На конференции Ассоциации американских юристов, работающих в здравоохранении (American Healthcare Lawyers Association, AHLA) «Закон HIPAA в среде медицинских информационных технологий, используемых в клинической и экономической деятельности» (HIPAA in a HITECH World) директор Управления по гражданским правам (Office for Civil Rights, OCR) Министерства здравоохранения США (Department of Health and Human Services) Леон Родригес (Leon Rodriguez - на фото) поделился неожиданными итогами первичного анализа статистики утечек и пилотного проекта аудита. Ниже дано краткое изложение его пленарного доклада на конференции AHLA, прошедшей в городе Балтиморе, штат Мэриленд. (см. также сайт конференции http://www.healthlawyers.org/Events/Programs/2013/Pages/HIT13.aspx ):
Для справки: Закон о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. Вторая часть данного закона предписывает создание национальных стандартов электронных транзакций в здравоохранении. В ней также регламентируются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни.С момента вступления в силу закона HITECH поток жалоб на нарушение требований закона HIPAA увеличился в геометрической прогрессии. За последние 3 года поступило более 70 тысяч таких жалоб. Мы не в состоянии расследовать каждую из них, и не хотим этим заниматься. Подход к обеспечению исполнения требований законодательства должен быть продуманным и нацеленным на обучение. Принимаемые нами меры должны высвечивать те аспекты, которые подконтрольные организации могут «намотать на ус», а денежные штрафы мы стремимся накладывать лишь в тех случаях, когда это позволяет нам привлечь внимание к тем уязвимостям, с которыми связаны высокие риски утечки защищаемой информации о здоровье (protected health information, PHI).
Закон об использовании медицинских информационных технологий в клинической и экономической деятельности (Health Information Technology for Clinical and Economic Health Act, HITECH) был принят в 2009 году как 13-й раздел Закона об восстановлении и реинвестициях (American Recovery and Reinvestment Act of 2009). Данный закон направлен на продвижение и расширение использования ИТ-технологий в медицине.
Министерство здравоохранения ценит терпение, проявленное организациями, которым пришлось долго ждать, пока появится окончательная редакция правил, регламентирующих исполнение требований закона HIPAA. Она, наконец, опубликована и вступает в силу 26 марта 2013 года, но ассоциированным деловым партнерам (Business Associates) дается время до сентября, чтобы привести свою практику в соответствие с правилами.
Одним из наиболее трансформирующих элементов правил является возложение материальной ответственности на ассоциированных деловых партнеров и их субподрядчиков. До сих пор исполнение требований ассоциированными деловыми партнерами можно было контролировать лишь через оценку деятельности подконтрольных организаций, непосредственно подпадающих под закон HIPAA (Covered Entities). При этом единственной возможной мерой было расторжение соглашений о деловом партнерстве, что не всегда было реально и просто для подконтрольных организаций. В связи с этим до публикации правил было трудно обеспечить исполнение требований HIPAA ассоциированными деловыми партнерами. Анализируя статистику утечек и других нарушений, Министерство здравоохранения выяснило, что основное число инцидентов происходит на уровне ассоциированных деловых партнеров. Эти данные показали наличие реальных уязвимостей в среде ассоциированных деловых партнеров, на которые следовало отреагировать.
Во многих отношениях, обеспечение исполнения требований HIPAA напоминает уроки математики в средней школе. Главное – показать, что ты стараешься. В данном случае, главное – показать, что у Вас реализованы на практике всеобъемлющие политики и процедуры; и что Вы относитесь к данной деятельности как к постоянно идущему, живому процессу. Исполнение требований законодательства – это продолжающаяся деятельность, а не разово сделанная и затем отложенная в сторону ввиду её неудобности работа. Можно жить на 100% правильно, и всё же столкнуться с утечкой. Мир не совершенен, и утечки и нарушения по-прежнему будут происходить. Мы, со своей стороны, будем оценивать, приняли ли Вы все разумные меры для их предотвращения? Проводили ли Вы на регулярной основе оценку рисков?
До вступления в силу закона HITECH максимальный суммарный штраф за год за каждый вид нарушений составлял 25 тысяч долларов. Теперь эта планка поднята на уровень 1,5 миллиона долларов. До публикации новых правил для назначения какого-либо наказания нужно было доказать умышленность действий / бездействия (willful neglect). Любая меньшая степень виновности не позволяла наказывать штрафами. Потребителям, однако, чтобы чувствовать себя комфортно при предоставлении конфиденциальной информации о здоровье, нужна уверенность в существовании эффективного контролирующего органа.
