Come posso proteggere i dati dei pazienti a basso costo in un piccolo studio medico?

6

Sono un singolo professionista con 3 postazioni di lavoro e un server. Qual è il modo migliore economicamente efficace per proteggere i miei dati e suppongo che li cripta. Il governo vuole che impediamo l'accesso non sicuro alle cartelle dei pazienti. Non ci dicono da che parte dobbiamo andare a fare questo e in fondo lascia fare a noi. Immagino che la mia più grande debolezza sia qualcuno che mi ruba il mio computer e ci sta hackerando. Ho il doppio password dei programmi, ma questo non sta fermando un hacker. Il livello successivo sospetto sia la crittografia, ma quanto è facile hackerare. Noi singoli professionisti non possiamo permetterci una persona IT come un ospedale. Apprezzo qualsiasi feedback. Grazie

    
posta Mark Brewer 11.10.2012 - 07:05
fonte

7 risposte

3

Citerò anche TrueCrypt, poiché è una soluzione abbastanza semplice (e gratuita!). Oppure, se usi Mac, usa "FileVault" incorporato

Oltre alla crittografia dei file, dovresti anche esaminare altre aree che potrebbero trarre vantaggio dalla crittografia o rappresentare un rischio per i dati: * Crittografia email: ecco un articolo lifehacker pertinente. A questo proposito, dovresti anche cercare il tuo client di posta elettronica e le politiche / le caratteristiche del fornitore. * VPN per qualsiasi lavoratore remoto; qualcosa come logmein's hamachi o simili. * Backup, Dropbox, ecc .: rivedere le politiche e le funzionalità di crittografia di qualsiasi programma di backup o di sincronizzazione dei file che si utilizza.

Infine, sii restrittivo con le autorizzazioni di accesso / condivisione dei file. Rifiuta "Everybody" da qualsiasi file condiviso di Windows e, se possibile, so che i miei utenti non possono farlo: assicurati che chiunque abbia accesso a tali informazioni abbia una password complessa.

Detto questo, una soluzione tecnica da sola non è sufficiente; assicurati che i tuoi colleghi comprendano ciò che deve essere protetto e / perché /. (Qualcosa di diverso da "perché il governo ci ci dice di"). In questo modo, possono aiutare a identificare i dati che dovrebbero essere protetti, ma in qualche modo ha mancato la tua recensione iniziale. Potresti anche volere che vengano firmati alcuni criteri, nel caso in cui: utilizzo di Internet / email e simili: dopo tutto, la crittografia è inutile se l'hacker conosce la chiave, come un dipendente insoddisfatto o clueless che invia confidenziali / protetti dati con mezzi non sicuri.

Avere discussioni simili con tutti i fornitori di servizi che potrebbero gestire i dati sensibili. Ad esempio, al fine di garantire la conformità con un regolamento locale sulla privacy, abbiamo inviato via email al nostro fornitore di backup esterno chiedendo, "Ehi, dobbiamo essere conformi a XXX, vero?"

Ci sono altre cose che mi vengono in mente, ma sono più un amministratore di sistema che un amministratore di sistema in questo momento (pensato non per mancanza di tentativi!) - ma non voglio sovraccaricarti. (Inoltre, devo tornare al lavoro.)

    
risposta data 11.10.2012 - 17:07
fonte
3

Gli ospedali (come quello in cui lavoro) hanno utilizzato la crittografia del disco rigido per prevenire la perdita di dati di ePHI da diversi anni. Se un laptop / computer / server / drive / etc viene perso ma HIPAA e HITECH crittografati considerano i dati protetti e quindi non soggetti alla regola di infrazione provvisoria. Per essere onesti, come singolo fornitore presumo che tu sia utilizzato un sistema EMR / EHR ospitato (facendomi sapere quale sarebbe utile). Come hai giustamente sottolineato HIPAA e HITECH non stabiliscono come si cripta ma dicono cosa è necessario crittografare. La risposta breve è tutta ePHI e NPI (informazioni non pubbliche) devono essere crittografate (la risposta lunga è che si dovrebbe condurre una valutazione del rischio e determinare cosa crittografare in base al rischio associato alla potenziale perdita di tali dati).

In breve, non è necessario crittografare tutto se lo trovi troppo / spaventoso, ecc. Nella mia esperienza con le soluzioni ePHI ospitate, tutti i tuoi dati ePHI e NPI sono già crittografati e non memorizzati localmente. Ciò ti lascerebbe solo con i dati del paziente che stai salvando in modo specifico localmente sul tuo PC e sui server. Se questi dati sono programmati dai dipendenti, non preoccuparti della crittografia. Se è NPI / ePHI, quindi cifrare in ogni caso. Per i sistemi Windows, BitLocker (incluso in Windows 7) consente di crittografare i file e le cartelle specificati. Oltre alla "doppia" protezione della password che hai menzionato è più che sufficiente per soddisfare un auditor HIPAA, se qualcuno dovesse bussare. La chiave è assicurarsi di avere la prova che i dati sono stati crittografati in caso di perdita di attrezzature o dati. Per farlo raccomanderei una semplice serie di schermate che mostrano che hai crittografato i tuoi dati.

Nel caso in cui sia importante l'architetto della sicurezza delle informazioni per un ospedale, questo è il consiglio che darei ai nostri operatori clinici indipendenti. Potrei offrire qualche dettaglio in più se avessi altri dettagli da te.

