为什么任何组织都会遭受医疗保健违规行为以及保持PHI安全的5条提示

任何类型的组织都可能成为个人医疗记录泄露的受害者。继续阅读有关确定PHI的最佳做法-以及如何保护这些信息的最佳做法

医生平板电脑医疗
Thinkstock

看来公司不必从事医疗保健业务即可获得健康信息 违反。根据Verizon的说法,所有行业中大约90%的保护健康信息受到了破坏 PHI新天地棋牌泄露报告 2015.

该报告称,已经从非医疗保健企业披露了超过3.92亿的PHI记录,但实际总数可能更高,因为24%的违规组织没有提供确切的记录数量。

Verizon表示,PHI新天地棋牌泄露最严重的行业,不包括医疗保健或政府实体,包括金融和保险,教育,零售和专业服务,例如律师事务所和税务准备者。

报告的主要作者Suzanne Widup表示:“我很惊讶,但这确实有意义,因为大多数组织都拥有员工的薪酬新天地棋牌或员工健康计划之类的东西。”她说,一些公司正在管理自己的员工健康福利计划,并且正在成为比以往任何时候都更多的医疗信息的监护人。信息安全团队“可能甚至不会意识到他们在组织中拥有此类信息,直到被泄露为止。”

遭受PHI侵害的公司可能会面临监管后果和其他负面后果。 EMC的安全部门RSA的技术解决方案主管Rob Sadowski说:“犯罪分子正在寻找比以往更多的货币化医疗信息。” “非常有可能”是,个人健康信息可能会被窃取并出售给未投保的人,用于获取可以转售或用于提交虚假保险索赔的医疗用品和设备-“取决于他们能够获得的新天地棋牌类型”,Sadowski补充说。

EMC安全部门RSA的技术解决方案总监Rob Sadowski

Widup说,人事部门收集并存储了许多PHI新天地棋牌,需要检查其保护PHI的过程。还应考虑将人力资源职能外包给第三方,尤其是在涉及供应商或承包商的几起广为宣传的新天地棋牌泄露事件之后。

发现PHI

受保护的健康信息定义为从个人收集的个人可识别的健康信息,并受许多州,联邦或国际新天地棋牌泄露披露法律之一的保护。主要标准是是否有合理的基础相信该信息可用于识别个人。

PHI不仅限于病历,还包括电子邮件地址,车辆牌照号,指纹,视网膜扫描或声纹等生物特征新天地棋牌,甚至具有独特识别特征的全脸摄影图像。

Widup说,即使某些看似无害的信息组合也可以合并成为个人可识别的健康新天地棋牌。她发现了一些违规行为,这些违规行为是向某人发送有关某个特定状况的健康计划的电子邮件,并且电子邮件地址是公开的,而不是隐藏在“密件抄送”字段中。她说:“这最终是一个违规行为,因为所有这些人突然之间都认识了所有其他患有这种情况的人。”

在人力资源咨询公司Mercer,“我确实看到员工和客户特别关注其PHI的安全性和隐私性。这还不是他们的首要任务,而是在他们的雷达上。” Mercer负责人和员工福利律师Jen Faifer说。

Faifer最近帮助一所主要大学对其系统进行了审核,以确定HIPAA涵盖哪些大学职能,以及保护学生信息的《家庭教育权利和隐私法案》(FERPA)涵盖哪些职能。 Faifer说:“不同的隐私和安全法规之间存在重叠(以及一些空白),他们不确定他们拥有什么信息以及如何保护它。” “州对工人的补偿信息和健康信息也有很多要求,因此很难跟踪要求的信息。”

Faifer说,在所有行业中,人力资源部门都需要参与开发组织的网络风险管理职能。她说:“涉及敏感的个人新天地棋牌时,人力资源部门必须参与其中,并与HIPAA及其处理的健康信息有关。”

该怎么办

行业专家说,公司应该确定PHI新天地棋牌在组织中的隐藏位置,并采取措施将其锁定。

  1. 知道您拥有什么PHI新天地棋牌。公司首先应确定自己拥有的被认为是高风险的信息。新天地棋牌安全提供商Protegrity的副总裁劳尔·奥尔特加(Raul Ortega)说,这可能只是HIPAA列出的18个标识符中的五个。公司还应该发展一种安全文化,奥尔特加说。 “开发软件时,不仅要考虑安全性并保护未开发应用中的新天地棋牌,还需要回过头来查找[PHI]新天地棋牌。”
  2. 通过加密或令牌化来取消识别新天地棋牌。 Ortega建议从最大的新天地棋牌存储库开始,并通过加密或令牌化来取消识别该新天地棋牌,该加密或令牌化是一种不敏感的替代标识符,没有任何意义或价值。在存储库级别加密后,向后处理业务线和新天地棋牌来源。
  3. 参与BI团队。萨多夫斯基说,公司还应该知道为什么拥有这些新天地棋牌,并将其包括在总体风险评估中。 Ortega补充说,这也有助于从商业智能团队中招募人员来帮助理解新天地棋牌的使用方式。他补充说,业务范围内使用的PHI新天地棋牌也可以通过加密或标记来保护。
  4.  加强公司和供应商之间新天地棋牌路径的安全性。新天地棋牌可以用于分析,也可以与业务伙伴共享。确保将PHI移出公司系统时得到标识和保护。 Faifer说,在线建立一个安全共享新天地棋牌室。要求供应商公开隐私和安全惯例。 “确保供应商合同要求他们承担违反安全性的费用,或者如果组织足够大,他们可以就合同中的审计权利进行谈判,” Faifer说。
  5.  监视对新天地棋牌的访问,即使是特权用户也是如此。 Verizon认为,最长发现的事件是该组织的受信任内部人员所犯下的事件-特权用户的凭据被黑客窃取了。花费多年时间发现的事件,是由内部人员滥用其LAN访问权限造成的可能性高出三倍以上,而针对服务器(尤其是新天地棋牌库)的可能性则高出两倍。 Sadowski说:“重要的是将PHI新天地棋牌的访问权限限制为仅相关的用户,然后监视特权用户甚至对PHI新天地棋牌的访问。” “仅由于特权用户登录或有权访问该新天地棋牌,他们实际上是在使用或适当地对待它,而不是将其转储出新天地棋牌库并发送到公司外部吗?”

Faifer说,培训对于在内部接触PHI和敏感个人新天地棋牌的所有员工以及执行小组健康和保健计划功能的供应商也很重要。

“任何行业都必须意识到,这类新天地棋牌存在于他们的组织中,以及如何在组织中的各个使用阶段以及在组织之外的地方进行处理,” Widup说。 “请确保始终具有适当的控件。如果他们还没有使用此类新天地棋牌完成操作,那么我可以保证它已经暴露在他们不知道的地方。”

版权© 2016 IDG通讯,Inc.