Rumah sakit, klinik, dan organisasi kesehatan lainnya mengalami jalan bergelombang menuju adopsi cloud selama beberapa tahun terakhir. Risiko keamanan tersirat dari penggunaan cloud publik atau bekerja dengan penyedia layanan pihak ketiga sangat menunda adopsi cloud di industri perawatan kesehatan.
Bahkan saat ini, ketika 84% organisasi layanan kesehatan menggunakan layanan cloud, pertanyaan tentang memilih penyedia cloud yang sesuai dengan HIPAA dapat memusingkan.
Semua penyedia layanan kesehatan yang data kliennya disimpan di AS tunduk pada serangkaian peraturan yang dikenal sebagai kepatuhan HIPAA
Saat ini, setiap organisasi yang menangani data rahasia pasien harus mematuhi persyaratan penyimpanan HIPAA.
Standar HIPAA memberikan perlindungan data kesehatan. Setiap vendor yang bekerja dengan organisasi perawatan kesehatan atau bisnis yang menangani file kesehatan harus mematuhi aturan privasi HIPAA. Ada juga banyak industri pendukung yang harus mematuhi pedoman jika mereka memiliki akses ke data medis dan pasien. Di sinilah penyimpanan cloud HIPPA Compliant memainkan peran penting.
Pada tahun 1996, “Departemen Kesehatan dan Layanan Kemanusiaan A.S. (“HHS”) mengeluarkan Aturan Privasi untuk menerapkan persyaratan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) tahun 1996.” Aturan Privasi membahas “informasi kesehatan elektronik yang dilindungi” pasien dan bagaimana organisasi, atau “entitas yang dilindungi HIPAA” yang tunduk pada Aturan Privasi harus mematuhi.
Sebagian besar institusi kesehatan menggunakan beberapa bentuk perangkat elektronik untuk memberikan perawatan medis. Ini berarti bahwa informasi tidak lagi berada di bagan kertas, tetapi di komputer atau di cloud. Tidak seperti bisnis umum atau kebanyakan entitas komersial, institusi kesehatan secara hukum diwajibkan untuk menerapkan praktik pencadangan data yang paling andal.
Jadi, bagaimana hal ini memengaruhi pilihan penyedia cloud mereka?
Saat merencanakan perpindahan mereka ke komputasi awan, institusi perawatan kesehatan perlu memastikan vendor mereka memenuhi kriteria keamanan tertentu.
Kriteria ini diterjemahkan ke dalam persyaratan dan ambang batas yang harus dipenuhi dan dipertahankan oleh perusahaan agar siap untuk HIPAA. Ini mencakup serangkaian sertifikasi, audit dan pelaporan SOC, tingkat enkripsi, dan fitur keamanan fisik.
Solusi penyimpanan cloud HIPAA harus bekerja untuk membuat kepatuhan menjadi sederhana dan mudah. Dengan cara ini, organisasi layanan kesehatan memiliki satu hal yang tidak perlu dikhawatirkan dan dapat fokus pada peningkatan proses kritis mereka.
Penyedia layanan cloud yang melakukan bisnis dengan perusahaan yang beroperasi di bawah aturan undang-undang HIPAA-HITECH dianggap sebagai rekan bisnis. Dengan demikian, itu harus menunjukkan bahwa itu dalam standar kepatuhan cloud dan mengikuti standar yang relevan. Meskipun vendor tidak secara langsung menangani informasi pasien, vendor menerima, mengelola, dan menyimpan Informasi Kesehatan yang Dilindungi (PHI). Fakta ini saja membuat mereka bertanggung jawab untuk melindunginya sesuai dengan pedoman tindakan HIPAA-HITECH.
Menjadi patuh HIPAA berarti menerapkan semua aturan dan peraturan yang diusulkan Undang-Undang. Setiap vendor yang menawarkan layanan yang tunduk pada tindakan tersebut harus memberikan dokumentasi sebagai bukti kesesuaiannya. Dokumentasi ini perlu dikirim tidak hanya kepada klien mereka tetapi juga ke Kantor Hak Sipil (OCR). OCR adalah sub-lembaga dari Departemen Pendidikan A.S., yang mempromosikan akses yang sama ke program layanan kesehatan dan layanan manusia.
Organisasi industri perawatan kesehatan yang ingin bekerja dengan Penyimpanan cloud yang Sesuai dengan HIPAA penyedia harus meminta bukti kepatuhan untuk melindungi diri mereka sendiri. Jika penyedia mengikuti semua standar, seharusnya tidak ada keraguan untuk membagikan dokumentasi yang sesuai dengan Anda.
Persyaratan HIPAA untuk organisasi hosting awan sama dengan persyaratan untuk rekan bisnis. Mereka terbagi dalam tiga kategori berbeda:pengamanan administratif, fisik, dan teknis.
Menyediakan perangkat keras atau perangkat lunak penyimpanan file yang sesuai dengan HIPAA tidak sesederhana membalik sakelar. Dibutuhkan banyak waktu dan upaya bagi perusahaan untuk menjadi patuh.
