Informativa sulla privacy e conformità HIPAA

La sicurezza e la privacy dei pazienti sono le priorità principali di CloudVisit Telemedicina. Dai un’occhiata qui sotto per vedere alcuni dei modi in cui lavoriamo per garantire la tua privacy.

Misure di sicurezza tecniche

Crittografia dei dati (in trasmissione)

La crittografia AES a 256 bit standard di settore viene utilizzata in tutti i punti in cui le informazioni sui pazienti vengono trasmesse tra un utente e i server CloudVisit. Ciò include la crittografia completa per le informazioni condivise da provider e pazienti, nonché la trasmissione crittografata di documenti e immagini caricati / scaricati.

Crittografia dei dati (a riposo)

Tutti i dati dei pazienti e le informazioni di fatturazione sono memorizzati in tabelle di database crittografate utilizzando AES standard a 256 bit. Tutti i documenti e le immagini caricate da un paziente o da un fornitore vengono memorizzati anche in forma criptata. La crittografia completa dell’unità è in vigore per tutti i dischi rigidi che memorizzano le informazioni sui pazienti e i dati operativi del sito web utilizzando gli standard di crittografia SHA-512.

Crittografia audio / video

Audio e video per tutte le sessioni di telemedicina vengono trasmessi su un canale Internet pubblico crittografato utilizzando le crittografie standard del settore. I flussi audio e video sono decodificati come ricevuti da un fornitore o paziente partecipante.

Server distribuiti

Più server vengono utilizzati per gestire attività specifiche, come il web hosting, l’archiviazione dei dati e la gestione delle sessioni video. Ogni server è configurato in modo univoco con dettagli di accesso separati, chiavi di decrittografia software, autorizzazioni e salvaguardie. Accesso a sistemi contenenti informazioni sensibili
è limitato a una struttura di rete interna con procedure di autenticazione.

Webhosting conforme HIPAA

CloudVisit utilizza una soluzione di hosting di classe enterprise che fornisce tutti gli strumenti necessari per mantenere le misure di sicurezza e la privacy dei pazienti conformi a HIPAA. A causa degli standard di crittografia utilizzati da CloudVisit, la nostra soluzione di hosting non ha mai accesso alle informazioni sensibili dei pazienti.

Standard aziendali conformi a HIPAA

In conformità con le linee guida e le normative HIPAA, i fornitori di soluzioni software di telemedicina sono tenuti a mantenere le pratiche di sicurezza e commerciali conformi a HIPAA. Inoltre, i fornitori di servizi sanitari sono tenuti a stipulare un accordo di Business Associates (BAA) con il proprio fornitore di software per la telemedicina. CloudVisit mantiene gli standard HIPAA ed entra in un BAA reciproco con ciascun abbonato CloudVisit Telemedicina.
L’autocontrollo è conforme ai requisiti di conformità HIPAA richiesti dal Dipartimento della salute e dei servizi umani degli Stati Uniti (www.hhs.gov) a partire dal 16 settembre 2016.

Salvaguardie fisiche

Controlli di accesso

Sono in atto procedure che consentono una visibilità profonda delle chiamate API, compresi chi, cosa e da dove vengono effettuate le chiamate per registrare qualsiasi utente che accede ai server. Le procedure comprendono anche misure di sicurezza per impedire accessi fisici non autorizzati, manomissioni e furti con registri delle attività e notifiche di allerta. Le informazioni sul paziente non vengono archiviate, stampate, copiate, divulgate o elaborate in modo eccessivo con altri mezzi al di fuori dello scopo di utilizzo.

Utilizzo della stazione di lavoro

Tutti i dispositivi informatici sono installati e configurati per limitare l’accesso eFI ai soli utenti autorizzati. ePHI viene memorizzato, rivisto, creato, aggiornato o cancellato solo utilizzando dispositivi informatici che soddisfano i requisiti di sicurezza per quel tipo di dispositivo. Prima di lasciare incustodito un dispositivo informatico, gli utenti devono disconnettersi o bloccare o proteggere in altro modo il dispositivo o le applicazioni. Questa pratica impedisce l’accesso non autorizzato dell’utente a ePHI o a qualsiasi componente di sistema. I dispositivi informatici sono localizzati e orientati in modo tale che le informazioni sui display non siano visualizzabili da persone non autorizzate.

Procedure per dispositivi mobili

Se memorizzato su dispositivi di elaborazione portatili o mobili (ad esempio laptop, smartphone, tablet, ecc.) o su supporti di memorizzazione elettronici rimovibili (ad esempio, pen drive, ecc.), l’EPHI è crittografato. L’originale (fonte) o la sola copia del PHI non è memorizzata su dispositivi portatili. Salvaguardie fisiche

Tutele amministrative

Gestione del rischio

a. CloudVisit registra e mantiene un inventario dei componenti della tecnologia dell’informazione che fanno parte del servizio di telemedicina.

b. I sistemi vengono forniti con una capacità sufficiente per garantire la disponibilità continua in caso di incidente di sicurezza.
c. I sistemi assicurano che la protezione del software dannoso sia implementata e mantenuta aggiornata.
d. Tutte le azioni utente privilegiate sono registrate. Qualsiasi modifica a questi registri da parte di un sistema privilegiato o dell’utente finale deve essere rilevabile. Le registrazioni dei registri sono riviste periodicamente dal personale amministrativo autorizzato di CloudVisit.
e. Le informazioni su importanti eventi relativi alla sicurezza sono registrate nei registri, inclusi tipi di eventi quali log-on fallito, crash del sistema, modifiche dei diritti di accesso e attributi degli eventi come data, ora, ID utente, nome file e indirizzo IP, laddove tecnicamente fattibile.
f. I registri sono archiviati per almeno 6 mesi e resi disponibili all’ente coperto quando richiesto.
g. I back-up vengono eseguiti e mantenuti per garantire continuità e aspettative di consegna.
h. È in atto un processo di gestione delle vulnerabilità per dare la priorità e rimediare alle vulnerabilità in base alla natura / gravità della vulnerabilità.
i. E’ in atto un processo di gestione delle patch per garantire che esse vengano applicate in modo tempestivo.

