Data Kesehatan yang Dapat Diidentifikasi Secara Pribadi, karena sifatnya yang sensitif, selalu dianggap sebagai kategori khusus data pribadi, dan selalu berada di bawah yurisdiksi peraturan perlindungan data yang ketat. Di Amerika Serikat, Health Insurance Portability and Accountability Act (HIPAA) tahun 1996 dan Health Information Technology for Economic and Clinical Health Act (HITECH) tahun 2009 adalah dua peraturan yang bersama-sama melindungi informasi kesehatan pribadi pasien.
Dengan organisasi layanan kesehatan yang harus mematuhi HIPAA dan HITECH yang menghadapi denda regulasi hingga $1,5 juta per tahun karena ketidakpatuhan, pelanggaran dapat berakibat sangat serius. Seiring dengan terus meningkatnya serangan siber terhadap industri kesehatan, seperti ransomware dan phishing, informasi kesehatan yang dilindungi (PHI) yang disimpan secara elektronik sangat rentan. Kebocoran data, pelanggaran data, dan pencurian data di sektor kesehatan sering kali menjadi sorotan media.
Untuk membantu program kepatuhan, sektor teknologi keamanan siber memiliki berbagai solusi keamanan data. Di antara ini, perangkat lunak Data Loss Prevention (DLP) muncul sebagai komponen penting dalam strategi kepatuhan untuk memastikan privasi data dan keamanan informasi. Berikut adalah cara-cara bagaimana alat DLP membantu dalam kepatuhan HIPAA.
Tinjauan Singkat tentang HIPAA
Departemen Kesehatan dan Layanan Manusia (HHS) melalui Kantor Hak Sipil (OCR) menegakkan HIPAA. Peraturan ini mengatur penggunaan dan pengungkapan PHI yang sah serta menjamin privasi, keamanan, dan integritasnya.
PHI merujuk pada informasi pribadi, seperti nama, alamat, nomor Jaminan Sosial, catatan medis, dll., yang jika diketahui dapat menyebabkan identifikasi pasien atau klien organisasi yang harus mematuhi HIPAA. Berbeda dengan GDPR, HIPAA tidak berlaku secara ekstrateritorial, yang berarti hanya berlaku di dalam Amerika Serikat.
Data elektronik termasuk dalam kategori electronic protected health information (ePHI), yang diatur dalam HIPAA Security Rule. Amandemen ini mengatur kemajuan teknologi medis.
Perusahaan yang diharuskan mematuhi HIPAA ada dua jenis:
- Entitas yang Dilindungi (Covered Entities) – Ini mencakup organisasi yang mengumpulkan, membuat, atau mentransmisikan PHI (misalnya penyedia layanan kesehatan, penyedia asuransi kesehatan, dll.).
- Asosiasi Bisnis (Business Associates) – Organisasi atau individu yang berhubungan dengan PHI saat memberikan layanan yang telah dikontrak oleh entitas yang dilindungi. Misalnya, seorang akuntan yang memberikan layanan kepada entitas yang dilindungi dan membutuhkan akses ke PHI saat memberikan layanan tersebut.
HIPAA semakin diperkuat dengan diperkenalkannya HITECH, yang memperkenalkan denda bertingkat berdasarkan pelanggaran yang secara signifikan meningkatkan hukuman yang dapat dikenakan oleh OCR. HITECH juga mewajibkan asosiasi bisnis untuk melindungi PHI baik secara fisik maupun elektronik.
DLP untuk Kepatuhan HIPAA
DLP bekerja dengan cara memantau, mendeteksi, dan memblokir data sensitif agar tidak keluar dari titik akhir organisasi, layanan cloud (termasuk aplikasi SaaS), dan titik keluar lainnya. Fungsionalitasnya berbeda-beda antar solusi. Untuk membantu mencapai kepatuhan HIPAA, carilah fitur-fitur berikut ini setidaknya:
- Kemampuan untuk memindai dan mengidentifikasi PHI di sistem untuk melihat seluruh data sensitif, termasuk ekstraksi metadata dari berbagai jenis file untuk membantu klasifikasi data.
