru dumneavoastră. Alternativ, puteți utiliza un serviciu de e-mail conform HIPAA, cum ar fi Paubox.

De asemenea, ar trebui să implementați politici care să limiteze informațiile care pot fi partajate prin e-mailuri.

4. Criptarea/decriptarea

Criptarea este cel mai bun mod de a asigura integritatea ISP. Chiar dacă hackerii ar reuși să vă fure datele, fără cheile de decriptare, acestea ar arăta ca o aberație.

Laptopurile și alte dispozitive portabile necriptate sunt o sursă comună de încălcări ale HIPAA. Pentru a fi în siguranță, criptați hard disk-urile tuturor dispozitivelor care conțin PHI. Puteți face acest lucru cu instrumente de criptare gratuite, cum ar fi BitLocker pentru Windows sau FileVault pentru Mac OS.

5. Eliminarea PHI

Ar trebui să distrugeți permanent PHI atunci când nu mai sunt necesare. Atâta timp cât copia sa rămâne într-una dintre copiile de rezervă, datele nu sunt considerate „eliminate”.

În 2010, Affinity Health Plan a returnat fotocopiatoarele sale companiei de leasing. Cu toate acestea, nu a șters hard disk-urile acestora. Breșa rezultată a expus informațiile personale a peste 344.000 de pacienți.

Affinity a trebuit să plătească 1,2 milioane de dolari pentru acest incident.

PHI se pot ascunde în multe locuri neașteptate: fotocopiatoare, scannere, echipamente biomedicale (de exemplu, aparate RMN sau cu ultrasunete), dispozitive portabile (de ex.ex. laptopuri), dischete vechi, unități flash USB, DVD-uri/CD-uri, carduri de memorie, memoria flash din plăcile de bază și cardurile de rețea, memoria ROM/RAM etc.

În plus față de ștergerea datelor, ar trebui, de asemenea, să distrugeți în mod corespunzător suporturile care conțin PHI înainte de a le arunca sau de a le dona. În funcție de situație, puteți fie să le ștergeți magnetic (de exemplu, folosind un degausser), fie să suprascrieți datele folosind un software precum DBAN, fie să distrugeți fizic unitatea (de exemplu, să o spargeți cu un ciocan).

În cazul unităților de memorie bazate pe flash (de exemplu, stick-uri USB), datele sunt răspândite pe întregul suport pentru a preveni uzura. Din această cauză, este greu de șters complet informațiile sensibile cu un software obișnuit de distrugere a datelor. Cu toate acestea, puteți utiliza utilități ale producătorului, cum ar fi Samsung Magician Software, pentru a vă elimina unitățile flash (sau pur și simplu folosiți un ciocan).

6. Copierea de rezervă și stocarea datelor

Copiile de rezervă sunt esențiale pentru integritatea datelor. O corupere a bazei de date sau o defecțiune a serverului ar putea cu ușurință să vă deterioreze PHI. La fel și un incendiu într-un centru de date sau un cutremur.

De aceea este important să aveți mai multe copii ale ISP-urilor dvs. stocate în mai multe locații diferite.

Planul dvs. de backup al ISP-urilor ar trebui să determine probabilitatea de compromitere a datelor. Toate informațiile cu risc ridicat și mediu ar trebui să fie copiate zilnic și stocate într-o locație sigură. De asemenea, ar trebui să semnați un BAA cu furnizorii de backup.

Un backup este inutil dacă nu îl puteți restaura.

În august 2016, Martin Medical Practice Concepts a căzut victimă unui atac ransomware. Compania a plătit hackerii pentru a decripta PHI. Dar, din cauza unei erori de backup, spitalele locale au pierdut informații despre 5.000 de pacienți.

Testați-vă sistemul în mod regulat pentru a preveni eșecurile de recuperare. De asemenea, ar trebui să înregistrați timpii de nefuncționare a sistemului și orice eșecuri de backup al PHI.

Și nu uitați, copiile de rezervă în sine ar trebui să respecte standardele de securitate HIPAA.

7. Controale de audit

Absența controalelor de audit ar putea duce la amenzi mai mari.

Ar trebui să monitorizați ceea ce se face cu PHI stocate în sistemul dvs. Înregistrați fiecare dată când un utilizator intră și iese din sistemul dumneavoastră. Ar trebui să știți cine, când și unde au fost accesate, actualizate, modificate sau șterse datele sensibile.

Monitorizarea se poate face prin mijloace software, hardware sau procedurale. O soluție simplă ar fi utilizarea unui tabel într-o bază de date sau a unui fișier jurnal pentru a înregistra toate interacțiunile cu informațiile pacientului.

