Che cos'è l'HIPAA?

L'HIPAA (Health Insurance Portability and Accountability Act) del 1996 è stato concepito per proteggere i dati sanitari o le informazioni sanitarie protette elettronicamente (ePHI). Si tratta di una legge statunitense concepita per fornire gli standard sulla privacy necessari per proteggere le cartelle cliniche dei pazienti e altre informazioni sanitarie. L'HIPAA stabilisce le definizioni di ePHI, regole e policy per l'utilizzo e la condivisione delle ePHI e le sanzioni previste per l'uso improprio o la violazione delle ePHI a parti non autorizzate. Anche se gli obiettivi originali della legge includono la gestione della privacy dei dati tramite l'accesso autorizzato e la garanzia della portabilità delle ePHI per semplificare le modifiche ai piani assicurativi, l'HIPAA ha stabilito una policy fondamentale da utilizzare in base alle esigenze del settore.

La legge è più importante che mai oggi, poiché le ePHI sono incluse nella maggior parte dei formati standard di scambio dei dati sanitari, con tutte le parti (inclusi i criminali) interessate all'accesso ai dati sensibili. Un rapporto del 2023 stilato dall'ufficio dedicato alla sicurezza delle informazioni del dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti mostra una tendenza al rialzo nel numero di violazioni di dati sanitari tra il 2012 e il 2021. Il rapporto evidenzia anche che le violazioni dei dati sanitari sono raddoppiate nei tre anni precedenti. Gli istituti sanitari e gli enti associati, come le compagnie di assicurazioni, devono tutelare le informazioni sanitarie protette (PHI) di cui dispongono, il che rende queste organizzazioni un bersaglio allettante per i criminali informatici. Gli attacchi informatici contro il settore sanitario includono l'insidiosa minaccia di ransomware e problemi di sicurezza dei dati, che spesso iniziano con accessi non autorizzati e la mancanza di controlli degli accessi basati sul privilegio minimo.

Nozioni fondamentali sulle HIPAA

L'HIPAA è stata emanata il 21 agosto 1996, tuttavia, da allora, la normativa ha subito diverse aggiunte importanti, tra cui le regole sulla sicurezza, sulla privacy e sulla notifica delle violazioni, oltre alla direttiva Omnibus. L'HHS regola l'HIPAA, ma l'Ufficio per i diritti civili (OCR) applica l'HIPAA.

Illustrazione che definisce i componenti del sistema di conformità HIPAA.

Nella sezione relativa alla semplificazione amministrativa, l'HIPAA viene definito tramite diversi componenti, tra cui:

Transazioni e standard di set di codici
Standard di identificazione
Regola sulla privacy
Regola sulla sicurezza
Regola sulle operazioni di applicazione
Regola sulla notifica delle violazioni

Insieme, queste regole e questi standard rappresentano i riferimenti da tenere presente per la protezione delle ePHI.

In che modo Akamai aiuta un'organizzazione a rispettare la conformità all'HIPAA?

La protezione delle ePHI è il fulcro della conformità all'HIPAA. Le soluzioni per la sicurezza di Akamai forniscono intelligence e sistemi di protezione end-to-end per proteggere i dati finanziari da violazioni ed esposizioni accidentali. Akamai aiuta i vostri team addetti alla sicurezza ad ottimizzare l'efficacia e il ROI dei vostri investimenti nella sicurezza andando oltre il tradizionale rilevamento degli endpoint per fornire una potente soluzione Zero Trust per la sicurezza e la privacy dei dati.

Akamai offre:

Una piattaforma di sicurezza globale che attiva la sicurezza Zero Trust con una copertura completa del vostro ambiente IT
Una profonda visibilità su risorse, accessi e flussi di rete
Applicazione granulare delle policy di sicurezza configurate dal cliente

In che modo l'HIPAA influisce sulla vostra organizzazione?

Qualsiasi ente sanitario, inclusi i collaboratori aziendali che gestiscono i dati sanitari, deve rispettare le rigorose regole sulla sicurezza e sulla privacy dei dati previste dall'HIPAA. Se la vostra organizzazione rientra nell'ambito dell'HIPAA, dovrete rispettare le normative relative all'accesso e alla gestione delle PHI. Se un'entità interessata viola le regole sulla sicurezza e sulla privacy dell'HIPAA, è vincolata comunque dalle regole sulla notifica delle violazioni. Se più di 500 utenti sono colpiti da una violazione, la notifica dell'incidente deve essere trasmessa all'OCR. I dettagli sulla violazione vengono elencati su un sito web pubblico consultabile, ossia sul portale BREACH contenente un avviso al segretario del reparto HHS sulla violazione delle informazioni sanitarie protette non protette.

