Indice dei contenuti

Che cosa sono le informazioni sanitarie protette (PHI)?

Indice dei contenuti

Le informazioni sanitarie protette (PHI) sono tutte le informazioni che devono essere protette per salvaguardare la privacy sanitaria del paziente. I requisiti richiedono che le entità coperte - persone o organizzazioni che forniscono assistenza sanitaria - proteggano le informazioni relative alla salute fisica o mentale passata, presente o futura di un paziente. Il piano sanitario di un paziente deve garantire una protezione affidabile e coerente dei PHI del paziente.

Secondo la definizione dell'Health Insurance Portability and Accounting Act (HIPAA) e della relativa Privacy Rule, le PHI sono "informazioni identificabili individualmente trasmesse tramite mezzi elettronici, conservate in mezzi elettronici o trasmesse in qualsiasi altra forma di mezzi".

Negli ultimi 20 anni, le forme di informazioni coperte dalle disposizioni PHI si sono costantemente ampliate. La scala e la portata delle informazioni personali continueranno ad aumentare con il progredire della tecnologia per l'acquisizione, l'archiviazione e la condivisione delle informazioni personali e con l'evoluzione dell'ambiente normativo di conformità per la riservatezza dei pazienti.

 

Perché le informazioni sanitarie protette (PHI) sono importanti?

Le informazioni sanitarie protette sono importanti perché gli operatori sanitari devono proteggere la riservatezza dei dati sanitari del paziente. Poiché molti dei dati personali sono molto personali, i fornitori si impegnano a fondo per garantire la sicurezza delle informazioni in ogni momento.

Esiste una profonda fiducia implicita tra gli operatori sanitari, le organizzazioni di manutenzione sanitaria (HMO) e i loro pazienti, che hanno il diritto di presumere che le organizzazioni sanitarie proteggeranno adeguatamente i loro dati personali.

Questa protezione deve avvenire durante tutta l'esperienza del paziente e in qualsiasi luogo in cui viene fornita l'assistenza, come uno studio medico, un ospedale, una clinica remota o una visita di telemedicina.

HIPAA e PHI

Esistono numerose linee guida di conformità normativa che comportano sanzioni in caso di violazione dei dati personali. Il quadro normativo più importante che copre i dati personali è l'HIPAA. Secondo il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS), la norma sulla privacy HIPAA "fornisce protezioni federali per le informazioni sanitarie personali detenute dalle entità coperte e offre ai pazienti una serie di diritti in relazione a tali informazioni".

La Regola sulla privacy garantisce anche un equilibrio di diritti e privilegi per assicurare che i dati personali siano divulgati in modo appropriato per fornire l'assistenza al paziente e i requisiti correlati.

 

Esempi di informazioni sanitarie protette

1. Informazioni di identificazione personale (PII)

Le informazioni personali identificabili (PII) comprendono tutti i dati che collegano un paziente con identificatori personali, come i dati demografici, la patente di guida e i dati dell'assicurazione sanitaria.

2. Informazioni sanitarie personali (PHI)

PHI è un sottoinsieme di PII che si riferisce alle informazioni condivise specificamente con le entità HIPAA. Questo può includere la corrispondenza tra il paziente e il suo fornitore, i registri di fatturazione, le scansioni digitali delle apparecchiature diagnostiche e i risultati degli esami.

Esempi di identificatori PHI

L'HHS elenca 18 identificatori PHI specifici:

  1. Nomi dei pazienti
  2. Elementi geografici (indirizzi, comuni, codice postale)
  3. Date relative alla salute o all'identità delle persone (date di nascita, data di ammissione, data di dimissione, data di morte).
  4. Numeri di telefono
  5. Numeri di fax
  6. Indirizzi e-mail
  7. Numeri di previdenza sociale
  8. Numeri di cartelle cliniche
  9. Numeri dei beneficiari dell'assicurazione sanitaria
  10. Numeri di conto
  11. Numeri di certificato/licenza
  12. Identificatori del veicolo
  13. Attributi del dispositivo o numeri di serie
  14. Identificatori digitali, come gli URL dei siti web.
  15. Indirizzi IP
  16. Elementi biometrici, tra cui impronte digitali, retiniche e vocali.
  17. Immagini fotografiche a pieno viso
  18. Altri numeri o codici di identificazione

 

Che cos'è l'ePHI?

La PHI elettronica (ePHI) è semplicemente la PHI in formato elettronico/digitale. Potrebbe trattarsi di un PDF di un referto medico o di un database online della storia medica di un paziente. Le ePHI sono specificamente indicate nella HIPAA Security Rule. All'interno della norma, c'è una sottosezione dedicata ai dati sanitari elettronici.