Elemen penting yang harus dicari dalam penyedia penyimpanan cloud bersertifikat HIPAA adalah kesediaannya untuk membuat Perjanjian Asosiasi Bisnis. Dikenal sebagai BAA, perjanjian ini diselesaikan antara dua pihak yang berencana untuk mengirim, memproses, atau menerima PHI. Tujuan utamanya adalah untuk melindungi kedua belah pihak dari akibat hukum apa pun yang mengakibatkan penyalahgunaan informasi kesehatan yang dilindungi.
Perjanjian Rekanan Bisnis BAA tidak boleh menambah, mengurangi, atau bertentangan dengan standar keseluruhan HIPAA. Namun, jika kedua belah pihak setuju, penambahan terminologi tertentu dapat diterima. Ada juga beberapa persyaratan inti yang menjadi dasar bagi perjanjian rekan bisnis yang patuh dan harus tetap ada agar kontrak dianggap mengikat secara hukum.
Tingkat enkripsi yang diaktifkan oleh penyedia cloud membutuhkan perhatian yang tepat. Perusahaan harus mengenkripsi file tidak hanya dalam perjalanan tetapi juga saat istirahat. Advanced Encryption Standard (AES) adalah tingkat enkripsi minimum yang harus digunakan untuk penyimpanan dan berbagi file. AES adalah penerus Data Encryption Standard (DES) dan dikembangkan oleh National Institute of Standards and Technology (NIST) pada tahun 1997. Ini adalah algoritme enkripsi canggih yang menawarkan peningkatan pertahanan terhadap berbagai insiden keamanan.
Saat memilih penyedia yang sesuai dengan HIPAA, cari Hosting web HIPAA yang memenuhi langkah-langkah yang diuraikan di bagian sebelumnya. Pastikan Anda bertanya kepada mereka tentang praktik keamanan penyimpanan data mereka hingga seberapa aman data PHI Anda nantinya.
Apakah vendor potensial menawarkan perjanjian tingkat layanan?
Kontrak SLA menunjukkan waktu respons yang dijamin terhadap ancaman, biasanya dalam jangka waktu dua puluh empat jam. Sebagai perusahaan yang mentransmisikan PHI, Anda perlu mengetahui seberapa cepat penyedia dapat memberi tahu Anda jika terjadi insiden. Semakin cepat Anda menerima pemberitahuan pelanggaran, semakin efisien Anda dapat merespons.
Jangan lupa bahwa penyimpanan rekam medis elektronik berbasis cloud harus berada di pusat data yang aman.
Apa langkah-langkah keamanan di tempat jika terjadi insiden? Bagaimana akses ke fasilitas ditentukan? Mintalah garis besar rinci tentang bagaimana mereka menerapkan dan menegakkan keamanan fisik. Periksa bagaimana mereka merespons jika terjadi pelanggaran data. Pastikan Anda mendapatkan semua detail yang relevan sebelum membawa data Anda ke risiko.
Vendor yang Anda pilih juga harus memiliki Disaster Recovery and Continuity Plan .
Rencana kesinambungan akan mengantisipasi kerugian akibat bencana alam, pelanggaran data, dan insiden tak terduga lainnya. Ini juga akan menyediakan proses dan prosedur yang diperlukan jika atau ketika peristiwa tersebut terjadi. Mengenai praktik terbaik pencegahan kehilangan data, penting juga untuk menentukan seberapa sering metode yang diusulkan menjalani pengujian yang ketat.
Penyedia cloud yang memperhatikan kepatuhan dengan serius akan memastikan sertifikasi mereka terkini. Ada beberapa cara untuk memeriksa apakah mereka mengikuti standar dan peraturan yang relevan.
Salah satu caranya adalah dengan mengaudit calon penyedia Anda menggunakan pihak independen. Audit akan membawa risiko apa pun yang mungkin menjadi perhatian Anda dan mengungkapkan taktik keamanan vendor. Penyimpanan cloud untuk penyedia rekam medis harus secara teratur mengaudit sistem dan lingkungan mereka untuk mengamankan ancaman agar tetap patuh. Istilah 'secara teratur' tidak didefinisikan oleh undang-undang tersebut, jadi penting untuk meminta dokumentasi dan informasi setidaknya setiap tiga bulan. Anda juga harus memastikan bahwa Anda memiliki akses konstan ke laporan dan dokumentasi yang merinci audit terbaru.
Cara lain untuk menentukan apakah perusahaan patuh adalah dengan menilai kualifikasi karyawannya. Semua staf perlu dididik tentang standar terbaru dan dibiasakan dengan perlindungan khusus. Hanya dengan ini, organisasi dapat mencapai kepatuhan.
Ajukan pertanyaan sulit kepada vendor potensial Anda. Siapa pun yang memiliki akses ke PHI memerlukan pelatihan yang sesuai tentang metode transmisi data yang aman. Pelatihan perlu mencakup kemampuan untuk mengenkripsi informasi pasien dengan aman di mana pun mereka disimpan.
