Come garantire che i dipendenti remoti siano conformi alla normativa HIPAA

Mantenere la conformità HIPAA per i dipendenti remoti può essere un compito arduo, ma non deve esserlo. Continua a leggere per scoprire come l'accesso remoto e il supporto possono semplificare le cose.

La maggior parte delle organizzazioni sanitarie è stata sistemata comodamente nei propri processi di conformità HIPAA per anni. Tuttavia, negli ultimi due anni il panorama è cambiato in modo significativo con l'aumento del lavoro a distanza, della telemedicina e delle crescenti minacce informatiche alle informazioni sanitarie protette (PHI).

Gartner ha recentemente stimato che il 51% dei knowledge worker eseguirà il proprio lavoro da remoto all'inizio del 2022. Questo passaggio al lavoro a distanza ha implicazioni significative per le organizzazioni che devono rispettare le normative HIPAA (Health Insurance Portability and Accountability Act).

I lavoratori remoti sono un rischio di conformità HIPAA?

No, i lavoratori a distanza non sono intrinsecamente un rischio. Tuttavia, i team IT che non sono preparati a fornire ai lavoratori remoti le risorse necessarie per conformarsi alle normative sulla privacy dei dati rappresentano un rischio. Un articolo di 2021 Healthcare IT News ha sottolineato che solo 2 team IT su 10 hanno dichiarato di aver fornito strumenti e risorse adeguati per supportare i dipendenti che lavorano in remoto a lungo termine. Questa mancanza di preparazione mette le organizzazioni a rischio di violare le norme sulla protezione dei dati e delle cartelle cliniche elettroniche (EMR) dell'HIPAA.

In effetti, il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti ha specificamente notato il rischio di conformità HIPAA quando i lavoratori utilizzano sistemi di accesso remoto privi di funzionalità di conformità HIPAA. Nel descrivere la necessità di rivedere e modificare regolarmente le politiche di sicurezza per allinearle con HIPAA, HHS ha dichiarato: «Ciò è particolarmente rilevante per le organizzazioni che consentono l'accesso remoto a EPHI (Electronic Protected Health Information) attraverso dispositivi portatili o su sistemi o hardware esterni non di proprietà o gestito dall'entità coperta».

Le violazioni HIPAA sono una costosa supervisione

Le sanzioni per violazione HIPAA possono aumentare rapidamente, raggiungendo fino a 1,8 milioni di dollari per violazione. Inoltre, si raccomanda l'obbligo di seguire un costoso piano di azioni correttive (PAC) per prevenire future violazioni. Le sanzioni e i requisiti della PAC sono stati stabiliti dall'Health Information Technology for Economic and Clinical Health Act (HITECH) entrato in vigore nel marzo del 2013. Si applicano a molte più organizzazioni che ai soli operatori sanitari: piani sanitari, stanze di compensazione sanitaria, tutte le entità coperte e soci in affari delle entità coperte.

Ad esempio, un recente articolo della National Law Review ha descritto come Peachstate Health Management, Inc. abbia negoziato la sanzione per violazione HIPAA fino a $25.000. Tuttavia, la PAC che hanno dovuto attuare comportava costi molto più elevati, perché richiedeva a Peachstate di fare quanto segue:

  • Condurre un'analisi dei rischi a livello aziendale
  • Sviluppare e implementare un piano di gestione del
  • Sviluppare politiche e procedure progettate per la conformità HIPAA Security Rule
  • Distribuire le politiche e le procedure
  • Sviluppa materiali di formazione per la forza lavoro
  • Designare un monitor indipendente
  • Inviare rapporti di implementazione, rapporti di non conformità e rapporti annuali

L'assunzione di un monitor indipendente esperto supererebbe di gran lunga la multa di 25.000 dollari, soprattutto perché devono essere approvati dall'OCR (l'Ufficio per i diritti civili presso il Dipartimento della salute e dei servizi umani degli Stati Uniti).

In che modo le soluzioni di accesso remoto e supporto Splashtop possono aiutarti a conformarti?

