Nenhuma empresa é imune a violações de dados... e isso inclui a indústria da saúde, que registou um aumento de 18% nas violações desde 2015, quando o Gabinete de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA começou a publicar as principais violações que estava a investigar.
O número crescente de violações - juntamente com um anúncio em meados de 2017 para actualização da Lei de Portabilidade e Responsabilidade Civil dos Seguros de Saúde (HIPAA) Instrumento de Comunicação de Infrações-estimularam muitas organizações de cuidados de saúde a contemplar a necessidade de melhorar e modernizar os seus esforços de segurança cibernética e de conformidade com a privacidade. E, na sua maioria, a resposta é sim.
Isto deve-se principalmente ao facto de as organizações fornecedoras lutarem para cumprir o requisito de notificar as partes afectadas por uma violação no prazo de 60 dias. Os atrasos - e portanto, o incumprimento - resultam tipicamente de processos manuais, ineficientes para a notificação inicial de eventos, avaliação de risco e determinação da violação, bem como do próprio processo de notificação.
Dito isto, as organizações fornecedoras podem tipicamente fazer as duas perguntas seguintes aos seus negócios para determinar se estão em boa forma para cumprirem os regulamentos de cibersegurança e privacidade ou se existe espaço para melhorias:
- O nosso processo de comunicação de violações está integrado com outras actividades de comunicação de incidentes?
- Que passos actualmente manuais do processo podem ser automatizados?
Se respondeu "não" a uma pergunta ou talvez desconheça que certos processos podem ser automatizados, como indicado na pergunta dois, há margem para melhorias. Mas a boa notícia é que também existe tecnologia de gestão de riscos que ajuda a automatizar o processo de gestão de riscos em toda a empresa - incluindo os riscos que podem ter impacto nos seus esforços de segurança cibernética e privacidade dos pacientes.
A tecnologia certa de gestão de riscos permitir-lhe-á:
- Comunicar facilmente violações de privacidade que afectem de um a mais de 500 pacientes
- Conduzir avaliações de risco baseadas em normas
- Gerir notificações de infracção para partes individuais e múltiplas partes afectadas
- Acompanhar o cumprimento dos prazos de notificação
- Conduzir investigações e análise da causa raiz
- Rastrear e analisar dados de tendências com análises avançadas para impulsionar a melhoria
Os benefícios de tais características incluirão provavelmente: melhor conformidade HIPAA com a análise de desempenho de atraso de notificação de violação; redução do tempo necessário para cumprir os requisitos de notificação OCR; e notificação mais fácil das partes afectadas.
Quando se trata de notificar as partes afectadas, especificamente, a tecnologia de gestão de risco correcta automatizará todo o processo com capacidades de fusão de correio que se podem integrar com o contacto das partes afectadas e outros dados. Os modelos de cartas de notificação pré-construídos e personalizados também simplificam o processo. Tudo isto torna menos onerosa a geração das notificações necessárias, particularmente quando centenas ou milhares de pessoas afectadas podem ser envolvidas.
Além disso, a automatização pode também documentar estas actividades para si adicionando carimbos de data e hora à geração de cartas e até anexando automaticamente cópias das cartas geradas aos registos de contacto dos pacientes no seu sistema, tornando mais fácil demonstrar a conformidade se investigado pelo OCR.
Enquanto as recentes alterações ao OCR HIPAA Breach Reporting Tool são melhorias organizacionais e cosméticas bastante menores, outras agências federais, como a Occupational Health and Safety Administration, fizeram melhorias mais significativas no cumprimento de relatórios com o lançamento de portais de submissão electrónica. Mais do que provável, é apenas uma questão de tempo até que o OCR HHS siga o exemplo. Assim, uma vez que o HHS OCR trabalha para trazer os relatórios HIPAA até ao século XXI, os prestadores de cuidados de saúde precisam de assegurar que estão a seguir o exemplo.
English 
English (UK) 
Deutsch 
Español 
Português 
Français 