Perusahaan yang mematuhi HIPAA tidak akan meminta Anda untuk pintu belakang untuk mengakses data Anda atau izin untuk melewati protokol manajemen akses Anda. Vendor tersebut menyadari risiko memerlukan otentikasi tambahan atau titik akses. Mengganggu akses ke protokol autentikasi dan persyaratan sandi merupakan pelanggaran serius dan tidak boleh terjadi.
Tanyakan kepada calon vendor cloud metode mana yang mereka gunakan untuk mengevaluasi kepatuhan HIPAA Anda.
Apakah template kebijakan HIPAA tersedia untuk digunakan? Apakah penyedia menawarkan panduan dan umpan balik tentang kepatuhan? Bagaimana mereka memastikan bahwa Anda mengetahui dan mengetahui aturan dan peraturan keamanan? Apakah mereka menawarkan email yang sesuai dengan HIPAA?
Apakah perusahaan memiliki karyawan tetap di lokasi?
Kehadiran di lokasi dan tersedia sepanjang waktu adalah mekanisme untuk memastikan keamanan tingkat lanjut. Perwakilan yang tersedia membuat keamanan PHI lebih andal dan menjamin respons cepat jika diperlukan. Ini juga memberi Anda ketenangan pikiran mengetahui bahwa perusahaan yang bertanggung jawab atas perlindungan data Anda benar-benar berpengalaman dalam standar yang disyaratkan.
Penyedia yang tepat juga harus cepat beradaptasi dengan perubahan dan memberi tahu Anda tentang apa pun yang secara langsung memengaruhi PHI atau akses Anda ke PHI.
Penghapusan data merupakan komponen penting dalam memilih rekan bisnis HIPAA yang sesuai. Berapa lama informasi disimpan selama satu periode sebelum dihapus? Bagaimana kebocoran data dicegah saat server dihentikan atau dihapus? Apakah data diberikan kepada Anda sebelum dihapus? Undang-undang tersebut tidak memberikan pedoman mengenai jangka waktu yang diperlukan, tetapi ini adalah kesepakatan yang harus Anda dan penyedia Anda capai bersama.
Selain pengetahuan Anda, tentukan seberapa baik penyedia potensial Anda memahami peraturan HIPAA. Perusahaan cloud sering kali gagal mengikuti perubahan peraturan terbaru, dan Anda harus mencarinya dengan dedikasi yang konsisten.
Melihat-lihat. Jangan puas dengan kutipan pertama.
Banyak perusahaan menggembar-gemborkan keamanan HIPAA mereka, hanya untuk mengetahui bahwa mereka gagal dalam mengukur. Lakukan riset, ajukan pertanyaan, dan tentukan vendor mana yang paling sesuai dengan kebutuhan Anda.
Dalam hal melindungi catatan medis di cloud, phoenixNAP akan mendukung upaya Anda dengan kualitas layanan, keamanan, dan keandalan tertinggi.
Kami menyediakan pilihan pusat data yang menawarkan perlindungan mutakhir untuk file medis Anda. Dengan solusi cloud yang skalabel, jaminan uptime 100%, dan pemulihan bencana yang tak tertandingi, Anda dapat yakin bahwa infrastruktur Anda sesuai.
Sertifikasi HIPAA dapat membingungkan, rumit, dan membuat stres.
Anda harus dapat memercayai penyedia cloud Anda untuk menjaga keamanan file Anda. Layanan TI Global PhoenixNap akan memberi Anda kebebasan untuk memusatkan perhatian Anda pada area lain dari bisnis Anda dan memastikan perlindungan entitas dan rekan bisnis Anda.
Komputasi awan
Label Lantai Gudang Perekat di Fasilitas Pekerjaan Pendukung Pondasi Ketika integritas struktural rumah atau bangunan terganggu, Foundation Supportworks, Inc. mencari kontraktor yang berpengalaman dan berpengetahuan untuk membantu pemilik properti memperbaiki fondasi mereka yang rusak. Jadi ke mana
Peraturan ekspor merupakan pertimbangan penting untuk setiap bisnis AS yang mengirimkan barang secara internasional. Bagi perusahaan-perusahaan yang bekerja di industri yang berhubungan dengan pertahanan dan aplikasi militer, kebutuhan akan pengawasan dan kontrol yang tepat bahkan lebih besar. Ada b
Awan terdistribusi adalah salah satu tren terbaru dalam komputasi awan, jenis penyebaran yang memungkinkan pengguna untuk menyebarkan satu awan publik di lokasi yang berbeda. Tidak seperti cloud hybrid dan bahkan beberapa penyiapan multi-cloud, cloud terdistribusi memungkinkan bisnis untuk sepenuhny
Menyimpan data di cloud menghilangkan kebutuhan untuk membeli, mengelola, dan memelihara infrastruktur penyimpanan internal. Terlepas dari kemudahan ini, kurangnya kontrol atas data berbasis cloud tetap menjadi masalah umum bagi bisnis, meskipun keamanan penyimpanan cloud biasanya lebih unggul darip
