Soluções de armazenamento em nuvem compatíveis com HIPAA:mantenha a conformidade com a assistência médica

Hospitais, clínicas e outras organizações de saúde tiveram um caminho acidentado para a adoção da nuvem nos últimos anos. Os riscos de segurança implícitos de usar a nuvem pública ou trabalhar com um provedor de serviços terceirizado atrasaram consideravelmente a adoção da nuvem no setor de saúde.

Ainda hoje, quando 84% das organizações de saúde usam serviços em nuvem, a questão de escolher o provedor de nuvem compatível com HIPAA pode ser uma dor de cabeça.

Todos os prestadores de serviços de saúde cujos dados de clientes são armazenados nos EUA estão sujeitos a um conjunto de regulamentos conhecidos como conformidade com HIPAA

Hoje, qualquer organização que lida com dados confidenciais de pacientes precisa cumprir os requisitos de armazenamento HIPAA.

O que é conformidade com HIPAA?

Os padrões HIPAA fornecem proteção de dados de saúde. Qualquer fornecedor que trabalhe com uma organização ou empresa de saúde que manuseie arquivos de saúde deve obedecer às regras de privacidade da HIPAA. Há também muitas indústrias auxiliares que devem aderir às diretrizes se tiverem acesso a dados médicos e de pacientes. É aqui que o armazenamento em nuvem compatível com HIPPA desempenha um papel significativo.

Em 1996, "o Departamento de Saúde e Serviços Humanos dos EUA ("HHS") emitiu a Regra de Privacidade para implementar a exigência da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996." A Regra de Privacidade aborda as “informações eletrônicas de saúde protegidas” dos pacientes e como as organizações ou “entidades cobertas pela HIPAA” sujeitas às Regras de Privacidade devem cumprir.

A maioria das instituições de saúde usa algum tipo de dispositivo eletrônico para fornecer assistência médica. Isso significa que as informações não residem mais em um gráfico de papel, mas em um computador ou na nuvem. Ao contrário das empresas em geral ou da maioria das entidades comerciais, as instituições de saúde são legalmente obrigadas a empregar as práticas de backup de dados mais confiáveis.

Então, como isso afeta a escolha de um provedor de nuvem?

Ao planejar sua migração para a computação em nuvem, as instituições de saúde precisam garantir que seu fornecedor atenda a critérios de segurança específicos.

Esses critérios se traduzem em requisitos e limites que uma empresa deve atender e manter para estar pronta para a HIPAA. Isso se resume a um conjunto de certificações, auditoria e relatórios SOC, níveis de criptografia e recursos de segurança física.

As soluções de armazenamento em nuvem HIPAA devem funcionar para tornar a conformidade simples e direta. Dessa forma, as organizações de saúde têm uma preocupação a menos e podem se concentrar em melhorar seus processos críticos.

 Requisitos de armazenamento em nuvem e backup de dados da HIPAA

Um provedor de serviços em nuvem que faz negócios com uma empresa que opera sob as regras da lei HIPAA-HITECH é considerado um parceiro de negócios. Como tal, deve mostrar que está dentro dos padrões de conformidade da nuvem e segue quaisquer padrões relevantes. Embora o fornecedor não lide diretamente com as informações do paciente, ele recebe, gerencia e armazena informações de saúde protegidas (PHI). Este fato por si só os torna responsáveis ​​por protegê-lo de acordo com as diretrizes da lei HIPAA-HITECH.

Ser compatível com HIPAA significa implementar todas as regras e regulamentos que a lei propõe. Qualquer fornecedor que ofereça serviços que estejam sujeitos à lei deve fornecer documentação que comprove sua conformidade. Essa documentação precisa ser enviada não apenas aos seus clientes, mas também ao Escritório de Direitos Civis (OCR). O OCR é uma subagência do Departamento de Educação dos EUA, que promove a igualdade de acesso a programas de saúde e serviços humanos.

Organizações do setor de saúde que desejam trabalhar com um armazenamento em nuvem compatível com HIPAA  o provedor deve solicitar prova de conformidade para se proteger. Se o provedor seguir todos os padrões, ele não deve ter escrúpulos em compartilhar a documentação apropriada com você.

Os requisitos HIPAA para organizações de hospedagem na nuvem são os mesmos que os requisitos para parceiros de negócios. Eles se enquadram em três categorias distintas:salvaguardas administrativas, físicas e técnicas.

