Cosa sono le regole HIPAA su sicurezza e privacy?

Conseguenze della non conformità

L'HIPAA richiede alle entità interessate, compresi i partner commerciali, di implementare misure di protezione tecniche, fisiche e amministrative per le informazioni sanitarie protette (PHI). Queste misure di sicurezza hanno lo scopo di proteggere non solo la privacy, ma anche l’integrità e l’accessibilità dei dati.

L'Ufficio per i diritti civili (OCR, Office of Civil Rights) del Dipartimento della salute e dei servizi umani impone le violazioni non penali dell'HIPAA. La non conformità può comportare sanzioni che vanno da 100 a 50.000 dollari per violazione della “stessa disposizione” per anno solare.

Molti degli accordi HIPAA dell'OCR hanno comportato multe per oltre 1 milione di dollari. L'accordo più importante, a settembre 2016, è stato di 5,5 milioni di dollari contro Advocate Health Care, a seguito di diverse violazioni che hanno interessato un totale di 4 milioni di persone.

Oltre alle sanzioni civili, gli individui e le organizzazioni possono essere ritenute penalmente responsabili quando ottengono o divulgano consapevolmente informazioni sanitarie protette (PHI) con falsi pretesti o con l'intento di utilizzarle a scopo di lucro o dannoso. I reati penali previsti dall'HIPAA ricadono sotto la giurisdizione del Dipartimento di Giustizia degli Stati Uniti e possono comportare la reclusione fino a 10 anni, oltre alle sanzioni pecuniarie.

Le regole sulla privacy e sulla sicurezza

La regola HIPAA sulla privacy stabilisce gli standard per la protezione delle cartelle cliniche dei pazienti e di altre informazioni sanitarie protette (PHI). Specifica i diritti dei pazienti sulle loro informazioni e richiede alle entità di proteggere tali informazioni. La regola sulla privacy riguarda principalmente il modo in cui le informazioni sanitarie protette (PHI) possono essere utilizzate e divulgate. Come sottoinsieme della regola sulla privacy, la regola sulla sicurezza si applica specificamente alle informazioni sanitarie elettroniche protette, o ePHI.

La regola sulla sicurezza impone le seguenti misure di protezione:

Tecnica

Definita come la tecnologia e le policy e le procedure per l'utilizzo di tale tecnologia che insieme proteggono le ePHI e ne controllano anche l'accesso.

Gli standard di protezione tecnica includono:

• Accesso: si riferisce alla capacità/metodo di leggere, scrivere, modificare e comunicare i dati e include file, sistemi e applicazioni. I controlli dovrebbero includere identificatori utente univoci e logout automatici e potrebbero includere procedure di accesso di emergenza e crittografia dei dati.
• Controlli di verifica: si riferisce ai meccanismi per la registrazione e l'analisi delle attività ePHI all'interno dei sistemi informativi.
• Integrità: richiede policy e procedure per proteggere i dati da modifiche o distruzioni non autorizzate.
• Autenticazione: richiede la verifica dell'identità o dell'individuo che sta domandando l'accesso ai dati protetti.

Fisica

Definita come le misure fisiche, le policy e le procedure per proteggere i sistemi informativi elettronici e le apparecchiature e gli edifici associati da rischi naturali/ambientali e intrusioni non autorizzate.

Gli standard di protezione fisica includono:

• Controllo dell'accesso alle strutture: si tratta di policy e procedure per limitare l'accesso alle strutture che ospitano i sistemi informativi. I controlli possono includere operazioni di emergenza per ripristinare i dati persi, un piano di sicurezza della struttura, procedure per controllare e convalidare l'accesso in base al ruolo e alle funzioni della persona, e registri di manutenzione delle riparazioni e delle modifiche alla sicurezza dell'edificio.
• Utilizzo della workstation: riguarda l'uso aziendale appropriato delle workstation, che può essere qualsiasi dispositivo informatico elettronico nonché supporti elettronici archiviati nelle immediate vicinanze. Ad esempio, la workstation che elabora la fatturazione del paziente potrebbe essere utilizzata senza alcun altro programma in esecuzione in background, come ad esempio un browser.
• Sicurezza della workstation: richiede l'implementazione di protezioni fisiche per le workstation che accedono a ePHI. Mentre la regola sull'uso della workstation descrive come può essere utilizzata una workstation contenente ePHI, lo standard di sicurezza della workstation stabilisce come queste devono essere fisicamente protette contro l'accesso non autorizzato, ad esempio tenendo la workstation in una stanza sicura accessibile solo alle persone autorizzate.
• Controlli del dispositivo e dei supporti: richiedono policy e procedure per la rimozione di hardware e supporti elettronici contenenti ePHI, all'interno e all'esterno della struttura, nonché dentro la struttura. Lo standard riguarda lo smaltimento e il riutilizzo dei supporti, la tenuta di registri di tutti i movimenti dei supporti e il backup/archiviazione dei dati.

Amministrativa

Definite come azioni amministrative, policy e procedure per gestire la selezione, lo sviluppo, l'implementazione e il mantenimento delle misure di sicurezza per proteggere le ePHI e gestire la condotta dei dipendenti relativa alla protezione delle ePHI.

