Come garantire che i dipendenti da remoto siano conformi alla normativa HIPAA
Condividi
Mantenere la conformità HIPAA per i dipendenti che lavorano in remoto può essere un compito arduo, ma non deve esserlo per forza. Continua a leggere per scoprire come l'accesso e il supporto remoto possono semplificare le cose.
La maggior parte delle organizzazioni sanitarie da anni si adagia sugli allori dei processi di conformità HIPAA già in essere. Tuttavia, negli ultimi due anni il panorama è cambiato in modo significativo con l'aumento del lavoro a distanza, della teleassistenza e delle crescenti minacce informatiche alle informazioni sanitarie protette (PHI).
Gartner ha recentemente stimato che il 51% dei lavoratori che svolgono attività intellettuali svolgerà il proprio lavoro da remoto all'inizio del 2022. Questo passaggio al lavoro a distanza ha implicazioni significative per le organizzazioni che devono rispettare le normative HIPAA (Health Insurance Portability and Accountability Act).
I lavoratori a distanza sono un rischio per la conformità HIPAA?
No, i lavori a distanza non sono un rischio di per sé. Tuttavia, i team IT che non sono pronti a dar loro le risorse necessarie per rispettare la conformità alle normative sulla privacy dei dati sono effettivamente a rischio. Un articolo di 2021 Healthcare IT News ha sottolineato che solo 2 team IT su 10 hanno dichiarato di aver fornito strumenti e risorse adeguati per supportare i dipendenti che lavorano in remoto a lungo termine. Questa mancanza di preparazione mette le organizzazioni a rischio di violare la protezione di dati e documenti sanitari (EMR) prevista dall'HIPAA.
Il Dipartimento di salute e servizi umani degli Stati Uniti (HSS) ha espressamente evidenziato il rischio di mancata conformità HIPAA quando i lavoratori utilizzano sistemi di accesso remoto che non sono dotati di funzionalità di conformità HIPAA. Descrivendo la necessità di rivedere e modificare le politiche di sicurezza perché siano allineate all'HIPAA, l'HHS ha dichiarato: "Si tratta di un passaggio particolarmente importante per le organizzazioni che consentono l'accesso remoto ai dati sanitari protetti elettronicamente (EPHI) tramite dispositivi portatili o su sistemi esterni o hardware non di proprietà o gestiti dall'entità in questione".
Le violazioni dell'HIPAA sono una svista costosa
Le sanzioni per mancata conformità HIPAA possono aumentare rapidamente, raggiungendo cifre da 1,8 milioni di dollari per violazione. Inoltre, a seguito di una violazione, un requisito da seguire è mettere in atto un piano correttivo (CAP) molto costoso per prevenire incidenti futuri. Le sanzioni e i requisiti CAP sono stati stabiliti dall'Health Information Technology for Economic and Clinical Health Act (HITECH), entrato in vigore nel marzo del 2013. Si applicano a molte organizzazioni oltre a quelle sanitarie: piani sanitari, clearinghouse sanitarie, tutte le entità coperte e i loro soci.
Ad esempio, un recente articolo di National Law Review descrive come Peachstate Health Management, Inc. abbia negoziato la propria sanzione per violazione dell'HIPAA riducendola a 25.000 $. Tuttavia, il CAP che hanno dovuto implementare ha comportato costi molto più elevati, perché ha richiesto a Peachstate di:
Condurre un'analisi dei rischi a livello aziendale
Sviluppare e implementare un piano di gestione del rischio
Sviluppare politiche e procedure per la conformità alle norme di sicurezza HIPAA.
Distribuire le politiche e le procedure
Sviluppare materiali di formazione per i dipendenti
Designare un controllo indipendente
Presentare report di implementazione, di non conformità e annuali.
Assumere un sorvegliante esperto indipendente supererebbe di gran lunga la multa di 25.000 $, soprattutto perché tale assunzione deve essere approvata dall'OCR (l'Office for Civil Rights del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti).
In che modo le soluzioni di accesso e assistenza a distanza di Splashtop possono aiutarti a rispettare le normative?
