Como garantir que os seus funcionários remotos são compatíveis com a HIPAA

Manter a conformidade com a HIPAA para funcionários remotos pode ser uma tarefa assustadora, mas não tem de ser. Continue a ler para saber como o acesso remoto e o suporte podem facilitar.

A maioria das organizações de saúde têm sido confortavelmente instaladas nos seus processos de conformidade com a HIPAA há anos. No entanto, nos últimos dois anos o panorama mudou significativamente com a ascensão do trabalho remoto, da telesaúde e do aumento das ameaças cibernéticas à informação protegida de saúde (PHI).

A Gartner estimou recentemente que 51% dos trabalhadores do conhecimento irão realizar o seu trabalho remotamente no início de 2022. Esta mudança para o trabalho remoto tem implicações significativas para as organizações que devem cumprir os regulamentos da Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA).

Os Trabalhadores Remotos são um Risco de Conformidade HIPAA?

Não, os trabalhadores remotos não são, por inerência, um risco. No entanto, as equipas de TI que não estão preparadas para equipar trabalhadores remotos dos recursos necessários para cumprir as regras de privacidade de dados são um risco. Um artigo de 2021 Healthcare IT News apontou que apenas 2 em cada 10 equipas de TI afirmaram ter fornecido ferramentas e recursos adequados para apoiar os colaboradores que trabalham remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violarem os regulamentos de proteção de dados e registos médicos eletrónicos (EMR) da HIPAA.

Defacto, o Department of Health and Human Services (HHS) dos EUA observou especificamente o risco de conformidade com a HIPAA quando os trabalhadores usam sistemas de acesso remoto que não possuem funcionalidades de conformidade com a HIPAA. Aodescrever a necessidade de rever e modificar regularmente as políticas de segurança de modo a alinhar com a HIPAA, o HS afirmou: “Isto é particularmente relevante para as organizações que permitem o acesso remoto a EPHI (Electronic Protegida Health Information) através de dispositivos portáteis ou em sistemas externos ou hardware não pertencentes ou geridas pela entidade abrangida.”

Violações HIPAA são uma Fiscalização dispendiosa

As penas de violação da HIPAA podem escalar rapidamente, atingindo até 1.8 milhões de dólares por violação. Além disso, recomenda-se a necessidade de seguir um plano de acção correctiva dispendioso (PAC) para evitar futuras violações. A Lei das Tecnologias de Informação para a Saúde para a Saúde Económica e Clínica (HITECH) estabeleceu sanções e requisitos da PAC, que entrou em vigor em março de 2013. Aplicam-se a muitas mais organizações do que apenas prestadores de cuidados de saúde — planos de saúde, câmaras de compensação de cuidados de saúde, todas as entidades abrangidas e parceiros empresariais de entidades abrangidas.

Por exemplo, um artigo recente da National Law Review descreveu como Peachstate Health Management, Inc. negociou a sua pena de violação da HIPAA para $25.000. No entanto, a PAC que tiveram de implementar tinha custos muito mais elevados, porque exigia que o Pêachstate fizesse o seguinte:

  • Realizar uma análise de risco para toda a empresa
  • Desenvolver e implementar um plano de gestão de risco
  • Desenvolver políticas e procedimentos concebidos para a conformidade com as Regra de Segurança da HIPAA
  • Distribuir as políticas e procedimentos
  • Desenvolver materiais de formação para a força de trabalho
  • Designar um monitor independente
  • Apresentar relatórios de implementação, relatórios de não conformidade e relatórios anuais

A contratação de um monitor independente especializado excederia largamente a multa de $25.000, especialmente porque têm de ser aprovados pelo OCR (Office for Civis Rights do Departamento de Saúde e Serviços Humanos dos EUA).

Como é que as soluções de acesso remoto e suporte Splashtop podem ajudá-lo a cumprir?

