این هفته ، دفتر حقوق مدنی ("OCR") از تسویه حساب HIPAA 3،000،000 دلاری خبر داد که ناشی از از دست رفتن یک لپ تاپ و فلش درایور غیر رمزنگاری شده توسط یک مرکز پزشکی است. (https://www.hhs.gov/hipaa/for-professionals/compliance-engment/agreements/urmc/index.html). این به سادگی جدیدترین بسیاری از شهرک های HIPAA است که مبتنی بر عدم رمزگذاری دستگاه های تلفن همراه است. شهرک های مشابه از تلفن های هوشمند گمشده یا دزدیده شده ، رایانه ها ، هارد دیسک ها یا سایر رسانه های الکترونیکی که به طور صحیح رمزگذاری نشده اند بوجود آمده اند.
رمزگذاری یک استاندارد قابل آدرس تحت قانون امنیت HIPAA است ، که به طور کلی نیاز به اشخاص تحت پوشش و همکاران تجاری دارد. "[i] سازوکاری را برای رمزگذاری و رمزگشایی اطلاعات بهداشتی محافظت شده الکترونیکی »و برای چنین داده هایی که از طریق شبکه منتقل می شود ، به" [i] مکانیزم رمزگذاری اطلاعات بهداشتی محافظت شده الکترونیکی هر زمان که مناسب می داند پیاده سازی کند. "(45 CFR 164.312 ( ) (2) (IV) و (ه) (2) (ب)). OCR استاندارد را در سؤالات متداول توضیح داد:
آیا استفاده از رمزگذاری در قانون امنیتی الزامی است؟
پاسخ: خیر. قانون نهایی امنیتی استفاده از رمزگذاری را به عنوان یک ویژگی پیاده سازی آدرس پذیر تبدیل کرده است. به 45 CFR 164.312 a (a) (2) (IV) و (e) (2) (ii) مراجعه کنید. مشخصات اجرای رمزگذاری قابل آدرس دهی است و بنابراین باید عملی شود اگر پس از ارزیابی ریسک ، نهاد تشخیص دهد که مشخصات یک حفاظت منطقی و مناسب در مدیریت ریسک خود از محرمانه بودن ، یکپارچگی و در دسترس بودن E-PHI است. اگر نهاد تصمیم بگیرد که مشخصات اجرای آدرس پذیر معقول و مناسب نیست ، باید تصدیق کند که یک معیار جایگزین معادل را تعیین کند و آن را اجرا کند ، با فرض اینکه گزینه جایگزین منطقی و مناسب باشد. اگر در غیر این صورت استاندارد رعایت شود ، نهاد تحت پوشش ممکن است تصمیم به پیاده سازی مشخصات اجرای یا معیارهای جایگزین معادل خود را بگذارد و دلیل این تصمیم را مستند سازد.
(https://www.hhs.gov/hipaa/for- متخصصان / faq / 2001 / استفاده-رمزگذاری-اجباری-در-امنیت-قانون / index.html). اگرچه رمزنگاری اجباری نیست ، شناسایی یک "معیار جایگزین معادل" از حفاظت به منظور برآورده کردن استاندارد آدرس پذیر دشوار خواهد بود.
رمزگذاری مناسب به اشخاص تحت پوشش و همکاران تجاری اجازه می دهد تا در صورت داده یا دستگاه از گزارش های نقض HIPAA جلوگیری کنند. گمشده یا دزدیده شده قانون اعلان نقض نقض فقط در مورد نقض "اطلاعات بهداشتی محافظت نشده نا امن" اعمال می شود. (45 CFR 164.404 a 454 (الف)). غیرقابل خواندن یا غیرقابل توصیف برای افراد غیرمجاز از طریق استفاده از فناوری یا روش مشخص شده توسط وزیر در هدایت صادر شده در سال [the HITECH Act].
(45 CFR 454-402). رمزگذاری که مطابق با استانداردهای HIPAA باشد "ناامن" نیست. بر این اساس ، ضرر آن نیازی به گزارش تخلف ندارد. (78 FR 5639 و 5644؛ 74 FR 42741-42 ، 42765). طبق OCR:
PHI الکترونیکی همانطور که در قانون امنیت HIPAA مشخص شده است رمزگذاری شده است "با استفاده از یک فرآیند الگوریتمی برای تبدیل داده ها به شکلی که در آن احتمال کمبود اختصاص معنی بدون استفاده از یک فرآیند محرمانه وجود دارد. یا کلید "(تعریف رمزگذاری 45 CFR 164.304) و چنین فرآیند یا محرمانه محرمانه ای که امکان رمزگشایی را فراهم می کند نقض نشده است. برای جلوگیری از نقض فرآیند یا کلید محرمانه ، این ابزارهای رمزگشایی باید در دستگاه یا در مکانی جدا از داده هایی که برای رمزگذاری یا رمزگشایی از آنها استفاده می شود ، ذخیره شوند. فرآیندهای رمزگذاری مشخص شده در زیر توسط انستیتوی ملی استاندارد و فناوری (NIST) مورد آزمایش قرار گرفته و برای رعایت این استاندارد قضاوت شده است.