Spero che questo sia stato utile.

    
risposta data 11.10.2012 - 17:43
fonte
2

Penso che TrueCrypt sia la scelta migliore per te. È un'applicazione in grado di crittografare intere unità o contenitori di file. Se i documenti critici (cioè i dati dei pazienti) comprendono una directory di file e sono "non così grandi", suggerisco un contenitore di file. Se i tuoi dati sono memorizzati da soli su un altro disco rigido, ti suggerisco di crittografare l'intero disco.

Quello che fai è semplicemente selezionare l'unità che vuoi cifrare, o creare un nuovo contenitore di file. Un contenitore di file sarà simile a qualsiasi altro file, ma sarà grande quanto vuoi (deve avere spazio per tutti i tuoi dati).

Quando hai preparato il tuo contenitore o unità, ti verrà chiesta una password. Questo è dove TU definisci il TUO grado di sicurezza, quindi scegli saggiamente. Annotare la password potrebbe essere eseguita se tale password è MEMORIZZATA IN MODO SICURO, cioè i tuoi clienti non dovrebbero essere in grado di individuarli. In ogni caso, inserirai la password per ogni sessione a cui desideri accedere. Ciò significa che è possibile avviare il computer al mattino, sbloccare l'accesso ai file e lasciarlo aperto oppure disabilitare l'accesso ("smontaggio" nell'applicazione). Poiché questo non sembra un requisito di sicurezza di livello militare, suggerisco il primo, per rendere il sistema utilizzabile come lo è oggi.

Per favore chiedi di più se non sono chiaro o troppo tecnico su qualsiasi cosa.

RICORDA DI ESEGUIRE IL BACKUP PRIMA DI CIFRARE

Il backup deve quindi essere cancellato - per questo, è possibile esaminare i programmi di "cancellazione sicura", come Secure Shredder in bundle con Ricerca di Spybot & Distruggi (modalità avanzata)

Si noti che TrueCrypt è gratuito e open source, il che è davvero grandioso. Se te lo puoi permettere, dovresti donare parte del denaro che hai risparmiato da un servizio a pagamento. (Io non sono con TrueCrypt;))

    
risposta data 11.10.2012 - 08:18
fonte
2

È possibile crittografare il disco rigido per evitare che vengano compromessi gli attacchi che coinvolgono la macchina, ma non penso che sia sufficiente per soddisfare i requisiti HIPPA (negli Stati Uniti) di base. Devi anche fornire un modo per controllare tutti gli accessi a PHI e non parlare se lo fai ancora o meno.

Guardare a un piccolo EMR potrebbe renderti la vita più facile a lungo termine. Questa soluzione non sarà solo più sicura (e più probabile per soddisfare le normative sanitarie governative), ma anche più a prova di futuro. Cosa succede se hai bisogno di inviare quel PHI ad un altro operatore sanitario? Ciò comporterebbe un sacco di lavoro per te perché dovresti decodificare i dati localmente, ricodificarli in un modo che l'organizzazione partecipante può decrittografarli e inviarli. E EMR può semplificare quel flusso di lavoro per te.

Per chi è interessato a domande come queste, Healthcare Industry SE sarebbe un buona risorsa per il futuro.

    
risposta data 11.10.2012 - 16:14
fonte
2

Ho esperienza con Medisoft e Soapware che ho implementato nello stesso scenario di ufficio del tuo, tranne che hanno 2 server. Cosa stai usando per EHR / EMR? Se hai intenzione di investire denaro in qualcosa, dovrebbe essere la protezione delle informazioni sui tuoi pazienti e la possibilità di condividerlo con farmacie / ospedali / medici ecc. Aziende come Soapware offrono soluzioni cloud in grado di offrire sicurezza con i dati dei pazienti. Dal momento che stai semplicemente utilizzando il software client sulle workstation degli uffici e il database è seduto sui server cloud dell'azienda. L'altro vantaggio è che coprono tutto ciò che va storto, quindi non è necessario il supporto IT interno per risolvere i problemi relativi a quest'area.

    
risposta data 11.10.2012 - 17:14
fonte
0

Il metodo più semplice sarebbe utilizzare la crittografia AES 128 bit full drive + buone password + timeout del blocco pc. Questo ha l'ulteriore vantaggio di crittografare tutti i file temporanei e anche il cestino, quindi non hai davvero bisogno di un distruggidocumenti sicuro.

Una cosa che devi ricordare è assicurarsi che i dottori non portino i file a casa con loro per lavorare, questo è successo qui nel Regno Unito prima con NHS e file militari e poi hanno rubato i loro laptop dalle loro macchine .

    
risposta data 11.10.2012 - 11:47
fonte
0

Dipende molto dai tuoi requisiti legali, ma ti suggerisco di seguire i passaggi come minimo:

  • assumere un professionista - che dimostrerà la tua dovuta cura, se necessario
  • crittografare i dati a riposo, inclusi i backup
  • crittografare i dati in transito (ad esempio se si inviano i backup al sito remoto), a meno che non si inviino già file crittografati.
  • Limita il numero di persone autorizzate ad accedere ai dati
  • Assicurati di avere traccia di controllo su chi e quando ha effettuato l'accesso ai dati
  • Implementa e visualizza la politica di sicurezza. Anche se lavori da solo o con un piccolo numero di dipendenti, questo è utile e un'altra prova della tua dovuta cura. "Abilita gli aggiornamenti automatici di Windows Avere sempre una licenza anti-virus valida Arrestare il computer alla fine del giorno Chiudere tutti i cassetti Mantenere pulite tutte le scrivanie Utilizzare distruggidocumenti Segnala laptop e chiavette USB persi".
  • Utilizza il firewall. Il migliore, come menzionato da Andy Smith, è quello di scollegare i computer con dati sensibili da Internet.
risposta data 14.10.2012 - 00:01
fonte

Leggi altre domande sui tag