Hur du säkerställer att dina distansanställda är HIPAA-kompatibla

Att upprätthålla HIPAA-efterlevnad för distansanställda kan vara en skrämmande uppgift, men det behöver inte vara det. Läs vidare för att lära dig hur fjärråtkomst och support kan göra det enkelt.

De flesta hälso- och sjukvårdsorganisationer har varit bekvämt inrättade i sina HIPAA-efterlevnadsprocesser i flera år. Men under de senaste två åren har landskapet förändrats avsevärt med uppkomsten av distansarbete, telehälsa och ökande cyberhot mot skyddad hälsoinformation (PHI).

Gartner uppskattade nyligen att 51 procent av kunskapsarbetarna kommer att utföra sitt arbete på distans i början av 2022. Denna övergång till distansarbete har betydande konsekvenser för organisationer som måste följa HIPAA-lagen (Health Insurance Portability and Accountability Act).

Är distansarbetare en risk för efterlevnad av HIPAA?

Nej, distansarbetare i sig är inte i sig en risk. Men IT-team som inte är beredda att utrusta distansarbetare med de resurser som krävs för att följa datasekretessbestämmelserna är en risk. En 2021 Healthcare IT News-artikel påpekade att bara 2 av 10 IT-team sa att de har tillhandahållit adekvata verktyg och resurser för att stödja anställda som arbetar på distans på lång sikt . Denna brist på beredskap sätter organisationer i riskzonen att bryta mot HIPAA:s skyddsbestämmelser för data och elektroniska journaler (EMR).

Faktum är att det amerikanska departementet för hälsa och mänskliga tjänster (HHS) specifikt noterade risken för efterlevnad av HIPAA när arbetare använder fjärråtkomstsystem som saknar funktioner för efterlevnad av HIPAA. När HHS beskrev behovet av att regelbundet granska och ändra säkerhetspolicyer för att anpassa sig till HIPAA, sa HHS: "Detta är särskilt relevant för organisationer som tillåter fjärråtkomst till EPHI (Electronic Protected Health Information) via bärbara enheter eller på externa system eller hårdvara som inte ägs eller hanteras av den omfattade enheten.”

HIPAA-överträdelser är en dyr förbiseende

Påföljder för HIPAA-överträdelse kan eskalera snabbt och nå upp till 1,8 miljoner USD per överträdelse . Utöver det rekommenderas ett krav på att följa en kostsam korrigerande handlingsplan (CAP) för att förhindra framtida överträdelser. Påföljder och CAP-krav fastställdes av Health Information Technology for Economic and Clinical Health Act (HITECH) som trädde i kraft i mars 2013. De gäller för många fler organisationer än bara vårdgivare – hälsoplaner, hälsovårdscentraler, alla täckta enheter och företag intresseföretag till omfattade enheter.

Till exempel beskrev en nyligen publicerad National Law Review-artikel hur Peachstate Health Management, Inc. förhandlade fram sitt HIPAA-brottsstraff ner till $25 000. Men den gemensamma jordbrukspolitiken de var tvungna att implementera kom med mycket högre kostnader, eftersom det krävde Peachstate att göra följande:

  • Genomför en företagsomfattande riskanalys
  • Utveckla och implementera en riskhanteringsplan
  • Utveckla policyer och procedurer utformade för efterlevnad av HIPAA-säkerhetsregler
  • Fördela policyerna och procedurerna
  • Utveckla utbildningsmaterial för arbetskraften
  • Utse en oberoende monitor
  • Skicka in implementeringsrapporter, rapporter om bristande efterlevnad och årsrapporter

Att anlita en oberoende expertövervakare skulle vida överstiga böterna på 25 000 USD, särskilt eftersom de måste godkännas av OCR (Office for Civil Rights vid US Department of Health and Human Services).

Hur kan Splashtops fjärråtkomst- och supportlösningar hjälpa dig att uppfylla kraven?