La formazione dei dipendenti

Viene introdotta la formazione per aumentare la consapevolezza delle politiche e delle procedure che regolano l’accesso a eFI e come identificare gli attacchi di software dannoso e malware. Il personale con accesso a ePHI è tenuto a prendere regolarmente adeguati corsi di formazione sulla privacy dei dati relativi a HIPAA. Tutele amministrative

Piano di emergenza

CloudVisit ha implementato il Business Continuity Plan (BCP) per rispondere e recuperare interruzioni di sistema o altre emergenze che possono danneggiare o rendere non disponibile il sistema o eFI (ad esempio, disastro naturale, incendio, atti vandalici, errore del sistema, corruzione del software, virus, errore dell’operatore ). Per ridurre la probabilità di perdita o danneggiamento dei dati, CloudVisit conserva copie esatte recuperabili di eFI e altri dati necessari per il funzionamento del sistema. I backup contengono informazioni sufficienti per essere in grado di ripristinare il sistema informativo in uno stato recente, utilizzabile e accurato. Gli incidenti di continuità operativa che hanno un impatto sull’esecuzione del servizio verso l’entità coperta sono registrati, analizzati e rivisti da CloudVisit e segnalati all’entità coperta in modo tempestivo o come altrimenti concordato.

Test del piano di emergenza

CloudVisit conduce regolarmente un’analisi di impatto aziendale e valutazione del rischio (BIA / RA) per identificare e mitigare potenziali minacce e rischi per le informazioni eFI. Il piano di emergenza viene testato regolarmente e quando vengono apportate modifiche sostanziali al Piano per dimostrare che sarà efficace e che i membri della forza lavoro comprendono i rispettivi ruoli e responsabilità di recupero. Se il test rivela che il piano di emergenza è inefficace in caso di emergenza o altro evento, CloudVisit rivedrà il piano di conseguenza.

Limitazione dell’accesso di terze parti

CloudVisit garantisce che eFI non sia accessibile da organizzazioni madri e subappaltatrici non autorizzate e che gli Accordi di Business Associate siano firmati con i partner commerciali che avranno accesso a eFI. La divulgazione di informazioni eFI a terzi, ad esempio un sub-processore di terze parti, è consentita solo previo consenso scritto da parte dei fornitori di assistenza sanitaria e solo per gli scopi identificati negli accordi contrattuali con i fornitori di assistenza sanitaria. I sub-processori di terze parti devono essere limitati al solo accesso, utilizzo, conservazione e divulgazione necessari di eFI necessari per adempiere agli obblighi contrattuali. Ai subincaricati di terze parti devono essere fornite chiare istruzioni sulle misure di sicurezza per la protezione di eFI.

Segnalazione di incidenti di sicurezza

CloudVisit isola e contiene incidenti e relativi dati registrati prima che si trasformino in una violazione. CloudVisit ha un processo documentato di gestione degli incidenti di sicurezza per rilevare e risolvere gli incidenti. Le segnalazioni di CloudVisit hanno confermato incidenti o punti deboli di sicurezza che coinvolgono ePHI o servizi per pazienti e fornitori non appena disponibili o altrimenti concordati. CloudVisit collaborerà pienamente con le entità coperte nel trattare tali incidenti. La cooperazione può includere la fornitura di accesso a dati basati su prove informatiche per la valutazione forense.

Regole sulla privacy HIPAA

La regola della privacy

Sono state implementate misure di salvaguardia appropriate per proteggere la privacy delle informazioni sulla salute personale. Le informazioni aggiunte al sistema dai pazienti possono essere viste solo dai fornitori assegnati e dal personale amministrativo autorizzato. I pazienti detengono tutti i diritti sulle loro informazioni sanitarie; incluso il diritto di ottenere una copia delle cartelle cliniche, o esaminarle, e la possibilità di richiedere correzioni se necessario.

Regola di notifica di violazione di HIPAA

Le notifiche di violazione vengono effettuate senza ritardi irragionevoli e in nessun caso oltre 60 giorni dopo la scoperta di una violazione. Se una violazione delle informazioni sanitarie protette avviene presso o da CloudVisit, CloudVisit notificherà l’entità coperta dopo la scoperta della violazione. Le notifiche di violazione dovrebbero includere le seguenti informazioni:
  • La natura della eFI coinvolta, compresi i tipi di identificatori personali esposti.
  • La persona non autorizzata che ha utilizzato l’ePHI oa cui è stata fatta la divulgazione (se nota).
  • Se eFI è stato effettivamente acquisito o visto (se noto).
  • La misura in cui il rischio di danno è stato mitigato.