Oggi più che mai, le informazioni sui pazienti vengono create, archiviate e condivise in formato elettronico. I fornitori di servizi sanitari devono prestare molta attenzione alla protezione di questi documenti digitali da un capo all'altro dell'ecosistema sanitario.

La norma sulla sicurezza HIPAA definisce i requisiti per proteggere la riservatezza, l'integrità e la disponibilità (nota come triade CIA) di tutte le informazioni elettroniche. Ciò include l'identificazione e la protezione contro le minacce previste alla sicurezza delle informazioni sanitarie digitali. Inoltre, consente alle entità coperte di mettere in atto sistemi, procedure e politiche volte a garantire la conformità con le linee guida HIPAA stabilite dalla Security Rule.

 

Protezione delle informazioni sanitarie protette

La Regola di sicurezza HIPAA impone alle entità coperte di adottare misure specifiche per dimostrare la conformità, assicurando così la fiducia tra pazienti e fornitori quando si tratta di proteggere i dati personali e le informazioni elettroniche. Questi passi rientrano in tre categorie:

  • Salvaguardie amministrative
  • Protezioni fisiche
  • Salvaguardie tecniche

1. Salvaguardie amministrative

Le salvaguardie amministrative hanno lo scopo di individuare e determinare i rischi potenziali per i dati personali, e di mettere in atto misure che riducano i rischi e le vulnerabilità della sicurezza. Inoltre, impongono che un funzionario della sicurezza sia tenuto a sviluppare e implementare le regole e le procedure di sicurezza dell'entità coperta.

I fornitori sono inoltre tenuti a valutare regolarmente il livello di conformità delle loro politiche di sicurezza ai requisiti della HIPAA Security Rule.

2. Protezioni fisiche

Le salvaguardie fisiche riguardano questioni come la limitazione dell'accesso fisico non autorizzato alle strutture, pur consentendo l'accesso autorizzato. Le entità coperte sono inoltre tenute a distribuire politiche e procedure per la corretta gestione dei dati archiviati elettronicamente e dei supporti elettronici contenenti PII e PHI.

3. Salvaguardie tecniche

Le salvaguardie tecniche sono progettate per garantire che solo le persone debitamente autorizzate possano accedere ai registri digitali e ad altre informazioni elettroniche. Ciò riguarda non solo l'hardware, il software e i servizi necessari per acquisire, archiviare e gestire le cartelle cliniche e sanitarie, ma anche le credenziali di sicurezza e le procedure di autenticazione che regolano l'accesso.

Includono anche la crittografia e altre tecnologie progettate per salvaguardare l'accesso improprio ai PHI e alle ePHI su una rete digitale.

 

Che cos'è una violazione dei dati personali?

Negli ultimi anni, il settore sanitario ha visto un'impennata di attacchi informatici che hanno preso di mira le informazioni personali dei pazienti. Gli attori maligni utilizzano tattiche come il ransomware e l'estorsione per ottenere pagamenti esorbitanti dai fornitori - alcuni addirittura vendono le cartelle cliniche dei pazienti ai migliori offerenti.

Le organizzazioni sanitarie pagano in media 1,41 milioni di dollari per riscatto, secondo l' Incident Response Report 2022di Unit 42. E una violazione dei dati può costare fino a 10,10 milioni di dollari, secondo il rapporto di IBM Cost of a data breach 2022 .

Cosa conta come violazione dei dati personali?

L'HHS definisce ampiamente una violazione delle PHI come "un uso o una divulgazione non consentiti ai sensi della Privacy Rule che compromettono la sicurezza o la privacy delle informazioni sanitarie protette". In un contesto reale, ciò può includere un'ampia gamma di azioni che comportano l'esposizione dei dati personali.

Per esempio, gli hacker che commettono frodi Medicare o altre truffe assicurative spesso mettono in atto una serie di tecniche volte a ottenere i dati personali. Ransomware, furto d'identità, ingegneria sociale, furto di credenziali, phishing e malware sono tutti utilizzati per compromettere i dispositivi personali non criptati o poco protetti.

Secondo l'HIPAA, ci sono quattro elementi chiave per una violazione di PHI:

  1. La natura e l'estensione dei dati personali coinvolti, compresi i tipi di identificatori e la probabilità di re-identificazione.
  2. La persona non autorizzata che ha utilizzato le informazioni sanitarie protette o a cui è stata fatta la divulgazione.
  3. Se le informazioni sanitarie protette sono state effettivamente acquisite o visionate.
  4. La misura in cui il rischio per le informazioni sanitarie protette è stato mitigato.