Un astfel de tabel ar trebui să fie format din cinci coloane:

• user_id. Identificatorul unic al utilizatorului care a interacționat cu ISP;
• entity_name. Entitatea cu care utilizatorul a interacționat (O entitate este o reprezentare a unui concept din lumea reală în baza dumneavoastră de date, de exemplu, un dosar medical);
• record_id. Identificatorul entității;
• action_type. Natura interacțiunii (creare, citire, actualizare sau ștergere);
• action_time. Momentul exact al interacțiunii.

În acest exemplu, un medic (user_id 1) a creat fișa unui pacient, un radiolog a vizualizat-o, iar ulterior același medic a modificat fișa.

Vă va trebui să auditați periodic jurnalele de activitate pentru a descoperi dacă unii utilizatori abuzează de privilegiile lor pentru a accesa ISP.

8. Închiderea automată a sesiunii

Un sistem cu ISP ar trebui să încheie automat orice sesiune după o perioadă stabilită de inactivitate. Pentru a continua, utilizatorul ar trebui să își reintroducă parola sau să se autorizeze în alt mod.

Acest lucru ar proteja ISP dacă cineva își pierde dispozitivul în timp ce este conectat la aplicația dumneavoastră.

Perioada exactă de inactivitate care declanșează deconectarea ar trebui să depindă de specificul sistemului dumneavoastră.

Cu o stație de lucru securizată într-un mediu foarte protejat, puteți seta cronometrul pentru 10-15 minute. Pentru soluțiile bazate pe web, această perioadă nu ar trebui să depășească 10 minute. Iar pentru o aplicație mobilă, puteți seta temporizatorul pentru 2-3 minute.

Diferite limbaje de programare implementează deconectarea automată în moduri diferite.

Sursa:

Sursa: MailChimp

9. Extra-securitatea aplicațiilor mobile

Dispozitivele mobile prezintă multe riscuri suplimentare. Un smartphone ar putea fi ușor furat sau pierdut într-o zonă cu trafic intens, compromițând informațiile sensibile.

Pentru a preveni acest lucru, puteți utiliza:

• Blocare ecran (Android/iOS);
• Criptare completă a dispozitivului (Android/iOS);
• Ștergere de la distanță a datelor (Android/iOs).

Nu puteți forța aceste caracteristici asupra utilizatorilor, dar puteți încuraja oamenii să le folosească. Puteți include instrucțiunile în procesul de integrare sau puteți trimite e-mailuri în care să descrieți modul de activare a acestora.

Tip: Puteți stoca ISP într-un container securizat separat de datele cu caracter personal. În acest fel, puteți șterge de la distanță informațiile medicale fără a afecta nimic altceva.

Mulți medici folosesc smartphone-uri personale pentru a trimite informații medicale. Puteți neutraliza această amenințare cu ajutorul platformelor de mesagerie securizată.

Aceste aplicații găzduiesc datele sensibile într-o bază de date securizată. Pentru a accesa PHI, utilizatorii trebuie să descarce mesageria și să se conecteze la conturile lor.

O altă soluție este reprezentată de portalurile de sănătate criptate și protejate prin parolă, unde pacienții pot citi mesajele medicilor lor. Astfel de portaluri trimit notificări fără ISP în ele (de exemplu, „Stimate utilizator, ați primit un nou mesaj de la „).

Rețineți, notificările push nu sunt securizate în mod implicit. Ele pot apărea pe ecran chiar dacă acesta este blocat. Așadar, asigurați-vă că nu trimiteți nicio ISP prin intermediul notificărilor push. Același lucru este valabil și pentru SMS-uri și orice mesaje automate.

Sursa: Bridge Patient Portal

Un alt lucru de luat în considerare este că FDA poate clasifica unele aplicații mHealth drept dispozitive medicale (software care influențează procesul de luare a deciziilor de către profesioniștii din domeniul sănătății).

Așa că nu uitați să verificați dacă aplicația dvs. trebuie să se conformeze altor reglementări din domeniul sănătății înainte de a începe dezvoltarea. Puteți verifica acest test al Comisiei Federale pentru Comerț pentru a obține un răspuns rapid.

Încheiere

Acum aveți o listă minimă de caracteristici pentru un software conform HIPAA.

Singurel, acestea nu vor garanta securitatea acestuia. Ele nu vă vor proteja împotriva phishing-ului sau a ingineriei sociale.

Dar existența acestor caracteristici ar trebui să convingă un auditor că ați făcut destule pentru a vă proteja datele clienților.

Pentru ca auditurile să fie mai puțin dureroase, documentați toate eforturile dvs. de conformare HIPAA. Pentru fiecare versiune a aplicației dumneavoastră, furnizați specificațiile scrise, planurile de testare a securității acesteia și rezultatele acestora. Și nu uitați să verificați dacă trebuie să vă conformați cu alte reglementări înainte de a începe dezvoltarea.

.