I tipi specifici di organizzazioni interessati dall'HIPAA includono:

_Ospedali

La regola sulla privacy dell'HIPAA impone agli ospedali di fornire chiare spiegazioni sui diritti alla privacy dei pazienti. Inoltre, la sicurezza è un componente essenziale per la protezione dei dati dei pazienti poiché vige la regola dell'HIPAA 45 cfr 164.502(b), 164.514(d), che stabilisce esplicitamente il requisito secondo cui le entità interessate devono "… valutare le proprie pratiche e migliorare le misure di salvaguardia necessarie per limitare l'accesso non necessario o inappropriato alle informazioni sanitarie protette e la loro divulgazione".

Gli ospedali, pertanto, devono disporre di misure tali da ridurre al minimo il rischio di accesso non autorizzato ai dati. Un approccio alla sicurezza Zero Trust all'accesso ai dati fornisce il sistema necessario per mitigare i rischi per le PHI all'interno di un ospedale.

_{Collaboratori aziendali}

Un collaboratore aziendale, ai sensi dell'HIPAA, è definito come qualsiasi azienda che "crea, riceve, gestisce o trasmette informazioni sanitarie protette (PHI)" per conto di un'entità interessata, tra cui aziende come fornitori di software, provider di servizi cloud e agenzie di fatturazione. I collaboratori aziendali sono tenuti a proteggere e mantenere la riservatezza, l'integrità e l'accessibilità delle PHI tramite sistemi di protezione e misure tecniche. Le misure di sicurezza per identificare i rischi e proteggere le PHI sono un requisito dell'HIPAA. Una piattaforma Zero Trust fornisce visibilità su un ecosistema di dati ampliato per applicare solide misure di sicurezza allo scopo di rafforzare la protezione dagli accessi non autorizzati ai dati.

I vantaggi apportati alla sicurezza e alla privacy dalla conformità all'HIPAA

L'HIPAA dispone di rigorose misure di protezione per garantire la sicurezza e la privacy delle ePHI. L'applicazione dei principi dell'HIPAA offre una serie di vantaggi alle entità e ai pazienti interessati. Tra i vantaggi più importanti, figurano i seguenti:

Migliora la privacy dei pazienti: l'accesso alle informazioni personali e sensibili sulla salute dei pazienti è limitato solo a coloro che ne hanno bisogno. In alcuni casi, i pazienti devono fornire il proprio consenso per la condivisione dei propri dati sanitari.

Applica l'accesso basato sui ruoli e i principi del privilegio minimo: i dati sono disponibili solo per coloro che ne hanno bisogno. La sicurezza Zero Trust può aiutare ad applicare questi principi.

Richiede una solida autenticazione: l'HIPAA richiede che tutte le entità interessate implementino una solida autenticazione per aiutare ad applicare le policy di controllo degli accessi.

Protegge dai malware: il ransomware attacca ospedali e altri istituti sanitari, rendendoli vulnerabili le loro ePHI. La conformità all'HIPAA protegge dall'infezione causata dai malware.

Le soluzioni di Akamai per la conformità all'HIPAA

Akamai offre una gamma completa di soluzioni in grado di garantire la sicurezza Zero Trust per soddisfare e mantenere la conformità all'HIPAA. I nostri clienti considerano le soluzioni per la sicurezza di Akamai come le migliori in circolazione e, in particolare, i nostri clienti del settore sanitario le utilizzano per proteggere le ePHI e per applicare i principi del privilegio minimo e rigorosi controlli degli accessi. La gamma delle soluzioni per la sicurezza di Akamai si è evoluta passando da una serie di singoli prodotti ad una piattaforma Zero Trust completa e potente. Le eccellenti soluzioni di Akamai forniscono controlli di sicurezza in grado di supportare le regole sulla sicurezza e sulla privacy dell'HIPAA che riguardano vari aspetti: sicurezza, disponibilità, integrità, riservatezza e privacy dei dati. Akamai offre una visibilità approfondita sul vostro ambiente IT e sulla vostra infrastruttura ampliata per includere i collaboratori aziendali.

