Como garantir que os seus funcionários remotos sejam compatíveis com a HIPAA

Manter a conformidade com a HIPAA para funcionários remotos pode ser uma tarefa assustadora, mas não precisa ser. Continue a ler para saber como o acesso remoto e o suporte podem facilitar.

A maioria das organizações de saúde têm sido confortavelmente instaladas nos seus processos de conformidade com a HIPAA há anos. No entanto, nos últimos dois anos o panorama mudou significativamente com a ascensão do trabalho remoto, da telesaúde e do aumento das ameaças cibernéticas à informação protegida de saúde (PHI).

A Gartner estimou recentemente que 51% dos trabalhadores do conhecimento irão realizar o seu trabalho remotamente no início de 2022. Esta mudança para o trabalho remoto tem implicações significativas para as organizações que devem cumprir os regulamentos da Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA).

Os Trabalhadores Remotos são um Risco de Conformidade HIPAA?

Não, os trabalhadores remotos não são, por inerência, um risco. No entanto, as equipes de TI que não estão preparadas para equipar os trabalhadores remotos com os recursos necessários para cumprir as regras de privacidade de dados são um risco. Um artigo de 2021 Healthcare IT News apontou que apenas 2 em cada 10 equipes de TI afirmaram ter fornecido ferramentas e recursos adequados para apoiar os colaboradores que trabalham remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violar os regulamentos de proteção de dados e registros médicos eletrônicos (EMR) da HIPAA.

Na verdade, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA observou especificamente o risco de conformidade com a HIPAA quando os trabalhadores usam sistemas de acesso remoto que não possuem funcionalidades de conformidade com a HIPAA. Ao descrever a necessidade de rever e modificar regularmente as políticas de segurança de modo a alinhar com a HIPAA, o HS afirmou: “Isto é particularmente relevante para as organizações que permitem o acesso remoto a EPHI (Electronic Protegida Health Information) através de dispositivos portáteis ou em sistemas externos ou hardware não pertencentes ou gerenciados pela entidade abrangida.”

Violações HIPAA são uma Fiscalização Dispendiosa

As penas de violação da HIPAA podem escalar rapidamente, atingindo até 1.8 milhões de dólares por violação. Além disso, há uma recomendação obrigatória de seguir um plano de ação corretiva dispendioso (PAC) para evitar futuras violações. A Lei das Tecnologias de Informação para a Saúde Econômica e Clínica (HITECH) estabeleceu sanções e requisitos da PAC, que entrou em vigor em março de 2013. Elas se aplicam a muitas organizações além do que apenas prestadores de cuidados de saúde — planos de saúde, câmaras de compensação de cuidados de saúde, todas as entidades abrangidas e parceiros empresariais de entidades abrangidas.

Por exemplo, um artigo recente da National Law Review descreveu como a Peachstate Health Management, Inc. negociou a sua pena de violação da HIPAA para $25.000. No entanto, o PAC que tiveram de implementar tinha custos muito mais elevados, porque exigia que a Peachstate fizesse o seguinte:

  • Realizar uma análise de risco para toda a empresa
  • Desenvolver e implementar um plano de gestão de risco
  • Desenvolver políticas e procedimentos concebidos para a conformidade com as Regra de Segurança da HIPAA
  • Distribuir as políticas e procedimentos
  • Desenvolver materiais de formação para a força de trabalho
  • Designar um monitor independente
  • Apresentar relatórios de implementação, relatórios de não conformidade e relatórios anuais

A contratação de um monitor independente especializado excederia largamente a multa de $25.000, especialmente porque têm de ser aprovados pelo OCR (Escritório para Direitos Humanos do Departamento de Saúde e Serviços Humanos dos EUA).

Como as Soluções de Acesso Remoto e Suporte Splashtop Podem Ajudá-lo a Cumprir?

Em primeiro lugar, e mais importante notar, a Splashtop não tem acesso a informações ou registros do paciente (EMR, PACS, etc.). As soluções Splashtop processam a transmissão em sequência de desktop numa sessão de suporte ou acesso remoto encriptado. Ao fazê-lo, a Splashtop nunca tem acesso aos dados da sessão.

Não acessar dados de sessão é uma distinção importante. Significa que a Splashtop pode fornecer acesso remoto e serviços de suporte ao abrigo da Regra de Exceção Conduit da HIPAA. A exceção da conduta está limitada aos serviços de transmissão (sejam digitais ou cópias em papel), incluindo qualquer armazenamento temporário de dados transmitidos incidente a essa transmissão. Isto exclui serviços como a Splashtop de terem de entrar em acordos de associação comercial com entidades abrangidas.

Isto permite que os nossos clientes implementem rapidamente soluções Splashtop sem a necessidade de contratos extensos vinculados à HIPAA. Além disso, eles sabem que as informações e registros dos pacientes permanecem dentro do seu sistema, nunca cruzando para fora do perímetro da sua organização.

Medidas de Segurança Adicionais da Splashtop que Garantem a Segurança dos Seus Dados

A Splashtop desenvolveu “Políticas de Segurança” como um subconjunto das nossas Medidas Técnicas e Organizacionais (TOM). Estas descrevem as medidas e controles de segurança implementados e mantidos pela Splashtop para proteger e proteger os dados que armazenamos e processamos. As nossas políticas de segurança de TI são regularmente revistas e alteradas pelos nossos especialistas em segurança de TI.

Além disso, os funcionários da Splashtop completam a formação em segurança da informação duas vezes por ano. Como parte desta formação, eles concordam em cumprir com a conduta ética do negócio, a confidencialidade e as políticas de segurança, tal como indicado no nosso “Código de Conduta”.

As políticas de segurança da Splashtop são apoiadas por uma arquitetura de segurança de dados robusta que possui muitas funcionalidades. A encriptação e o Controle de acesso são os dois mais importantes para manter a proteção de dados quando os seus funcionários trabalham remotamente.

  • Encriptação: A Splashtop encripta todos os dados do usuário em trânsito e em repouso, e todas as sessões de usuário são estabelecidas com segurança através do TLS. O conteúdo acessado em cada sessão é sempre encriptado através de AES de 256 bits.
  • Controle de Acessos:a Splashtop implementou Controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos Controles de acesso se baseiam nos níveis das autoridades, nos níveis de necessidade de conhecer e na separação de tarefas para quem acesse o sistema. Acompanhamos o acesso baseado em funções com avaliações regulares de contas, monitoramento de acessos e registro.

O acesso remoto Splashtop introduz ainda mais funcionalidades de segurança, como autenticação do dispositivo, autenticação de dois fatores (2FA), início de sessão único (SSO) e muito mais. Se quiser saber mais, elaboramos uma lista completa das funcionalidades de segurança que suportam a HIPAA da Splashtop.

Mantenha a HIPAA da sua Organização Compatível com o Acesso e Suporte Remotos

Com o trabalho remoto chegando para ficar, muitas organizações estão aproveitando soluções de acesso e suporte remotos para lidar com segurança EMR e outros dados do paciente. Para manter a conformidade com a HIPAA da sua organização, você precisa adotar um acesso e suporte remotos seguros.

A Splashtop oferece a centenas de organizações de saúde acesso e suporte remoto seguro e seguro, alinhado com a HIPAA e outros regulamentos de privacidade do consumidor. Para saber como a Splashtop pode permitir que a sua organização mantenha os trabalhadores remotos em conformidade com a HIPAA, contacte hoje mesmo um especialista da Splashtop.

Mantenha-se atualizado com as últimas notícias de segurança ao assinar o nosso Feed de Segurança.

Conteúdo Relacionado

Banner de avaliação gratuita no final desta página