• Proteções administrativas:  Esses tipos de salvaguardas são políticas transparentes que descrevem como a empresa cumprirá as regras do ponto de vista operacional. As operações podem incluir gerenciamento de avaliações de risco de segurança, procedimentos apropriados, resposta a desastres e emergências e gerenciamento de senhas.
• Proteção física: As proteções físicas geralmente são sistemas implementados para proteger os dados do cliente. Eles podem incluir armazenamento adequado, backup de dados e descarte apropriado de mídia em um data center. Importantes precauções de segurança para instalações onde residem dispositivos de armazenamento de hardware ou software também fazem parte desta categoria.
• Proteções técnicas: Este grupo de salvaguardas refere-se a recursos técnicos implementados para minimizar o risco de dados e maximizar a proteção. Exigir informações de login exclusivas, políticas de logoff automático e autenticação para acesso a PHI são apenas algumas das proteções técnicas que devem estar em vigor.

O que torna um provedor de nuvem certificado pela HIPAA compatível?

Fornecer hardware ou software de armazenamento de arquivos compatível com HIPAA não é tão simples quanto apertar um botão. É preciso muito tempo e esforço para uma empresa se tornar compatível.

O elemento crítico a ser procurado em um provedor de armazenamento em nuvem certificado pela HIPAA é sua disposição de fazer um Contrato de Associado Comercial. Conhecido como BAA, este acordo é concluído entre duas partes que planejam transmitir, processar ou receber PHI. Seu objetivo principal é proteger ambas as partes de quaisquer repercussões legais que resultem no uso indevido de informações de saúde protegidas.

Um Business Associate Agreement BAA não deve adicionar, subtrair ou contradizer os padrões gerais da HIPAA. No entanto, se ambas as partes concordarem, é aceitável complementar a terminologia específica. Existem também alguns termos principais que constituem a base para um acordo de parceiro comercial compatível e devem permanecer para que o contrato seja considerado juridicamente vinculativo.

O nível de criptografia habilitado pelo provedor de nuvem precisa de atenção adequada. A empresa deve criptografar arquivos não apenas em trânsito, mas também em repouso. Advanced Encryption Standard (AES) é o nível mínimo de criptografia que deve ser usado para armazenamento e compartilhamento de arquivos. O AES é um sucessor do Padrão de Criptografia de Dados (DES) e foi desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) em 1997. É um algoritmo de criptografia avançado que oferece defesa aprimorada contra diferentes incidentes de segurança.

Seleção de um fornecedor de armazenamento em nuvem compatível

Ao escolher um provedor compatível com HIPAA, procure hospedagem na Web HIPAA que atenda às medidas descritas na seção anterior. Certifique-se de perguntar a eles sobre suas práticas de segurança de armazenamento de dados para quão seguros serão seus dados de PHI.

O fornecedor em potencial oferece um contrato de nível de serviço?

Um contrato de SLA indica tempos de resposta garantidos a ameaças, normalmente dentro de uma janela de 24 horas. Como empresa que transmite PHI, você precisa saber com que rapidez o provedor pode notificá-lo em caso de incidente. Quanto mais rápido você receber uma notificação de violação, mais eficiente será sua resposta.

Não se esqueça de que o armazenamento de registros médicos eletrônicos baseados em nuvem deve estar em um data center seguro.

Quais são as medidas de segurança em vigor em caso de um incidente? Como é determinado o acesso à instalação? Peça um resumo detalhado de como eles implementam e reforçam a segurança física. Verifique como eles respondem em caso de violação de dados. Certifique-se de obter todos os detalhes relevantes antes de colocar seus dados em risco.

O fornecedor selecionado também deve ter um Plano de Continuidade e Recuperação de Desastres em vigor.

Um plano de continuidade antecipará perdas devido a desastres naturais, violações de dados e outros incidentes imprevistos. Também fornecerá os processos e procedimentos necessários se ou quando tais eventos ocorrerem. Com relação às práticas recomendadas de prevenção de perda de dados, também é essencial determinar com que frequência o método proposto é submetido a testes rigorosos.

Segurança de registros médicos de assistência médica – Como posso ter certeza?

Os provedores de nuvem que levam a sério a conformidade garantirão que suas certificações estejam atualizadas. Existem várias maneiras de verificar se eles seguem as normas e regulamentos pertinentes.

