作为世界各地的Covid-19大流行蔓延,越来越多的公司要求他们的员工根据新的政府发布的法规和他们自己的福祉,从家中努力。这种前所未有的健康危机意味着,尽管过去的疑虑,许多部门必须适应新的条件,并拥抱遥控器。

采用远程工作策略的不情愿通常与组织过程的信息的敏感性有关。诸如健康和金融等行业,具有更严格的数据保护要求,具有长期反对的遥控工作。然而,由于最近的发展,许多人发现自己必须重新思考他们以前的立场并让他们的员工在家中工作。

健康信息在今天大多数国家都被认为是高度敏感的数据。在美国,它属于范围 健康保险便携性和问责法 (HIPAA)管辖受保护的健康信息(PHI)的隐私和安全,并由民权办公室(OCR)在美国卫生和人类服务部(HHS)执行。

HIPAA要求放宽虚拟医疗保健

为了回应正在进行的Covid-19大流行,HHS认识到需要医疗保健提供者对几乎通过远程通信技术的患者沟通和提供健康服务。此前没有完全符合HIPAA规则,但HHS有 宣布 他们现在允许回应当前情况。

OCR还将行使其执法自行决定,而不会在Covid-19公共卫生紧急情况下与虚拟医疗保健有关的HIPAA不合规。它还提供了一个推荐的应用程序列表,允许视频聊天,其中包括Skype,FaceTime和缩放。

HIPAA要求仍然是强制性的

虽然由于目前的紧急情况,某些规则被放宽,但值得注意的是,没有放弃HIPAA要求。这意味着虽然医疗组织在工具中可能有更大的余地,但他们使用他们收集,存储和过程的敏感健康数据必须得到保护。

HHS指出,在紧急情况下,在HIPAA范围内下降的组织必须继续实施合理的保障,以保护患者信息免于有意或无意的不受限制的使用和披露。他们还必须在HIPAA安全规则中申请详细说明的行政,物理和技术保障。

远程工作时保护健康数据

一旦医疗保健提供者决定实施远程工作计划,他们就必须确保即使在公司网络的安全性以外,也必须保护健康数据。这从设备员工开始远程使用:必须加密,密码保护,并安装了更新的防火墙和防病毒软件。

虚拟专用网络(VPN)应用于远程访问公司网络。应要求员工在每个工作日结束时断开连接,以确保其计算机不会保持连锁,而不是公司网络。

公司应该使用解决方案 数据丢失预防 (DLP)工具,以确保无法将健康数据复制到组织未批准的任何外部设备。以这种方式,潜在的恶意设备无法连接到计算机,静止数据无法被盗或以非HIPAA兼容的方式存储。

物理保护文件

在家工作也可能意味着员工可以通过邮件打印信息或接收健康信息。因此,它们是必不可少的,它们将其存放在一个安全的地方,无论是锁定的橱柜还是家庭办公室,都没有以外的方式访问。当它们不再需要他们收集的原始目的时,应撕碎或以其他方式销毁物理文件。

员工在私人空间中工作也很重要,如果没有人可以看到或听到他们正在传输或正在处理的信息。除员工本身之外,否则其他人应允许访问存储受保护的健康信息的计算机。

监控和记录健康信息

最后,应在始终监测健康数据,以确保合规性并帮助公司发现任何危险的做法,他们的员工可能会在家里工作时使用。记录健康信息的动作也是组织在OCR需要它的情况下证明合规性的方式。

资源://www.endpointprotector.com/blog/hipaa-compliance-and-covid-19/