Più della metà della regola di sicurezza HIPAA si concentra sulle misure di sicurezza amministrative. Gli standard includono:

• Processo di gestione della sicurezza: include policy e procedure per prevenire, rilevare, contenere e porre rimedio alle violazioni. Una parte fondamentale di questo standard è lo svolgimento di un'analisi del rischio e l'attuazione di un piano di gestione del rischio.
• Responsabilità della sicurezza assegnata: richiede un funzionario della sicurezza designato responsabile dello sviluppo e dell'implementazione delle policy e delle procedure.
• Sicurezza della forza lavoro: riguarda le policy e le procedure che regolano l'accesso dei dipendenti alle ePHI, comprese l'autorizzazione, la supervisione, il nulla osta e il licenziamento.
• Gestione dell'accesso alle informazioni: si concentra sulla limitazione dell'accesso non necessario e inappropriato alle ePHI.
• Formazione sulla sensibilizzazione alla sicurezza: richiede l'implementazione di un programma di formazione sulla sensibilizzazione alla sicurezza, destinato a tutto il personale dell'entità coperta dalla normativa.
• Procedure per gli incidenti di sicurezza: includono procedure per identificare gli incidenti e segnalarli alle persone appropriate. Per incidente di sicurezza s'intende “il tentativo o l'esito positivo di accesso non autorizzato, uso, divulgazione, modifica o distruzione di informazioni, o l'interferenza con le operazioni di un sistema informativo”.
• Piano di emergenza: richiede piani per il backup dei dati, il disaster recovery e le operazioni in modalità di emergenza.
• Valutazione: richiede una valutazione periodica dei piani e delle procedure di sicurezza implementate per garantire la continua conformità alla regola di sicurezza HIPAA.
• Contratti commerciali e associativi: richiede a tutte le entità coperte di avere accordi o contratti scritti con i loro fornitori, appaltatori e altri associati commerciali che creano, ricevono, mantengono o trasmettono ePHI per conto dell'entità coperta da HIPAA.

Garantire la conformità dell'HIPAA

L'HIPAA è stato progettato per essere flessibile e scalabile per ciascuna entità coperta e in base all'evoluzione tecnologica nel tempo, anziché essere prescrittivo. Ogni organizzazione deve stabilire quali misure di sicurezza siano ragionevoli e appropriate per il proprio ambiente.

Sebbene alcune soluzioni possano essere costose, il Department of Health and Human Services (HHS) avverte che il costo non dovrebbe essere l'unico fattore decisivo. L'HHS pone l'accento sulla conduzione di valutazioni del rischio e sull'attuazione di piani per mitigare e gestire tali rischi.

Sebbene la regola di sicurezza sia neutrale dal punto di vista tecnologico, ovvero non richieda un tipo specifico di tecnologia di sicurezza, la crittografia è una delle migliori pratiche consigliate. Un gran numero di violazioni dei dati HIPAA segnalate all'OCR sono dovute al furto e alla perdita di dispositivi non crittografati.

Negli ultimi due o tre anni sempre più incidenti derivano anche da attacchi informatici. La crittografia dei dati protetti li rende inutilizzabili da parte di soggetti non autorizzati, indipendentemente dal fatto che la violazione sia dovuta a un dispositivo smarrito o rubato o a un attacco informatico. Tieni inoltre presente che i dati crittografati persi o rubati non sono considerati una violazione dei dati e non richiedono la segnalazione ai sensi dell'HIPAA.

Quando le organizzazioni passano al cloud, devono anche considerare l'impatto che l'uso dei servizi cloud ha sulla conformità alla regola di sicurezza dell'HIPAA ed esplorare soluzioni di sicurezza cloud di terze parti, come un Cloud Access Security Broker (CASB). Un servizio cloud che gestisce ePHI è considerato un partner commerciale ai sensi dell'HIPAA e deve pertanto sottoscrivere un accordo commerciale che ne specifichi la conformità. Tuttavia, la dovuta diligenza, e la responsabilità finale, spetta all'entità coperta, anche se la fonte della violazione dei dati è una terza parte.

L'OCR non solo indaga sulle violazioni segnalate, ma dispone anche di un programma di verifica. Negli ultimi anni, il numero di transazioni e multe dell'HIPAA è aumentato. Le violazioni che hanno comportato multe vanno dalle infezioni da malware alla mancanza di firewall, fino alla mancata esecuzione di valutazioni del rischio e all'implementazione di accordi adeguati tra partner commerciali.

Secondo l’HIPAA Journal, il costo medio di una violazione dei dati HIPAA per un’organizzazione è di 5,9 milioni di dollari, escluse le multe OCR. Sebbene le multe OCR possano arrivare a milioni di dollari, la mancata conformità può comportare una serie di altre conseguenze, come la perdita di clienti, costi di notifica delle violazioni e azioni legali da parte delle persone interessate, oltre a costi meno tangibili come i danni alla reputazione dell'organizzazione.