Innanzitutto, cosa molto importante, Splashtop non ha accesso alle informazioni o alle cartelle cliniche dei pazienti (EMR, PACS, ecc.). Le soluzioni Splashtop elaborano lo streaming del desktop in una sessione di accesso remoto o di supporto crittografata. In questo modo, Splashtop non ha mai accesso ai dati della sessione.
Non accedere ai dati della sessione è una distinzione molto importante. Significa che Splashtop è in grado di fornire accesso remoto e servizi di supporto secondo la HIPAA Conduit Exception Rule. Questa eccezione è limitata ai servizi di trasmissione (sia digitali che cartacei) che includono l'archiviazione temporanea dei dati trasmessi in relazione a tale trasmissione. Servizi come Splashtop non sono tenuti a stipulare contratti di collaborazione con queste entità.
Questo permette ai nostri clienti di implementare rapidamente le soluzioni Splashtop senza dover sottoscrivere contratti complessi legati all'HIPAA. Inoltre, sanno che le informazioni e le cartelle cliniche dei pazienti rimangono all'interno del loro sistema e non usciranno mai dal perimetro dell'organizzazione.
Ulteriori misure di sicurezza Splashtop che garantiscono la sicurezza dei dati
Splashtop ha sviluppato alcune "Politiche di sicurezza" che costituiscono un sottoinsieme delle nostre Misure tecniche e organizzative (TOM). Tali politiche descrivono le misure e i controlli di sicurezza implementati e gestiti da Splashtop al fine di proteggere i dati archiviati ed elaborati. Le nostre politiche di sicurezza IT sono regolarmente controllate e corrette dai nostri esperti.
Inoltre, i dipendenti Splashtop completano una formazione apposita per la sicurezza delle informazioni due volte all'anno, all'interno della quale accettano di rispettare il codice etico aziendale e le politiche di riservatezza descritte nel nostro Codice di condotta.
Le politiche di sicurezza di Splashtop sono supportate da una solida architettura di sicurezza dei dati che presenta numerose caratteristiche. La crittografia e il controllo degli accessi sono i due elementi più importanti per tutelare la protezione dei dati quando i tuoi dipendenti lavorano da remoto.
Crittografia: Splashtop si avvale della crittografia per proteggere tutti i dati degli utenti in transito e a riposo, inoltre tutte le sessioni utente vengono stabilite in modo sicuro utilizzando TLS. Il contenuto a cui si accede durante ogni sessione è sempre cifrato tramite AES a 256 bit.
Controllo degli accessi: Splashtop ha implementato il controllo degli accessi per gestire l'accesso elettronico ai dati e ai sistemi. I nostri controlli degli accessi sono basati su livelli di autorità, livelli del tipo "need-to-know" e sulla distinzione delle funzioni per coloro che accedono al sistema. Utilizziamo accessi basati sul ruolo con controlli regolari dell'account, monitoraggio degli accessi e registrazione.
L'accesso remoto di Splashtop introduce ancora più funzioni di sicurezza, come l'autenticazione dei dispositivi, l'autenticazione a due fattori (2FA), il single sign-on (SSO) e altro ancora. Se vuoi saperne di più, abbiamo raccolto un elenco completo delle caratteristiche di sicurezza HIPAA di Splashtop.
Mantieni la tua organizzazione conforme alle norme HIPAA con l'accesso e il supporto da remoto
Poiché il lavoro a distanza è destinato a rimanere, molte organizzazioni stanno sfruttando l'accesso remoto e le soluzioni di supporto per gestire in modo sicuro le informazioni sanitarie e altri dati dei pazienti. Per mantenere la tua organizzazione conforme alle normative HIPAA, è necessario adottare un accesso e un'assistenza a distanza sicuri e protetti.
Splashtop fornisce a centinaia di organizzazioni sanitarie un accesso remoto sicuro e un'assistenza a distanza sicuri e protetti, conformi con HIPAA e con altre normative di privacy dei consumatori. Per scoprire in che modo Splashtop permette alla tua organizzazione di rispettare la conformità dei lavoratori da remoto con HIPAA, contatta un esperto di Splashtop oggi stesso.
