在超过PHI的保护无尽的冲突 - 受保护的健康信息 - 好人似乎失去更多的战斗,但打赢战争的整体,至少在那一刻。
根据研究今年年初发布由IT安全审计厂商Redspin,“大”(超过500条记录)违反PHI的跃升21.5%,121至146,从2011年到2012年。但是,个别记录受损的总数下降了77%,由10.6亿至2.4万美元,在同一时期。
丹伯杰,Redspin的总裁兼首席执行官,警告说这可能是误导 - 它仅采用一个灾难性的破坏在其他方向歪斜这些数字。“虽然这看起来像一个趋势今年早些时候,已经基本上是由提倡健康违反否定超过400万的病人记录作为一台台式电脑今年七月盗窃的结果,”他说。
这使得最大缺口2012 - 780000个纪录从健康的犹系 - 由比较看微不足道。
还有另外一个重要突破口10月12日,当含有729,000病人数据的两个密码保护的笔记本电脑是从AHMC医疗保健公司的行政办公室被盗。不过,总的仍远低于个人记录的数量在2011年突破。
并且至少一些专家认为,下行趋势可能会持续,甚至加速,与实施最新的更新的最后一个月健康保险流通与责任法案(HIPAA)总括规则。
最大的变化是,更新大大扩展了符合HIPAA要求,这也使得他们未能得到PHI承担直接责任的机构数目。相反,这些只适用于医疗机构,被誉为条例“涵盖的实体”,负责和责任方的名单目前包括他们的商业伙伴(BA),以及 - 几十个供应商,承包商和他们聘请顾问甚至上百 -- 即使是那些的BA的分包商,如果他们处理PHI。
雷切尔西格,民权的健康与人类服务部(HHS)办公室(OCR),这就加强了HIPAA法规,联邦部门说学士学位,分包商,现在是“直接责任”,符合一定的HIPAA隐私和安全规则,包括:
不允许的使用和披露(包括大于最小必要)
未能提供违约通知涵盖实体(如卫生保健提供者),或者,如果一个分包商,广管局
未能提供电子访问的个人他或她的PHI
失败使内部实践,书籍和记录提供给HHS秘书确定是否符合HIPAA规则
为业务合作协议的要求,合同责任
责任剂分包商的行为
从$ 100到$每5万港元违反范围内的处罚,这部分地取决于是否违规是由无知或故意疏忽造成的,与违法行为的具体规定的最大的150万$每年。
伯杰说,他认为新的焦点在BAS上会产生大量的分红。“鉴于到目前为止PHI违反超过50%的人参与了一些这样或那样的商业伙伴,我们应该期望很大改善,”他说。
HIPAA的更新需要PHI的监护人,以确保它是“不可用,无法读取和不可破译”任何未经授权的第三方,这Redspin还表示,预计将遏制来自数据泄露数量和损坏,因为这将要求所有加密便携式设备(第三大所有违反迄今为止都是由损失或便携式设备的盗窃引起的)。
安全专家提供多少这些建议和新的综合规则将减少违反PHI的不同的意见。丹尼·利伯曼,首席技术官软件协会,是可疑的。“我认为,总括规则已经低揉成团的工作,学士学位,医院需要做检测和防止数据丢失量,”他说。
利伯曼指出在新的规则,说的BA和分包商的语言,“应该已具备,要么遵守安全规则,或者只需要适度的改进,使之履行到位的安全措施......”
“有一个在经验数据是没有根据的 - 考虑到数据泄露的音量 - 做出那样的发言,”他说。“美国医疗系统是如此复杂,我没有看到数据是如何做违反刑事罪行,将减轻对PHI的攻击。”
马丁·费舍尔,为Wellstar卫生系统的信息安全主管,较为乐观。虽然他不认为数量和违规的广度会立即下降,“如果有足够的牵引力发生了,随着时间的推移,你会看到违规的数量降下来,”他说,这在支付卡行业标准相比较的改进(PCI)。“那是因为你是谁可能会看到一个很好的模板,”他说。
费舍尔说的最好的事情有关的更新是一个,“它提供了终局性意义统治下的临时法规工作总是让你怀疑你要进行投资 - 将在BlinkyLight你买的相遇最后的要求?确定性这个意义上说是一个非常好的事情。”
也有一些疑问,加密将提供防弹保护PHI。多年来在安全的口头禅一直以来,“加密是不够的。”伯杰认为它是“的方式开始赫克,”他说。“违规迄今超过50%甚至不必限定为如果设备已被加密报告的漏洞。最后,安全就是降低风险,”他说。
凸轮罗伯逊,经销商渠道在抢滩解决方案总监,同意加密提供一些保护,但只有一些。“加密保护数据,如果电源关闭,密码是未知的或无法得知或被黑客攻击,”他说。“然而,加密不能如果设备与电源被盗和计算机进行身份验证或密码是否是某种妥协保护数据。”
[在法律上站得住脚的安全性:在HIPAA覆盖你的基地,CMR 17]
虽然更新并不直接解决这个问题,也有从BYOD带来的风险是由智能手机和平板电脑日益主宰的世界(自带设备)。PCI SSC(支付卡行业安全标准委员会)的总经理Bob Russo的,近日表示,针对消费者市场的移动设备不符合PCI DSS(数据安全标准)合规性要求。
但多数专家费舍尔,谁说试图禁止他们在医疗保健机构将是“愚蠢的同意。很少有事情会改善患者体验和安全性比以及部署的移动技术。这是事情的进展方式的推动者的作用。战斗就是战斗一样涨潮,”他补充说,有可能符合通过移动设备管理(MDM)技术和应用HIPAA标准。
尽管如此,大家都同意,人的因素,无论是从无知的错误和恶意,可以胜过政策和技术。
利伯曼同意加密有一定的价值,但他说,“因为它是如此容易攻击的端点 - 想人们,默认密码时,Windows漏洞和USB - 加密是良好的传输数据,但只要你有终点,你将有数据违规“。
他不相信“安全意识”培训是一种有效的对策。这些谁相信这一点,他说,应该让员工知道他们将被追究责任。“你必须立刻解雇员工,如果他们破坏你的数据治理的政策,”他说。“如果你没有一个,写一个今天和工作顶部从CEO到一线管理人员确保每个人都倒知道什么数据治理手段 - 政策应该是一个半页,并应,“你得到,如果你解雇完成打破它。'”
利伯曼说一个数据泄露因丢失或被盗的主要风险是不是员工粗心大意。“这是一个行为问题,但它主要是一个刑事问题,”他说,”这不是由培训缓解。当有经济诱因,窃取数据,你有知情者或合作伙伴访问,那么你就有动机和手段和所有你需要的是机会,有一种犯罪“。
费舍尔还半信半疑的,在安全意识培训员工将遏制违规行为。“我们需要‘在构建安全,’并经商做生意的人会默认使用方式的安全方法。我不是说有效的提高培训有没有价值,但把它过多地依赖是不是一个获奖策略,”他说。
罗伯逊同意。“生产力胜过安全,”他说。“考虑谁有靠近的业务,如果他们有重要数据的即时访问一个更好的机会领域的销售人员。想想他或她会不会做呢?有可能思维过程将是“关闭业务是在最佳利益我的公司,以及安全漏洞的永远不会发生在我身上。”
这个故事,“新的HIPAA规则可以削减PHI违规?”最初由出版CSO 。