Akamai Cloud: la nostra piattaforma edge e cloud ampiamente distribuita per il cloud computing, la sicurezza e la delivery dei contenuti. La piattaforma Akamai Cloud è progettata per garantire che le entità incluse nell'HIPAA possano utilizzare il cloud computing e rimanere conformi.

Akamai Identity Cloud: privacy e sicurezza sono integrate nell'Akamai Identity Cloud in fase di progettazione. La soluzione fornisce una gestione delle identità altamente scalabile e gestisce casi di utilizzo complessi: Identity Cloud archivia i dati dei clienti in modo altamente sicuro, applicando i principi del privilegio minimo per mitigare gli attacchi informatici. Inoltre, la soluzione dispone di una gestione dei consensi integrata per rispettare le normative, tra cui HIPAA, GDPR, CCPA, PIPEDA e molte altre.

Chi deve conformarsi all'HIPAA

HHS divide le entità incluse nell'HIPAA in tre classi:

Aziende sanitarie: sono inclusi medici, ospedali, dentisti e farmacie
Piani sanitari: sono inclusi piani sanitari aziendali e compagnie di assicurazioni sanitarie
Centri di smistamento sanitari: organizzazioni che elaborano informazioni sanitarie non standard che provengono da un'altra entità

La protezione delle PHI è ampliata dalla regola Omnibus per includere qualsiasi collaboratore aziendale che gestisce i dati sanitari.

Quali informazioni sono protette dall'HIPAA?

Le informazioni sanitarie protette elettronicamente (ePHI) ai sensi delle normative HIPAA si riferiscono a dati sanitari o informazioni sanitarie di identificazione personale: L'HIPAA include 18 "identificatori", che rappresentano i diversi tipi di dati di identificazione inclusi nell'HIPAA, tra cui nomi dei pazienti, indirizzi e-mail, codici fiscali, cartelle cliniche elettroniche (EHR), cartelle cliniche, dati biometrici e così via. È richiesta l'autorizzazione del paziente per rilasciare i record contenenti questi dati.

Le ePHI sono escluse dai controlli dell'HIPAA se possono essere deidentificate tramite lo " standard di deidentificazione riportato nell'HIPAA Sezione 164.514(a) della relativa regola sulla privacy.

Regola di sicurezza dell'HIPAA

Qualsiasi entità inclusa nell'HIPAA che crea, riceve, utilizza o gestisce le PHI deve attenersi alla regola di sicurezza dell'HIPAA. La regola include esplicitamente le protezioni amministrative, fisiche e tecniche che garantiscono la riservatezza, l'integrità e la sicurezza delle ePHI. Tra le misure di salvaguardia tecniche che aiutano ad aderire all'HIPAA e a proteggere le PHI, figurano le seguenti:

Controllo degli accessi alle ePHI
Autenticazione di persone o entità
Sicurezza della trasmissione, ad esempio crittografia

Altre disposizioni sulla sicurezza includono la formazione e la consapevolezza della conformità dei dipendenti e le misure di protezione degli accessi fisici.

La regola sulla privacy dell'HIPAA

La regola sulla privacy dell'HIPAA, aggiunta a dicembre 2000 e aggiornata ad agosto 2002, fornisce il sistema di privacy necessario per proteggere le informazioni sanitarie di identificazione personale da parte delle entità interessate e per controllare la divulgazione delle informazioni sanitarie protette. Anche i dati associati sono inclusi nella regola sulla privacy, ad esempio:

Condizioni fisiche o mentali nel passato, presente e futuro
Il trattamento per una condizione
Informazioni di pagamento relative al trattamento

L'HIPAA è correlato all'HITECH Act?

L'HIPAA e l'HITECH Act (Health Information Technology for Economic and Clinical Health Act) si occupano della protezione delle ePHI. Tuttavia, l'HITECH espande i requisiti di conformità della crittografia dell'HIPAA e la divulgazione delle violazioni di dati relativi alle PHI "non protette" (non crittografate). Ciò significa che i pazienti possono richiedere di ricevere un avviso in caso di divulgazione delle proprie PHI.

HIPAA e notifiche di violazione

L'HIPAA dispone di una regola sulla notifica delle violazioni che definisce cosa attiva una notifica di violazione nell'ambito delle violazioni incluse in questa normativa. Le regole di base per la notifica delle violazioni sono:

Violazioni che interessano 500 o più persone: le entità interessate devono inviare una notifica al segretario senza ingiustificato ritardo entro 60 giorni dalla violazione.
Violazioni che interessano meno di 500 persone: le entità interessate possono inviare una notifica al segretario una volta all'anno, ma entro 60 giorni dalla fine dell'anno in cui si è verificata la violazione.