För det första, och viktigast att notera, har Splashtop inte tillgång till patientinformation eller journaler (EMR, PACS, etc.). Splashtop-lösningar bearbetar skrivbordsströmningen i en krypterad fjärråtkomst eller supportsession. Genom att göra det har Splashtop aldrig tillgång till sessionsdata.

Att inte komma åt sessionsdata är en viktig skillnad. Det betyder att Splashtop kan tillhandahålla fjärråtkomst och supporttjänster under HIPAA Conduit Exception Rule. Kanalundantaget är begränsat till överföringstjänster (oavsett om det är digitalt eller papperskopia) inklusive eventuell tillfällig lagring av överförd data som hör till sådan överföring. Detta utesluter tjänster som Splashtop från att behöva ingå avtal om affärspartner med omfattade enheter.

Detta gör det möjligt för våra kunder att snabbt implementera Splashtop-lösningar utan behov av omfattande kontrakt knutna till HIPAA. Dessutom vet de att deras patientinformation och journaler förblir inom deras system och aldrig passerar utanför deras organisations omkrets.

Ytterligare Splashtop-säkerhetsåtgärder som garanterar dina datas säkerhet

Splashtop har utvecklat "Security Policies" som en delmängd av våra tekniska och organisatoriska åtgärder (TOMs). Dessa beskriver de säkerhetsåtgärder och kontroller som implementeras och underhålls av Splashtop för att skydda och säkra den data vi lagrar och behandlar. Våra IT-säkerhetspolicyer granskas och ändras regelbundet av våra IT-säkerhetsexperter.

Utöver det genomför Splashtop-anställda informationssäkerhetsutbildningar två gånger om året. Som en del av denna utbildning samtycker de till att följa etiskt affärsuppförande, konfidentialitet och säkerhetspolicyer som anges i vår "Uppförandekod".

Splashtops säkerhetspolicyer backas upp av en robust datasäkerhetsarkitektur som har många funktioner. Kryptering och åtkomstkontroll är de två viktigaste för att upprätthålla dataskyddet när dina anställda arbetar på distans.

  • Kryptering: Splashtop krypterar all användardata under överföring och vila, och alla användarsessioner upprättas säkert med TLS. Innehållet som nås inom varje session är alltid krypterat via 256-bitars AES.
  • Åtkomstkontroll: Splashtop har implementerat åtkomstkontroller för att hantera elektronisk åtkomst till data och system. Våra åtkomstkontroller är baserade på behörighetsnivåer, behovsnivåer och åtskillnad av arbetsuppgifter för dem som har tillgång till systemet. Vi följer upp rollbaserad åtkomst med regelbundna kontogenomgångar, åtkomstövervakning och loggning.

Splashtop fjärråtkomst introducerar ännu fler säkerhetsfunktioner, såsom enhetsautentisering, tvåfaktorsautentisering (2FA), enkel inloggning (SSO) och mer. Om du vill veta mer har vi sammanställt en fullständig lista över Splashtops HIPAA-stödjande säkerhetsfunktioner .

Håll din organisation HIPAA-kompatibel med fjärråtkomst och support

Med distansarbete här för att stanna, utnyttjar många organisationer fjärråtkomst och supportlösningar för att säkert hantera EMR och annan patientdata. För att hålla din organisation HIPAA-kompatibel måste du anta säker och säker fjärråtkomst och support.

Splashtop ger hundratals hälsovårdsorganisationer säker och säker fjärråtkomst och support – i linje med HIPAA och andra konsumentskyddsbestämmelser. För att ta reda på hur Splashtop kan göra det möjligt för din organisation att hålla distansarbetare i enlighet med HIPAA, kontakta en Splashtop-expert idag .

Håll dig uppdaterad med de senaste säkerhetsnyheterna genom att prenumerera på vårt säkerhetsflöde .

Relaterat innehåll

Gratis provbanner på bloggbotten