В окончательной редакции правил изменен порядок уведомления об утечках. Теперь у нас имеется объективный стандарт действий, по умолчанию предполагающий уведомление о случаях утечек информации и иных нарушений, - за исключением тех ситуаций, в которых анализ рисков доказывает, что риск причинения ущерба в результате утечки мал. В таком случае результаты анализа рисков могут избавить организацию от необходимости уведомлять об инциденте, защитив её от наказания за неуведомление.
Моё представление о дальнейшем развитии событий следующее. Мы уже видим рост числа сообщений об утечках. В конце концов, анализ рисков в соответствии с временными и окончательными правилами даст одни и те же результаты. Будет очень небольшое число ситуаций, в которых новые правила что-то реально изменят в этом плане.
Мы спрашиваем себя, почему растет количество уведомлений об утечках? Лично я считаю, что уведомления пока что поступают не о всех 100% инцидентов. Например, одной из проблемных областей являются небольшие поставщики медицинских услуг. У них нередко нет ни ресурсов, ни пропускной способности для того, чтобы в полной мере исполнять правила. Думаю, что мы ещё увидим случаи непредставления уведомлений, когда посредством различных контрольных мер мы сможем доказать, что имело место сознательное и непростительное неуведомление – до сих пор у нас было мало такого рода доказательств. Очень важно добиться, чтобы механизм извещения об инцидентах работал, чтобы подконтрольные организации в полной мере раскрывали сведения об утечках.
Что мы уже узнали по итогам анализа сведений об утечках и пилотных аудитов? Наиболее неожиданным оказалось то, что относительно небольшое число утечек связано с умышленным взломом (hacking) – всего лишь 7%.
Большинство инцидентов связано с кражей, утерей, несанкционированным доступом либо раскрытием информации (т.е. совершаются сотрудниками). Уязвимости, как правило, низкотехнологичные, не связанные с «высокими технологиями». Это соответствует той среде, в которой происходит большинство инцидентов. Четверть утечек связана с бумажными документами (примеры: инциденты в CVS и Rite-Aid). Бумажные документы не менее, если не более уязвимы, чем электронные.
Для справки: В феврале 2009 года Министерство здравоохранения и Федеральная комиссия по торговле оштрафовали крупнейшую американскую аптечную сеть CVS на 2,25 миллиона долларов и выдали предписание на устранение нарушений, приводящих к утечке персональных медицинских данных клиентов. Нарушение было связано с ненадлежащим уничтожением идентифицирующей пациентов информации, такой, как сведения на этикетках упаковок для таблеток, инструкциях по их применению и т.д. В 2006 году сотрудники компании просто выбросили такого рода материалы в обычные мусорные контейнеры. См. также http://www.hhs.gov/news/press/2009pres/02/20090218a.html .Мы также видим, что в наибольшей степени уязвимы мобильные устройства: телефоны, планшеты, ноутбуки, настольные компьютеры и т.д. Для ИТ-директоров компаний и их специалистов по комплайенсу это означает, что им для соответствия требования законодательства следует обращать внимание на требования HIPAA к обеспечению безопасности и конфиденциальность и по отношению к мобильной среде. Им следует обратить внимание на подготовку сотрудников и соблюдение ими дисциплины. Это не значит, что нужно выбрасывать на улицу каждого, кто утерял мобильное устройство, но эти лица должны ощущать реальные последствия инцидентов. Вам следует обратить внимание на меры физической защиты, на организационные и технические меры, способные предотвратить и смягчить последствия утраты этих мобильных устройств.
В июле 2010 года ещё одна крупнейшая аптечная сеть Rite Aid согласилась на уплату штрафа в 1 миллион долларов за аналогичное нарушение требований закона HIPAA. См. также http://www.hhs.gov/news/press/2010pres/07/20100727a.html .
Мы постепенно усиливаем меры, направленные на обеспечения исполнения требований закона. Стоит отметить, что закон HITECH дает возможность Управлению по гражданским правам сохранить у себя полученные от штрафов средства и использовать их для двух целей:
- Финансирование контрольно-проверочной деятельности, что мы и сделали до сих пор, и
- Выплата компенсаций пострадавшим. Мы в настоящее время разрабатываем схему выплаты таких компенсаций.
Леон Родригес (Leon Rodriguez)
Источник: сайт SmartData Collective
http://smartdatacollective.com/onlinetech/113486/hipaa-hitech-world-hipaa-violations-rise-according-director-ocr
Комментариев нет:
Отправить комментарий