- Penegakan kebijakan keamanan melalui tindakan perbaikan, seperti mengenkripsi atau menghapus data yang disimpan.
- Kesadaran konten yang secara kontekstual memindai data yang meninggalkan titik akhir melalui aplikasi cloud, USB drive, atau email, dan memastikan data yang bergerak tidak melanggar aturan HIPAA.
Pengguna akhir, baik karena kesalahan manusia maupun ancaman dari dalam (insider threats), adalah sumber utama kebocoran dan eksfiltrasi data yang mengarah pada denda besar karena pelanggaran HIPAA. Alat DLP yang mengamankan informasi sensitif di sistem titik akhir yang berinteraksi setiap hari dengan pengguna akhir sangat berguna.
5 Cara DLP Membantu Kepatuhan HIPAA
- Pemantauan dan pelaporan PHI Solusi DLP memungkinkan perusahaan untuk memantau ePHI secara waktu nyata. Perangkat lunak seperti Endpoint Protector oleh CoSoSys menawarkan profil HIPAA yang sudah ditentukan, yang mencakup basis data untuk obat-obatan yang diakui FDA, perusahaan farmasi, kode ICD-10 dan ICD-9, dan leksikon diagnosis bersama dengan informasi yang dapat mengidentifikasi pribadi (PII) seperti Nomor Asuransi Kesehatan, Nomor Jaminan Sosial, alamat, dll.
- Memblokir transfer PHI melalui internet HIPAA mengharuskan semua PHI dilindungi dan hanya dapat diakses berdasarkan kebutuhan. PHI tidak dapat keluar dari lokasi organisasi kecuali jika dienkripsi atau dikirimkan ke saluran yang aman dan terotorisasi. Dengan semakin banyaknya penggunaan layanan pihak ketiga yang tidak sah untuk transfer data, risiko ketidakpatuhan sangat tinggi.
- Membatasi akses ke PHI Melalui kemampuan eDiscovery, perangkat lunak DLP dapat memindai semua titik akhir di jaringan perusahaan dan mengidentifikasi di mana PHI disimpan. Ketika ditemukan di komputer personel yang tidak sah, tindakan perbaikan seperti penghapusan atau enkripsi dapat dilakukan.
- Mengontrol transfer PHI pada perangkat portabel Cara lain di mana data sensitif dapat disalahgunakan adalah melalui penggunaan perangkat portabel. Solusi DLP memberikan perusahaan kemungkinan untuk membatasi atau sepenuhnya memblokir penggunaan perangkat portabel berdasarkan kriteria seperti jenis perangkat atau nomor seri.
- Memastikan enkripsi PHI Bahkan pada perangkat yang dipercaya oleh staf yang sah, masih ada bahaya kehilangan atau pencurian PHI karena perangkat seperti USB sangat portabel. Untuk memastikan kejadian seperti perangkat portabel yang terlupakan atau dicuri tidak membahayakan kepatuhan HIPAA, beberapa solusi DLP menawarkan enkripsi otomatis untuk data yang dipindahkan ke perangkat USB.
Meskipun solusi DLP merupakan bagian penting dari strategi komprehensif yang sukses untuk kepatuhan HIPAA dan HITECH, Anda sebaiknya melengkapinya dengan alat keamanan tradisional seperti perangkat lunak antivirus, firewall, dll., serta solusi modern lebih lanjut seperti enkripsi dan Mobile Device Management (MDM).
Apakah organisasi Anda harus mematuhi HIPAA untuk melindungi PHI atau PCI DSS untuk mengamankan nomor kartu kredit, DLP menjadi solusi wajib dalam alur kerja kepatuhan. Tidak hanya dapat menghindari denda yang mahal, tetapi salah satu keuntungan utama dari alat DLP adalah bagaimana mereka meningkatkan tingkat kepercayaan pelanggan bahwa Anda selalu melindungi data pribadi mereka dengan baik.
