远程医疗的发展使医疗专业人员能够几乎从任何地方联系和帮助患者。这就需要对设备进行远程访问,包括专门的医疗程序和硬件,以便医生、临床医生和其他专业人士可以随时访问他们需要的工具和信息。
远程访问在医疗保健领域现在已十分普遍,尤其是在 IT 支持、临床工作流程和供应商维护方面。然而,随之而来的便利也伴随着风险,包括可能暴露的电子受保护健康信息(ePHI)。
HIPAA 合规性的重要部分是控制和管理对 ePHI 的安全访问,无论是在现场还是远程工作。因此,任何寻求远程访问解决方案的医疗组织必须确保其用户可以安全地访问工作,而不会危及电子受保护健康信息(ePHI)的安全性。
考虑到这一点,让我们来探讨 HIPAA 如何规范远程访问、保护医疗环境中电子受保护健康信息 (ePHI) 所需的安全措施,以及在医疗行业中使用的远程访问解决方案时需要注意些什么。
远程访问何时受HIPAA监管?
当使用远程访问来存储、传输、处理或显示电子受保护健康信息时,HIPAA适用。这适用于所有设备类型,包括 Windows 和 Mac 台式计算机、安卓设备和 iOS 设备。
远程访问在多种情况下受HIPAA法规限制,包括:
当临床医生远程访问电子健康记录或临床应用程序时。
连接或支持显示患者数据的医疗设备。
从笔记本电脑、平板电脑或移动设备远程访问临床医生。
供应商或IT支持会话中屏幕上可见的ePHI。
HIPAA安全规则如何管理对电子受保护健康信息的远程访问?
HIPAA 要求采取合理且适当的措施来保护 ePHI,包括行政、物理和技术保障措施。每当医疗机构需要远程访问时,HIPAA 合规性是首要任务,因为保护患者信息是强制性要求。
HIPAA 是基于风险的,这意味着它评估对 ePHI 隐私和安全的威胁,这些威胁发生的可能性及其潜在影响。它也与技术无关,在所有设备上应用相同的标准,并且不认证工具或平台。相反,组织需要在所有工具和流程中展示HIPAA合规性,以确认他们已具备所需的安全防护措施。
1. 远程访问电子健康信息(ePHI)所需的行政保护措施
为了维护远程访问的HIPAA合规性,组织必须实施管理保护措施。这需要结合治理和文档,以确保有保护敏感数据的政策,并且必须明确包括对电子保护健康信息(ePHI)的远程访问路径,包括谁可以远程访问包含这些信息的系统以及在什么条件下,包括:
风险分析,包括远程访问、相关风险及解决方案。
访问批准和撤销流程确保只有授权用户可以在任何时候访问电子受保护健康信息(ePHI)。
供应商访问治理和BAAs来管理第三方访问和安全。
文档与审核定期验证防护措施是否按预期工作。
行政保障措施还包括为员工提供培训。如果处理不当,远程会话可能会导致意外的ePHI暴露,因此拥有远程访问权限的人员需要接��受适当的培训,以确保安全连接,不危害隐私。
此外,如果任何供应商被授予访问电子受保护健康信息(ePHI)的远程访问,他们必须签署业务合作伙伴协议(BAA),要求他们遵守适用的安全实践和标准。
2. 在远程访问期间保护电子PHI的技术保障措施
除了行政保护措施外,还必须实施技术保护措施,以确保通过强有力的网络安全来保护ePHI。技术保护措施是组织如何在实践中执行HIPAA保护的,因此设置强大的安全工具绝对是必不可少的。
HIPAA 合规的技术保护措施包括:
唯一用户识别和基于角色的访问 ePHI,以确保只有经过验证的用户可以访问健康信息和其他个人数据。
多因素身份验证用于远程访问,在允许用户连接之前进行验证,降低被入侵账户获得访问权限的风险。
在传输和静止状态下对ePHI进行加密,以保护数据免受未经授权的拦截或暴露。
审核日志记录对含有ePHI系统的远程访问,清晰地记录谁在什么时候访问了哪些信息,以展示监督并识别可疑行为。
会话控制可以限制在支持或管理访问期间不必要的电子健康信息(ePHI)暴露,从而即使在远程会话期间也能保护数据。
3. 仍适用于远程访问的物理和设备保护措施
物理设备也需要符合HIPAA规定的远程访问保障措施。当医疗专业人员远程连接到他们的工作电脑时,这些电脑仍然应满足所有的合规要求,毕竟,否则他们一开始就不符合合规要求。