Em primeiro lugar, e mais importante notar, Splashtop não tem acesso a informações ou registos do paciente (EMR, PACS, etc.). Assoluções Splashtop processam a transmissão em sequência de desktop numa sessão de suporte ou acesso remoto encriptado. Ao fazê-lo, o Splashtop nunca tem acesso aos dados da sessão.

Nãoaceder a dados de sessão é uma distinção importante. Significa que o Splashtop pode fornecer acesso remoto e serviços de suporte ao abrigo da Regra de Exceção Conduit da HIPAA. Aexceção da conduta está limitada aos serviços de transmissão (sejam digitais ou cópias em papel), incluindo qualquer armazenamento temporário de dados transmitidos incidente a essa transmissão. Isto exclui serviços como o Splashtop de terem de celebrar acordos de associação comercial com entidades abrangidas.

Isto permite que os nossos clientes implementem rapidamente soluções Splashtop sem a necessidade de contratos extensos vinculados à HIPAA. Além disso, sabem que as informações e registos dos pacientes permanecem dentro do seu sistema, nunca cruzando para fora do perímetro da sua organização.

Medidas de segurança adicionais em Splashtop que garantem a segurança dos seus dados

O Splashtop desenvolveu “Políticas de segurança” como um subconjunto de nossas Medidas Técnicas e Organizacionais (TOM). Estes descrevem as medidas e controlos de segurança implementados e mantidos pelo Splashtop para proteger e proteger os dados que armazenamos e processamos. As nossas políticas de segurança de TI são regularmente revistas e alteradas pelos nossos especialistas em segurança de TI.

Além disso, os funcionários do Splashtop completam a formação em segurança da informação duas vezes por ano. Como parte desta formação, eles concordam em cumprir com a conduta ética do negócio, a confidencialidade e as políticas de segurança, tal como indicado no nosso “Código de Conduta”.

As políticas de segurança do Splashtop são apoiadas por uma arquitectura de segurança de dados robusta que possui muitas funcionalidades. A encriptação e o controlo de acesso são os dois mais importantes para manter a protecção de dados quando os seus funcionários trabalham remotamente.

  • Encriptação: o Splashtop encripta todos os dados do utilizador em trânsito e em repouso, e todas as sessões de utilizador são estabelecidas com segurança através do TLS. O conteúdo acedido em cada sessão é sempre encriptado através de AES de 256 bits.
  • Controlode Acessos: O Splashtop implementou controlos de acesso para gerir o acesso eletrónico a dados e sistemas. Os nossos controlos de acesso baseiam-se nos níveis das autoridades, nos níveis de necessidade de conhecer e na separação de tarefas para quem acede ao sistema. Acompanhamos o acesso baseado em funções com avaliações regulares de contas, monitorização de acessos e registo.

O acesso remoto Splashtop introduz ainda mais funcionalidades de segurança, como autenticação do dispositivo, autenticação de dois fatores (2FA), início de sessão único (SSO) e muito mais. Se quiser saber mais, elaborámos uma lista completa das funcionalidades de segurança que suportam a HIPAA do Splashtop.

Mantenha a HIPAA da sua organização compatível com o Acesso e Suporte Remotos

Com o trabalho remoto aqui para ficar, muitas organizações estão a aproveitar soluções de acesso remoto e suporte para lidar com segurança EMR e outros dados do paciente. Para manter a conformidade com a HIPAA da sua organização, necessita de adotar um acesso remoto seguro e seguro e seguro.

O Splashtop oferece a centenas de organizações de saúde acesso e suporte remoto seguro e seguro, alinhado com a HIPAA e outros regulamentos de privacidade do consumidor. Para saber como o Splashtop pode permitir que a sua organização mantenha os trabalhadores remotos em conformidade com a HIPAA, contacte hoje mesmo um especialista em Splashtop.

Mantenha-se atualizado com as últimas notícias de segurança ao subscrever o nosso Feed de Segurança.

Conteúdo Relacionado

Banner de avaliação gratuita no final desta página