Uma maneira é auditar seu provedor em potencial usando uma parte independente. A auditoria chamará a sua atenção para quaisquer possíveis riscos e revelará as táticas de segurança do fornecedor. O armazenamento em nuvem para provedores de registros médicos deve auditar regularmente seus sistemas e ambientes para proteger as ameaças e permanecer em conformidade. O termo ‘regularmente’ não é definido pela lei, por isso é imprescindível solicitar documentação e informações pelo menos trimestralmente. Você também deve garantir que tenha acesso constante a relatórios e documentação detalhando a auditoria mais recente.

Outra maneira de determinar se a empresa está em conformidade é avaliar as qualificações de seus funcionários. Todos os funcionários precisam ser instruídos sobre os padrões mais atuais e se familiarizar com as salvaguardas específicas. Somente com isso, as organizações podem alcançar a conformidade.

Faça perguntas difíceis ao seu fornecedor em potencial. Qualquer pessoa com acesso a PHI precisa de treinamento adequado sobre métodos seguros de transmissão de dados. O treinamento precisa incluir a capacidade de criptografar com segurança as informações do paciente, não importa onde elas estejam armazenadas.

Uma empresa compatível com HIPAA não solicitará um backdoor para acessar seus dados ou permissão para ignorar seus protocolos de gerenciamento de acesso. Esses fornecedores reconhecem o risco de exigir autenticação ou pontos de acesso adicionais. Comprometer o acesso a protocolos de autenticação e requisitos de senha é uma violação grave e nunca deve acontecer.

Perguntas frequentes sobre backup e armazenamento em nuvem

Pergunte a possíveis fornecedores de nuvem qual método eles usam para avaliar sua conformidade com a HIPAA.

Um modelo de política HIPAA está disponível para uso? O provedor oferece orientação e feedback sobre conformidade? Como eles estão garantindo que você esteja atualizado e ciente das regras e regulamentos de segurança? Eles oferecem e-mail compatível com HIPAA?

A empresa possui funcionários em tempo integral no local?

Ter presença no local e estar disponível 24 horas por dia é um mecanismo para garantir segurança avançada. Um representante disponível torna a segurança PHI mais confiável e garante uma resposta rápida, se necessário. Também lhe dá a tranquilidade de saber que a empresa responsável pela proteção de seus dados é totalmente versada nos padrões exigidos.

O provedor certo também deve ser rápido para se adaptar às mudanças e informá-lo sobre qualquer coisa que afete diretamente sua PHI ou seu acesso a ela.

A exclusão de dados é um componente crucial na escolha do parceiro de negócios HIPAA apropriado. Por quanto tempo as informações são mantidas por um período antes de serem eliminadas? Como o vazamento de dados é evitado quando os servidores são retirados de serviço ou apagados? Os dados são fornecidos a você antes da exclusão? A lei não oferece diretrizes sobre o período de tempo necessário, mas é um acordo que você e seu provedor devem chegar juntos.

Além de seu conhecimento, determine quão bem seu provedor em potencial é versado nos regulamentos HIPAA. As empresas de nuvem geralmente não seguem as últimas mudanças na regulamentação, e você precisa procurar aquela com dedicação consistente.

Loja ao redor. Não se contente com a primeira citação.

Muitas empresas divulgam sua segurança HIPAA, apenas para descobrir que estão aquém da medida. Faça sua pesquisa, faça perguntas e determine qual fornecedor melhor atende às suas necessidades.

O armazenamento em nuvem compatível com HIPAA é essencial

Quando se trata de proteger registros médicos na nuvem, a phoenixNAP apoiará seus esforços com a mais alta qualidade de serviço, segurança e confiabilidade.

Fornecemos uma seleção de data centers que oferecem proteção de última geração para seus arquivos médicos. Com soluções de nuvem escaláveis, garantia de 100% de tempo de atividade e recuperação de desastres incomparável, você pode ter certeza de que sua infraestrutura está em conformidade.

As certificações HIPAA podem ser confusas, complicadas e estressantes.

Você precisa confiar em seu provedor de nuvem para manter seus arquivos seguros. PhoenixNap Global IT Services lhe dará a liberdade de focar sua atenção em outras áreas de seu negócio e garantir a proteção de suas entidades e parceiros de negócios.