Nella maggior parte dei casi, le violazioni di PHI derivanti da azioni non intenzionali, piuttosto che dolose, non sono considerate violazioni dell'HIPAA. Si consiglia vivamente alle entità coperte di verificare con i propri avvocati e team di conformità se la divulgazione di PHI costituisce una violazione dell'HIPAA o di altre linee guida sulla privacy.

 

Paesaggio in evoluzione: Tecnologie emergenti e sicurezza dei dati personali

Il settore dell'assistenza sanitaria sta subendo una trasformazione drammatica su molti fronti, tra cui come, quando, dove e perché avviene la fornitura di assistenza sanitaria. Tendenze come l'ascesa dell'assistenza a distanza, l'aumento del numero di dispositivi medici intelligenti (Internet of Medical Things) e un ambiente IT sempre più complesso e interconnesso si sono combinati per creare un panorama in rapida evoluzione.

Per mantenere la sicurezza dei dati personali, le organizzazioni sanitarie e i loro partner/business associate hanno bisogno di un partner esperto in cybersecurity per progettare, costruire, fidarsi e monitorare le operazioni di cybersecurity a livello aziendale.

Nel valutare i potenziali partner di cybersecurity, i responsabili della sicurezza informatica e i loro colleghi dovrebbero richiedere diverse capacità chiave:

  • Esperienza in Zero Trust, che previene le violazioni eliminando la fiducia implicita.
  • Esperienza in una gamma completa di strumenti di cybersecurity, dalla sicurezza di rete ai SOC di nuova generazione.
  • Conoscenza delle procedure e dei framework di sicurezza del cloud , in particolare per gli ambienti cloud ibridi e multicloud.
  • Accesso ai più recenti e completi servizi di threat intelligence.

Scopra come Palo Alto Networks è il leader della cybersecurity per gli ospedali e i sistemi sanitari di tutto il mondo. Visiti www.paloaltonetworks.com/healthcare.

 

Domande frequenti sulle informazioni sanitarie protette (PHI)

Gli attacchi informatici alle organizzazioni sanitarie si presentano sotto molteplici forme: attacchi di phishing, perdita di dati, social engineering, furti fisici, ecc. Nelle mani sbagliate, questi attacchi possono creare scompiglio nella qualità delle cure di un ospedale e costare milioni in riscatti e sanzioni.

Le violazioni dei dati personali possono avvenire da più endpoint, tra cui dispositivi IoT non protetti e attacchi di phishing via e-mail. E queste minacce si stanno evolvendo rapidamente, soprattutto con gli attacchi emergenti che utilizzano il machine learning e l'intelligenza artificiale.

Una solida soluzione di cybersecurity protegge i dati dei pazienti su tutti i fronti: sicurezza di rete, sicurezza cloud e sicurezza endpoint. Le organizzazioni devono disporre di un firewall di nuova generazione che protegga dalle intrusioni indesiderate e dalla perdita di dati, avendo al contempo la capacità di automatizzare la risposta agli incidenti in caso di attacco. E per le organizzazioni con carichi di lavoro cloud in crescita, strumenti come la gestione delle identità e il controllo degli accessi mantengono i lavoratori e i loro dispositivi al sicuro durante la connessione alla rete interna.

I team IT e SOC degli ospedali e di altri sistemi sanitari sono spesso sovraccaricati dall'enorme numero di avvisi che devono elaborare manualmente. L'automazione della sicurezza affianca gli analisti per prevenire, rilevare e rispondere automaticamente alle minacce con un intervento umano minimo, dando agli analisti più tempo per concentrarsi su altre attività.
Contenuti correlati
Che cos'è la cybersicurezza sanitaria?
Il panorama delle minacce sta cambiando e l'assistenza sanitaria è particolarmente vulnerabile. Ecco tutto quello che deve sapere sulla cybersicurezza nell'assistenza sanitaria.
Cybersicurezza sanitaria: 3 tendenze da osservare nel 2024
Dall'assistenza remota ai dispositivi connessi, queste tendenze della cybersecurity stanno dando forma alla trasformazione digitale nell'assistenza sanitaria.
3 priorità per la cybersicurezza sanitaria nel 2024
I CISO del settore sanitario hanno l'opportunità di trasformare la loro cybersecurity e di abilitare la resilienza informatica nel 2024. Ecco come fare.
Trasformazione digitale sicura nell'assistenza sanitaria
Il settore sanitario si sta evolvendo, così come gli attacchi informatici. Proteggete i dati dei pazienti e state al passo con le minacce.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce