(Окончание обзора доклада Леона Родригеса, начало см. http://rusrim.blogspot.ru/2013/04/i.html )
Имея опыт юридической практики по обе стороны «баррикад» - и как прокурор, и как адвокат защиты, - я осознал, насколько важно проявлять осторожность в тех случаях, когда мы собираемся применять санкции. Мы хотим, чтобы эти случаи показали правильный путь подконтрольным организациям и их ассоциированным деловым партнерам, подсказали, о чём им следует в первую очередь побеспокоиться и что подвергает их наибольшему риску наших санкций. Мы особенно настоятельно рекомендовали им держаться подальше от «компании штрафников», поскольку средства массовой информации охотно поднимают шум по поводу медицинских документов, выброшенных в мусорные баки или забытых в метро. Но с точки зрения контролирующего органа, реальной проблемой является тщательное соблюдение тех правил, нарушения которых связаны с высоким риском утечек. Делайте все, что в ваших силах, для того, чтобы обеспечить безопасность информации. Проводите оценку рисков. Не снижайте внимания к вопросам исполнения законодательно-нормативных требований.
Примеры: В прошлом году мы пришли к соглашению с компанией BCBS TN об уплате ею штрафа в 1,5 миллиона долларов за то, что из её здания было украдено 57 жестких дисков, Штраф был наложен не за факт кражи, а за то, что компания не приняла надлежащих организационных мер, не провела оценку риска и не реализовала на практике мер контроля над доступом к носителям информации. Это хранилище можно было бы превратить в Форт-Нокс (место хранения золотого запаса США – Н.Х.), и там всё равно могла бы иметь место утечка. Проблема компании была в том, что она не ввела никаких политик и процедур, направленных на предотвращение инцидентов, и не приняла надлежащих организационно-технических мер и мер физической защиты. Это яркий пример отсутствия постоянного внимания к соблюдению требований законодательства.
Управление Национального координатора по использованию информационных технологий в медицине (Office of the National Coordinator for Health Information Technology, ONC) не смотрит на уведомления об утечках как на кормушку, позволяющую выбирать «сочные» случаи для применения санкций. Настоящая задача этого механизма – добиться, чтобы подконтрольные организации знали об имеющих место нарушениях и о приводящих к ним уязвимостях, и чтобы накапливался коллективный опыт, на котором могли бы учиться все остальные.
В другом случае, портативное устройство было украдено в баре. Санкции были наложены за следующее:
- Отсутствие адекватных политик и процедур, обеспечивающих исполнение требований HIPAA, и, в частности, отсутствие соответствующих организационных мер;
- Отсутствие обучения персонала по вопросам требований HIPAA по безопасности;
- Непринятие надлежащих мер физической защиты;
- Неиспользование шифрования информации на устройстве (или равноценных мер защиты).
Что не очевидно из Аляскинского дела, так это то, что проблемы в агентстве продолжались еще длительное время после сообщения об утечке. Первоначально Аляска подпадала только под штраф до 25 тысяч долларов. Но они так долго продолжали не исполнять требования законодательства после первоначального инцидента, что стало возможным назначение также и штрафа в 1,5 миллиона долларов. В случае утечки необходимо действовать решительно, с тем, чтобы устранить уязвимость. Неспособность решить проблему автоматически подтолкнет ONC к тому, чтобы рекомендации о назначении санкций отражали отсутствие должной осмотрительности.
При выборе объектов для проведения аудита у ONC нет каких-либо предпочтений. Каждый раз, когда ONC начинает расследовать какой-либо инцидент, журналисты начинают спрашивать, не уделяется ли теперь особое внимание данному виду практики или учреждения. Так вот, абсолютно нет. ONC старается расследовать случаи, в которых наблюдаются длительные нарушения сразу нескольких положений, несоблюдение которых связано с высоким риском утечек.
Одним из вопросов, который всплывает в каждом случае применения санкций, является неспособность организаций регулярно проводить анализ рисков. Отсутствие такого анализа рисков является ключевым моментом, от которого завит исход разбирательства в подобных ситуациях.
Ещё одним из видов деятельности, которому ONC уделяет большое внимание, является плановые проверки и аудит. Пилотные аудиты, выполнение которых было поручено известной фирме KPMG, проводился не ради погони за штрафами. Специалисты по комплайенсу ряда подконтрольных организации обращались в ONC с просьбой о проведении аудита до того, как будет начаты официальные проверки, Теперь, когда пилотные аудиты завершились, наложение санкций будет в большей степени интегрировано в процесс аудита.
Из общего числа крупных учреждений-поставщиков медицинских услуг и более мелких управлений, которые были охвачены пилотным аудитом силами фирмы KPMG, очень многие не провели анализ рисков – либо вообще его не делали, либо он был совершенно неадекватным.
Мой любимый результат проделанной нами аналитической работы касается шифрования. Это вполне выполнимое требование, что означает, что вы либо его выполняете, либо у Вас должны быть веские причины на то, чтобы вместо него использовать иные эквивалентные меры защиты. Многие организации вообще никак не отреагировали на данное требование, и ONC еще не разобралось с причинами. Наше представление следующее: Вы проводите анализ рисков и обдумываете его результаты, Подконтрольным организациям и их ассоциированным деловым партнерам имеет смысл применять шифрование, потому что это экономически эффективно и надежно. Возможно, организации пока что об этом не думали. По мере дальнейшего анализа результатов аудитов, ONC будет лучше понимать, в чем тут дело.
Еще несколько месяцев уйдёт на то, чтобы завершить анализ и оценку итогов пилотных аудитов и определить окончательный вид программы аудита. На проведение 150 пилотных аудитов мы потратили около14 миллионов долларов. Наш годовой бюджет составляет сейчас около 40 миллионов долларов, и расходы на аудит в настоящее время официально включены в него. В будущем аудиты будут продолжаться, но они станут еще более «стратегическими», фокусируя внимание на конкретных видах уязвимостей и охватывая при этом большее число организаций.
Если вы посмотрите на то, как выглядели дела, которые мы расследовали до появления закона HITECH, то увидите, что они начинались с жалоб пациентов. Но пациенты видят ситуацию только со своей точки зрения «у стойки» - они не в состоянии увидеть все области существования уязвимостей, такие, как рабочие процессы бэк-офиса, центры обработки данных или услуги поставщиков облачных вычислений. Как для ONC, так и для подконтрольных организаций важно видеть весь потенциал для утечек в рамках внутренней деятельности.
Модель деловой деятельности ONC будет по-прежнему ориентирована на технические системы и на образование как на наиболее важные элементы. Одной из проблемных областей являются малые поставщики, которые существенно отличаются от крупных поставщиков: у них нет ни ИТ-директоров, ни специалистов по комплайенсу, поэтому их иные возможности в плане реализации мер защиты. Мы только что завершили подготовку инструментального набора для обеспечения безопасности мобильных устройств, нацеленного на то, чтобы дать понятные, простые для понимания правила, показывающие путь к исполнению требований по безопасности. Министерство здравоохранения собирается выпустить ещё ряд видеороликов серии MedScape о безопасности и исполнении требований законодательства. На одном из них врач из штата Мэриленд рассказывает о том, как она и ее практика смогли реализовать надежную программу продуманного соблюдения законодательно-нормативных требований.
ONC требуется обратная связь от поставщиков медицинских услуг и ассоциированных деловых партнеров, чтобы понять, как вместе мы можем достичь нужного уровня исполнения законодательства. Если вы ВИЧ-инфицированы и не верите в то, что сведения о Вашем здоровье останутся конфиденциальным и будет обеспечена их надёжная защита, то, возможно, Вы не сообщите своему врачу критически-важную информацию. Это не только плохо для пациента, это плохо для всего общества. Доверие пациентов имеет решающее значение для хорошего качества медицинской помощи.
Леон Родригес (Leon Rodriguez)
Источник: сайт SmartData Collective
http://smartdatacollective.com/onlinetech/113486/hipaa-hitech-world-hipaa-violations-rise-according-director-ocr
Комментариев нет:
Отправить комментарий