- فرآیندهای رمزگذاری معتبر برای استراحت داده ها مطابق با انتشار ویژه NIST 800-111 ، راهنمای ذخیره سازی رمزگذاری است. فن آوری های دستگاه های کاربر نهایی.
- فرآیندهای رمزگذاری معتبر برای داده های در حال حرکت عبارتند از ، مطابق مناسب ، با انتشارات ویژه NIST 800-52 ، دستورالعمل های انتخاب و استفاده از لایه های امنیتی لایه حمل و نقل (TLS). 800-77 ، راهنمای IPSec VPN؛ یا 800-113 ، راهنمای SSL VPN یا سایر افرادی که دارای استاندارد های پردازش اطلاعات فدرال هستند (FIPS) 140-2 معتبر است.
(https://www.hhs.gov/hipaa/for-professionals/breach-notification/ راهنما / index.html؛ همچنین به 74 FR 42742-43) مراجعه کنید.
از طرف دیگر ، اظهارات HHS روشن می کند که ضرر یا سرقت یک وسیله رمز نشده حاوی اطلاعات بهداشتی محافظت شده به احتمال زیاد مستلزم یک گزارش نقض. ( ، به عنوان مثال ، ، 78 FR 5671) مراجعه کنید. به عنوان مثال ، HHS در اظهارنظر خود با قوانین مربوط به اخطار نقض قانون ، اظهار داشت
شایع ترین شکل از دست دادن داده ها نتیجه لپ تاپ های گمشده یا دزدیده شده و رسانه های باربری مانند دیسک های سخت است. اگر داده های مربوط به این دستگاه ها رمزگذاری شده باشد ، پس از آن تحت تعریف [Breach Notification Rule] نقض ، این رویداد نیازی به نهاد تحت پوشش یا همکار تجاری برای اطلاع رسانی به افراد آسیب دیده نخواهد داشت.
(74 FR 42765). از طرف دیگر ،
اگر لپ تاپ های حاوی اطلاعات بهداشتی محافظت نشده بیش از 500 نفر از ساکنان یک شهر خاص از یک نهاد تحت پوشش دزدیده شدند ، باید اطلاع رسانی های زیر در این بخش به رسانه های برجسته ارائه دهنده آن شهر ارائه شود [in addition to individuals and HHS].
( Id. در 42752). نکته قابل توجه ، "اگر رایانه ای از بین رفته یا به سرقت برود ، [HHS does] معقول نیست که اعلان نقض را به دلیل امید به بازیابی رایانه به تعویق بیندازید." ( Id. در 42745). علاوه بر این ، عدم گزارش به موقع دزدی یا از بین رفتن دستگاه رمز نشده ، احتمالاً "غفلت عمدی" محسوب می شود ، و در نتیجه مجازات های HIPAA اجباری از 11182 دلار به 57.051 دلار برای هر شخصی که اطلاعات آن در لپ تاپ بود ، می رسد. (45 CFR §§ 102 و 160.404 160 (). HHS در اظهارنظر با اجرای قانون ، مثال زیر از "غفلت عمدی" را ذکر كرد:
كارمند یك شركت تحت پوشش یك لپ تاپ رمزگذاری نشده را كه حاوی اطلاعات محافظت نشده بهداشتی است از دست داد. تحقیقات HHS نشان می دهد كه شركت تحت پوشش از آن می ترسد كه در صورت عمومی شدن اطلاعات در مورد این حادثه آسیب ببیند و بنابراین ، تصمیم گرفت كه مطابق آنچه كه مورد نیاز 164.400 پوند و موارد ضروری است ، آگهی را ارائه ندهیم.
(75 FR 40879).
HHS و OCR منابع بی شماری برای کمک به اشخاص تحت پوشش و همکاران تجاری در رمزگذاری صحیح داده ها فراهم می کند ، به عنوان مثال ،
با توجه به قوانین ، راهنمایی ها و تسویه حساب های گزارش شده ، هشدار مدیر OCR Serverino در آخرین نسخه مطبوعاتی باید انجام شود. به طور جدی:
از آنجا که سرقت و از بین رفتن تهدیدهای مداوم است ، عدم رمزگذاری دستگاه های تلفن همراه بی نیاز اطلاعات بهداشتی بیمار را در معرض خطر قرار می دهد … هنگامی که اشخاص تحت پوشش از کمبودهای خود هشدار داده می شوند ، اما در رفع مشکل موفق نیستند ، آنها کاملاً مسئولیت مسئولیت خود را بر عهده خواهند گرفت غفلت.
(https://www.hhs.gov/hipaa/for-professionals/compliance-engment/agreements/urmc/index.html).
