Manter a conformidade com a HIPAA para funcionários remotos pode ser uma tarefa assustadora, mas não precisa ser. Continue a ler para saber como o acesso e o suporte remotos podem facilitar isso.
A maioria das organizações de saúde está confortavelmente resolvida nos seus processos de conformidade com a HIPAA há anos. No entanto, nos últimos dois anos a paisagem mudou significativamente com o aumento do trabalho remoto, da tele-saúde e do aumento das ameaças cibernéticas a informações de saúde protegidas (PHI).
A Gartner estimou recentemente que 51% dos profissionais do conhecimento realizarão o seu trabalho remotamente no início de 2022. Esta mudança para o trabalho remoto tem implicações significativas para as organizações que devem cumprir os regulamentos da Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA).
Os Trabalhadores Remotos são um Risco de Conformidade com a HIPAA?
Não, os próprios trabalhadores remotos não são inerentemente um risco. No entanto, as equipes de TI que não estão preparadas para equipar trabalhadores remotos com os recursos necessários para cumprir as regulamentações de privacidade de dados são um risco. Um artigo de 2021 Healthcare IT News apontava que apenas 2 em cada 10 equipes de TI disseram que forneceram ferramentas e recursos adequados para dar suporte aos funcionários trabalhando remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violar os regulamentos de proteção de dados e registros médicos eletrônicos (EMR) da HIPAA.
Na verdade, o Departamento de Saúde e Serviços Humanos (HHS) dos EUA notou especificamente o risco de conformidade com a HIPAA quando os trabalhadores usam sistemas de acesso remoto que não dispõem dos recursos de conformidade com a HIPAA. Ao descrever a necessidade de rever e modificar regularmente as políticas de segurança para alinhar com a HIPAA, a HHS afirmou: “Isto é particularmente relevante para organizações que permitem acesso remoto a EPHI (Informações de Saúde Protegidas Eletronicamente) através de dispositivos portáteis ou em sistemas externos ou hardware não pertencentes ou geridos pela entidade abrangida.”
Violações HIPAA são uma Fiscalização Dispendiosa
As penas de violação da HIPAA podem escalar rapidamente, atingindo até 1.8 milhões de dólares por violação. Além disso, há uma recomendação obrigatória de seguir um plano de ação corretiva dispendioso (PAC) para evitar futuras violações. A Lei das Tecnologias de Informação para a Saúde Econômica e Clínica (HITECH) estabeleceu sanções e requisitos da PAC, que entrou em vigor em março de 2013. Elas se aplicam a muitas organizações além do que apenas prestadores de cuidados de saúde — planos de saúde, câmaras de compensação de cuidados de saúde, todas as entidades abrangidas e parceiros empresariais de entidades abrangidas.
Por exemplo, um artigo recente da National Law Review descreveu como a Peachstate Health Management, Inc. negociou a sua pena de violação da HIPAA para $25.000. No entanto, o PAC que tiveram de implementar tinha custos muito mais elevados, porque exigia que a Peachstate fizesse o seguinte:
Conduza uma análise de risco para toda a empresa.
Desenvolva e implemente um plano de gestão de riscos
Desenvolva políticas e procedimentos criados para conformidade com as Regras de Segurança da HIPAA
Distribua as políticas e procedimentos
Desenvolva materiais de formação para a força de trabalho
Designe um monitor independente
Envie relatórios de implementação, relatórios de não conformidade e relatórios anuais
A contratação de um monitor independente especializado excederia largamente a multa de $25.000, especialmente porque têm de ser aprovados pelo OCR (Escritório para Direitos Humanos do Departamento de Saúde e Serviços Humanos dos EUA).
Como as Soluções de Acesso Remoto e Suporte Splashtop Podem Ajudá-lo a Cumprir?
Em primeiro lugar, e mais importante notar, a Splashtop não tem acesso a informações ou registros do paciente (EMR, PACS, etc.). As soluções Splashtop processam a transmissão em sequência de desktop numa sessão de suporte ou acesso remoto encriptado. Ao fazê-lo, a Splashtop nunca tem acesso aos dados da sessão.
Não acessar dados de sessão é uma distinção importante. Significa que a Splashtop pode fornecer acesso remoto e serviços de suporte ao abrigo da Regra de Exceção Conduit da HIPAA. A exceção da conduta está limitada aos serviços de transmissão (sejam digitais ou cópias em papel), incluindo qualquer armazenamento temporário de dados transmitidos incidente a essa transmissão. Isto exclui serviços como a Splashtop de terem de entrar em acordos de associação comercial com entidades abrangidas.
Isto permite que os nossos clientes implementem rapidamente soluções Splashtop sem a necessidade de contratos extensos vinculados à HIPAA. Além disso, eles sabem que as informações e registros dos pacientes permanecem dentro do seu sistema, nunca cruzando para fora do perímetro da sua organização.
Medidas de Segurança Adicionais da Splashtop que Garantem a Segurança dos Seus Dados
A Splashtop desenvolveu “Políticas de Segurança” como um subconjunto das nossas Medidas Técnicas e Organizacionais (TOM). Estas descrevem as medidas e controles de segurança implementados e mantidos pela Splashtop para proteger e proteger os dados que armazenamos e processamos. As nossas políticas de segurança de TI são regularmente revistas e alteradas pelos nossos especialistas em segurança de TI.
Além disso, os funcionários da Splashtop completam o treinamento sobre segurança da informação duas vezes por ano. Como parte deste treinamento, concordam em cumprir a conduta ética nos negócios, a confidencialidade e as políticas de segurança como enunciado no nosso "Código de Conduta".
As políticas de segurança da Splashtop são apoiadas por uma arquitetura de segurança de dados robusta que possui muitas funcionalidades. A encriptação e o Controle de acesso são os dois mais importantes para manter a proteção de dados quando os seus funcionários trabalham remotamente.
Encriptação: A Splashtop encripta todos os dados do usuário em trânsito e em repouso, e todas as sessões de usuário são estabelecidas com segurança através do TLS. O conteúdo acessado em cada sessão é sempre encriptado através de AES de 256 bits.
Controle de Acessos:a Splashtop implementou Controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos Controles de acesso se baseiam nos níveis das autoridades, nos níveis de necessidade de conhecer e na separação de tarefas para quem acesse o sistema. Acompanhamos o acesso baseado em funções com avaliações regulares de contas, monitoramento de acessos e registro.
O acesso remoto Splashtop introduz ainda mais funcionalidades de segurança, como autenticação do dispositivo, autenticação de dois fatores (2FA), início de sessão único (SSO) e muito mais. Se quiser saber mais, elaboramos uma lista completa das funcionalidades de segurança que suportam a HIPAA da Splashtop.
Mantenha a HIPAA da sua Organização Compatível com o Acesso e Suporte Remotos
Com o trabalho remoto vindo para ficar, muitas organizações estão aproveitando o acesso remoto e as soluções de suporte para lidar com EMRs e outros dados de pacientes com segurança. Para manter sua organização em conformidade com a HIPAA, você precisa adotar acesso e suporte remotos seguros e protegidos.
A Splashtop oferece a centenas de organizações de saúde acesso e suporte remoto seguro e seguro, alinhado com a HIPAA e outros regulamentos de privacidade do consumidor. Para saber como a Splashtop pode permitir que a sua organização mantenha os trabalhadores remotos em conformidade com a HIPAA, contacte hoje mesmo um especialista da Splashtop.