La regola sulla notifica delle violazioni si trova nell'HIPAA 45 cfr §§ 164.400-414.

Violazioni e sanzioni incluse nell'HIPAA

Le sanzioni in caso di mancata conformità all'HIPAA possono arrivare a 50.000 dollari per ogni violazione dell'HIPAA e includere sanzioni penali.

Domande frequenti (FAQ)

L'HIPAA è l'acronimo di Health Insurance Portability and Accountability Act, un documento fondamentale della legislazione statunitense emanata nel 1996, che è stato stilato dall'ufficio dedicato alla sicurezza delle informazioni del dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti per stabilire gli standard nazionali per la protezione e la gestione riservata delle informazioni sanitarie elettroniche protette (ePHI).

L'obiettivo principale dell'HIPAA è salvaguardare la privacy e la sicurezza delle informazioni sanitarie, in particolare delle informazioni archiviate in formato digitale, in quanto stabilisce un quadro giuridico e gli standard normativi necessari per proteggere le informazioni sanitarie sensibili dei pazienti dalla divulgazione senza il consenso o la conoscenza del paziente, affrontando, al contempo, le crescenti preoccupazioni degli attacchi informatici nel settore sanitario.

L'HIPAA protegge le ePHI, che comprendono tutte le informazioni relative allo stato di salute, alla fornitura delle cure sanitarie o al pagamento dei servizi sanitari che possono essere collegati a un individuo, tra cui un'ampia gamma di identificatori, come nomi, indirizzi, cartelle cliniche e codici fiscali dei pazienti, per garantire la loro riservatezza, integrità e sicurezza.

Le informazioni non protette dall'HIPAA includono i dati sanitari deidentificati, in cui i singoli identificatori sono stati rimossi, rendendo impossibile collegare le informazioni a specifici individui. Inoltre, non sono protetti i dati detenuti da organizzazioni che non rientrano nell'HIPAA, come datori di lavoro o compagnie di assicurative del ramo vita, e le informazioni condivise dai pazienti al di fuori del contesto sanitario.

Dimostrare la conformità all'HIPAA implica l'implementazione di una serie completa di misure di sicurezza, tra cui controllo degli accessi, crittografia dei dati e valutazioni periodiche dei rischi. Le organizzazioni devono anche fornire un'adeguata formazione ai dipendenti, stabilire policy e procedure per la gestione delle ePHI e mantenere una documentazione sulle loro attività di conformità. In caso di violazioni o verifiche, essere in grado di presentare queste prove è fondamentale per dimostrare il rispetto delle normative dell'HIPAA.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere le loro attività senza rischi.

Prodotti correlati

Akamai Guardicore Segmentation

Visualizzazione, protezione e segmentazione di ambienti on-premise, cloud e ibridi.

Ulteriori informazioni

API Security

Proteggete tutte le vostre API da attacchi e furti di dati sempre più frequenti.

Ulteriori informazioni

Risorse aggiuntive

Risultati del CAF raggiunti nel settore pubblico del Regno Unito grazie alle soluzioni per la sicurezza di Akamai

Akamai aiuta le organizzazioni a conseguire i risultati delineati nel Cyber Assessment Framework (CAF) del Regno Unito, offrendo loro soluzioni resilienti. Scoprite come possiamo aiutarvi.

Ulteriori informazioni

Descrizione del DORA (Digital Operational Resilience Act)

Ley de resiliencia operativa digital: preparación de las entidades financieras para el cumplimiento de DORA con Akamai

Scoprite come Akamai può aiutare le istituzioni finanziarie a gestire in modo efficace i problemi di conformità.

Ulteriori informazioni

Accelerazione della conformità PCI e convalida continua con Akamai Guardicore Segmentation

Akamai Guardicore Segmentation soddisfa diversi requisiti PCI DSS con un unico strumento, fornendo visibilità ai revisori e aiutando i team di risposta agli incidenti a rilevare eventuali violazioni.

Ulteriori informazioni

Semplificazione della conformità NERC CIP con Akamai Guardicore Segmentation

Un piano per la creazione di un'architettura Zero Trust

La soluzione Akamai Guardicore Segmentation può aiutare le organizzazioni già conformi allo standard NERC CIP, semplificando e migliorando il loro approccio alla conformità.

Ulteriori informazioni