Innanzitutto, e più importante da notare, Splashtop non ha accesso alle informazioni o alle registrazioni dei pazienti (EMR, PACS, ecc.). Le soluzioni Splashtop elaborano lo streaming desktop in una sessione di accesso remoto o supporto crittografata. In tal modo, Splashtop non ha mai accesso ai dati della sessione.

Il mancato accesso ai dati della sessione è una distinzione importante. Significa che Splashtop può fornire servizi di accesso remoto e supporto ai sensi della HIPAA Conduit Exception Rule. L'eccezione conduit è limitata ai servizi di trasmissione (sia digitali che cartacei), inclusa la memorizzazione temporanea dei dati trasmessi relativi a tale trasmissione. Ciò esclude servizi come Splashtop dal dover stipulare accordi di business associate con entità coperte.

Ciò consente ai nostri clienti di implementare rapidamente le soluzioni Splashtop senza la necessità di contratti estesi legati all'HIPAA. Inoltre, sanno che le informazioni e le registrazioni dei loro pazienti rimangono all'interno del loro sistema, senza mai attraversare il perimetro della loro organizzazione.

Misure di sicurezza Splashtop aggiuntive che garantiscono la sicurezza dei dati

Splashtop ha sviluppato «Security Policies» come sottoinsieme delle nostre misure tecniche e organizzative (TOM). Questi descrivono le misure di sicurezza e i controlli implementati e gestiti da Splashtop per proteggere e proteggere i dati che archiviamo ed elaboriamo. Le nostre politiche di sicurezza IT vengono regolarmente riviste e modificate dai nostri esperti di sicurezza IT.

Inoltre, i dipendenti Splashtop completano la formazione sulla sicurezza delle informazioni due volte all'anno. Nell'ambito di questa formazione, accettano di rispettare la condotta aziendale etica, la riservatezza e le politiche di sicurezza come indicato nel nostro «Codice di condotta».

Le politiche di sicurezza di Splashtop sono supportate da una solida architettura di sicurezza dei dati che ha molte funzionalità. La crittografia e il controllo degli accessi sono i due più importanti per mantenere la protezione dei dati quando i dipendenti lavorano in remoto.

  • Crittografia: Splashtop crittografa tutti i dati degli utenti in transito e inattivi e tutte le sessioni utente vengono stabilite in modo sicuro utilizzando TLS. Il contenuto a cui si accede in ogni sessione è sempre crittografato tramite AES a 256 bit.
  • Controllo degli accessi: Splashtop ha implementato controlli di accesso per gestire l'accesso elettronico a dati e sistemi. I nostri controlli di accesso si basano sui livelli di autorità, sui livelli di necessità di conoscere e sulla separazione dei compiti per coloro che accedono al sistema. Seguiamo l'accesso basato sui ruoli con revisioni regolari dell'account, monitoraggio degli accessi e registrazione.

L'accesso remoto Splashtop introduce ancora più funzionalità di sicurezza, come l'autenticazione del dispositivo, l'autenticazione a due fattori (2FA), il single sign-on (SSO) e altro ancora. Se desideri saperne di più, abbiamo messo insieme un elenco completo delle funzionalità di sicurezza che supportano l'HIPAA di Splashtop.

Mantieni la conformità HIPAA della tua organizzazione con accesso e supporto remoti

Con il lavoro a distanza costante, molte organizzazioni stanno sfruttando l'accesso remoto e le soluzioni di supporto per gestire in modo sicuro le EMR e altri dati dei pazienti. Per mantenere la conformità HIPAA della tua organizzazione, devi adottare un accesso e un supporto remoti sicuri e protetti.

Splashtop fornisce a centinaia di organizzazioni sanitarie accesso e supporto remoti sicuri e protetti, in linea con l'HIPAA e altre normative sulla privacy dei consumatori. Per scoprire come Splashtop può consentire alla tua organizzazione di mantenere i lavoratori remoti in conformità con HIPAA, contatta oggi stesso un esperto Splashtop.

Rimani aggiornato con le ultime notizie sulla sicurezza iscrivendoti al nostro Security Feed.

Contenuto correlato

Banner di prova gratuito nella parte inferiore del blog