HIPAA 对物理设备的要求包括屏幕锁、高级设备安全性以及安全管理访问 ePHI 的端点的能力。公司还需要一种方式来快速处理遗失或被盗的设备,这些设备包含或可以访问ePHI,例如远程锁定和远程擦除。这有助于确保敏感数据无论是在其本地设备上还是在远程访问时保持安全。
虽然自带设备 (BYOD) 政策越来越受欢迎,但如果没有适当的控制和安全工具,它们也可能不安全。如果医疗机构希望在任何设备上启用远程工作,他们必须实施工具和控制措施,以确保这些设备始终保持安全。
如何选择支持HIPAA要求的远程访问方法
当您需要符合 HIPAA 标准的远程访问时,可以遵循一些最佳实践。并非所有方法都同样安全,因此明智地选择方法以确保安全性和IT 合规性。
首先,避免使用未管理的远程桌面工具。如果没有正确的管理和安全措施,这些是不可靠且不安全的,账户和数据面临风险。同样,每个用户都应该有一个独特的账户;共享访问 ePHI 的账户会使监督和监控复杂化,并且如果某个用户离开,他们仍然可以访问共享账户。如果供应商需要访问,多因素身份验证和日志记录是验证用户和跟踪活动的基本要素。
使用一个不将包含 ePHI 的系统连接到互联网的平台也很重要,因为这可能会使它们暴露于威胁和漏洞中。您需要一个访问模型,它能够在不影响安全性并且不复制或存储ePHI的情况下连接设备。
最佳方法是使用受管控的远程访问来控制系统,从而保持ePHI集中和安全。安全远程访问允许用户连接到包含电子个人健康信息的受管系统,而无需不必要地复制、存储或分发这些数据,帮助组织更好地控制和监视访问。
此外,如果您需要授予供应商访问权限,请确保可以设置该访问权限的时间限制并记录每个会话。这�有助于保持设备安全,并在供应商连接时提供问责机制。
医疗机构必须能够证明有关远程访问电子PHI的哪些内容?
保持HIPAA合规需要提供证明。在HIPAA审核期间,审核员会检查多个元素,以确定您的网络安全性是否符合HIPAA的监管要求。这些包括:
设备和设备的物理安全
账户和网络的数字保障措施。
员工培训和安全意识。
访问控制 确保只有授权用户可以连接。
事件响应计划旨在发生安全漏洞时快速响应并处理损害。
因此,医疗组织需要维护日志和文档,以展示谁访问了ePHI,何时访问的,以及理想情况下,他们为什么需要它。这些日志可以确定某事件是否构成需要报告的违规行为,或仅是例行工作活动。
在投资远程访问解决方案时,医疗机构应寻找一个提供安全访问和身份验证的平台,以符合 HIPAA 合规要求,并包含会话日志和报告,以支持高效的事件响应。HIPAA 合规不仅仅是关于防止违规,还需要能够迅速有效地应对违规情况,审核会反映这些要求。
Splashtop 如何支持对包含ePHI系统的安全、可审计的远程访问
医疗组织需要一个既强大、可靠、又特别安全的远程访问解决方案。任何在医疗环境中使用的远程访问软件必须支持强大的安全控制,以帮助保护电子个人健康信息(ePHI)并降低合规风险。
Splashtop 提供集中的、安全的远程访问,旨在帮助医疗IT团队实施一致的访问控制,并保持对涉及包含电子保护健康信息(ePHI)系统的远程会话的可见性。
使用Splashtop,用户可以从任何地方在任何设备上安全访问他们的工作设备。这使医疗专业人士能够在远程工作时访问笔记、测试结果和专业设备,而不影响安全性或效率。
Splashtop 还通过多因素身份验证等功能确保账户安全,多因素身份验证在用户连接时增加了一层额外的验证,确保只有授权用户才能访问 ePHI。
此外,通过Splashtop的全面审计日志,用户可以访问显示谁访问了哪些信息以及何时访问的详细记录。这有助于维护合规性和责任制,支持调查,并通过审计。
符合HIPAA标准的远程访问是可能的
HIPAA要求对电子健康信息(ePHI)进行严格控制,但这并不意味着远程访问是不可能的。借助适当的可见性、安全措施和文档,可以在符合HIPAA安全要求的同时使用远程访问解决方案安全地在任何地方办公,而不牺牲速度和质量。
医疗机构在寻找远程访问程序时,应评估他们的选项,并选择一种能够在不影响安全性或增加操作复杂性的前提下,提供一致远程访问管理的解决方案。使用像 Splashtop 这样的解决方案,医疗IT团队可以标准化远程访问工作流程,同时改善访问控制、会话可见性和监督。
准备好看看 Splashtop 有多简单和安全了吗?立即开始免费试用。
