5 Hacks, um Compliance-Fallstricke im Gesundheitswesen zu vermeiden - Wie Man

5 Hacks, um Compliance-Fallstricke im Gesundheitswesen zu vermeiden

Wenn Sie sich mit Gesundheitstechnologien beschäftigen, wissen Sie vielleicht, dass die Aufsichtsbehörden des Bundes für 2016 Pläne zur Erhöhung der Audits angekündigt haben - mit einem Schwerpunkt auf Datenschutz, Sicherheit und Berichterstattung über Verstöße.

Hier sind 5 häufig auftretende Compliance-Fallstricke, die im Gesundheitswesen zu vermeiden sind. Sie können den vollständigen Blogbeitrag hier lesen. http://enterprise.efax.com/blog/ephi-hipaa-data-security-in-2016.

5 Schritte insgesamt

Schritt 1: Fehler beim Implementieren und Dokumentieren von Richtlinien und Verfahren für Datensicherheit und Datenschutz.

Mit der HIPAA-Sicherheitsregel werden beispielsweise umfassende administrative, physische und technische Sicherheitsmaßnahmen für ePHI festgelegt, die entweder „adressierbare“ oder „erforderliche“ Standards sind und jeweils eindeutige Implementierungsspezifikationen aufweisen. Wenn es keinen dokumentierten Prozess dafür gibt, wie Ihr Unternehmen diese Standards einhält, kann dies für potenzielle Prüfer sicherlich ein roter Fahne sein.

Schritt 2: EPHI nicht autorisiertem Personal aussetzen.

Ein kürzlich erschienener Artikel in den HealthcareITSecurity-Nachrichten behandelte mehrere HIPAA-Verstöße, die sich auf Mitarbeiter, Mitarbeiter, Cyber-Hacking und verlorene oder gestohlene Geräte bezogen. Alle diese vorsätzlichen oder nicht vorsätzlichen Verstöße haben unbeabsichtigten Personal den Zugang zu ePHI ermöglicht oder ermöglicht - dies führte zu mehreren HIPAA-Untersuchungen. Bei einer stärkeren Schulung, Zugangskontrollen und Sicherheitsmaßnahmen hätten viele dieser Verletzungen verhindert werden können.

Schritt 3: Verlust elektronischer Geräte oder deren Diebstahl.

Bei so vielen mobilen Geräten im Gesundheitswesen, die auf ePHI zugreifen, sollte Verschlüsselung immer als erforderlicher Standard behandelt werden. Wenn ein Mitarbeiter auf Reisen oder in einem Restaurant ein Gerät verliert, können starke Abwehrmaßnahmen zum Schutz dieser Daten - beispielsweise der von NIST empfohlene 256-Bit-AES-Verschlüsselungsstandard für Übertragungen - zur Verringerung dieser Risiken beitragen.

Schritt 4: Ineffektive BYOD-Richtlinien (Bring-Your-Own-Device).

BYOD-Umgebungen können erhebliche Sicherheitsrisiken für alle abgedeckten Unternehmen oder Geschäftspartner darstellen. In einer Studie des Ponemon Institute heißt es beispielsweise, dass 40% der Unternehmen Missmanagement von Mobilgeräten als Fehlerpunkt bei Verstößen gegen die HIPAA-Vorschriften angeben. Die Implementierung starker BYOD-Richtlinien und -Technologie-Tools ist ein wesentlicher Bestandteil der Erreichung von Sicherheit und Compliance.Ist zum Beispiel ePHI auf allen Geräten verschlüsselt? Wenn das Gerät verloren geht oder gestohlen wird, verfügen Sie über MDM-Tools (Mobile Device Management), die robust genug sind, um die Daten des Geräts zu lokalisieren und aus der Ferne zu löschen? Weitere Informationen zu BYOD-Best Practices im Gesundheitswesen finden Sie in unseren Infografiken und Blog-Beiträgen oder auf unserer Gesundheitsseite.

Schritt 5: Keine Risikoanalyse durchführen

Die Durchführung einer Risikoanalyse mit einem qualifizierten Drittanbieter ist ein guter Weg, um potenzielle Schwachstellen und Technologielücken in Bezug auf HIPAA zu verstehen. Schützt Ihr Netzwerk beispielsweise vor Technologien der nächsten Generation wie Malware und / oder böswilligen Eindringlingen? Haben Sie bereits alle ePHI identifiziert, die Sie erstellen, empfangen, verwalten oder übertragen, damit dieselben Daten geschützt werden können? Weitere Informationen finden Sie in der Sicherheitsregel im Standard für den Sicherheitsverwaltungsprozess.

Proaktive Maßnahmen und die Dokumentation Ihrer Richtlinien, Verfahren und administrativen Maßnahmen zum Schutz von ePHI sowie die Durchführung einer Risikoanalyse sind erste Schritte auf dem Weg zu einem strengen Compliance-Programm und werden aufgrund von OCR-Feststellungen als Schwachstellen unter bereits geprüften abgedeckten Unternehmen angeführt.