Sitemap

快速导航

无论事件类型如何,数据泄露对于医疗保健组织来说都是一件大事。处理违规或安全事件的后果可能是一个具有挑战性的、消耗性的并且通常是混乱的过程。来自 ID Experts 的精通隐私的人的 Radar 可帮助组织在发生数据泄露时制定事件响应计划,并在解决问题时跟踪每个步骤。网络攻击者可能会破坏网络并访问敏感数据,或者员工可能意外丢失了笔记本电脑,其中包含包含健康相关信息的文档。错误配置的服务器可能会无意中将文件暴露给组织外部的人员,流氓医院员工可能会访问患者记录并与未经授权的个人共享。所有这些事件都受一系列合规法规、州和联邦法律以及行业标准的约束;雷达使复杂的过程变得更加简单。

ID Experts 将 Radar 定位为专门为医院、诊所和健康计划等医疗机构设计的“隐私事件管理”工具。该平台侧重于 HIPAA(健康保险流通责任法案)和 HITECH(用于经济和临床健康的健康信息技术)法规以及州数据泄露通知法。

Radar 与 Co3 Systems 相似,因为这两个平台都可以帮助管理员管理数据泄露并确定识别缺陷、修复问题、通知受害者并验证问题已得到解决的步骤。Co3 Systems 高度基于向导,涵盖范围更广的法规,而不仅仅是医疗保健,而且不仅限于数据泄露。

RADAR 与其他平台的不同之处在于它执行特定事件的风险评估,例如使用 HIPAA 最终规则中的四个因素,这是联邦和州法律要求的合规性。RADAR 将这些评估规则嵌入到软件中,使隐私和合规官员更容易一致地评估每个事件。

雷达的作用
专注于防止数据泄露和泄漏的企业经常忘记为安全技术和流程失败时的最坏情况做好计划。Radar 通过允许管理员生成详细的事件响应计划来识别需要执行的每个步骤来主动解决此问题。

经理和安全团队回答有关特定安全或隐私事件的一系列问题,Radar 返回一份州法律列表,HIPAA/HITECH 法规适用于特定情况。该软件可以识别需要通知的每个人。

虽然我经常互换使用这些术语,但该平台区分了事件和违规行为。事件将是员工丢失笔记本电脑。如果有人发现丢失的笔记本电脑并暴露了患者数据,则属于违规行为。如果硬盘驱动器已加密,则丢失将仍然是一个事件,因为数据仍然是安全的。如果我指定数据未暴露(因为笔记本电脑掉入海中),Radar 会将报告标记为“仅限文档”,并且不会生成事件响应计划。如果我指出有人可能真的接触到数据(在会议中丢失笔记本电脑的情况下),那么 Radar 会生成一个响应计划。

考虑到遭受违规行为的公司必须快速响应,能够通过清晰的工作流程快速生成定制的事件响应计划意味着组织可以一致且有效地响应。该平台还使用颜色编码的密钥来识别哪些事件是高风险的,以及对 HITECH 合规性的影响。

在 Radar ID Experts 中输入事件让我可以访问 Radar 2.7,并在帐户中预先填充了一些现成的事件。登录平台后,我单击“记录新事件”按钮创建事件,记录发生的情况,然后使用报告模块。

在笔记本电脑丢失的情况下,我填写了一份详细的表格,描述了丢失的内容、数据的格式、涉及的人员以及可能影响的记录数。一些部分非常详细,例如阐明丢失的电子数据的形式(电子邮件、便携式存储 FTP 等)或违规行为是恶意还是非恶意,以及它是如何发生的。

我还确定了哪些数据元素丢失了,无论是个人识别信息 (PII)、受保护的健康信息 (PHI) 还是其他敏感信息。能够说“所有 PII”或“所有 PHI”而不是向下并单击每个复选框会很好,但这确实迫使管理员真正注意丢失了哪些数据。

我可以指出暴露的数据类型,例如姓名、健康记录、银行信息等。所有的业务都是不同的,所以我能够准确地指定我所遵守的合规性法规(或只是最佳实践),并最终制定了一个非常定制的事件计划——下一个:使用 Radar 进行事件管理

雷达事件管理


这是一个非常简单的过程,因为所有信息都是逐屏排列的。每个步骤都有有用的提示,如果我没有必要的信息,界面可以很容易地跳过部分。我总是可以返回并重新输入丢失的信息并重新创建评估。

由于雷达提供逐州评估,我还必须确定有多少受害者是哪个州的居民。从该表中收集的信息将确定该组织将遵守哪些州法律。此页面仅适用于我们正在处理实际违规行为而不是“仅文档事件”。

雷达门户
在此过程的每一步,我都可以添加注释或上传支持文件,例如补救计划、清单和报告,以创建事件的全面记录。这样,我就有了一个包含所有详细信息、注释和附件的每个安全和隐私事件的中央存储库。

有了生成的事件响应计划,我可以将任务分配给相关响应者,并查看哪些任务已完成。在指定我必须通知监管机构的部分中,有一个部分说明何时发出通知、是否决定推迟通知(以及为什么)和其他活动。任何人都可以查看计划并准确了解响应团队的位置以及当前待处理或搁置的任务。如果有人没有做他或她的工作,我可以将任务重新分配给其他人。

Radar 使用提供的信息通过计算事件的严重性以及是否需要涉及其他监管机构来绘制风险级别。如果 PII 被暴露,或者如果有任何与数据相关的财务、声誉和医疗风险级别,则会用颜色编码(红色、绿色和黄色),以便我可以看到风险是什么。

主仪表板视图列出了系统中当前的所有事件。我可以根据状态、日期以及事件分配给谁来过滤列表。在任何给定的时间点,我都可以看到一个更新的列表,其中列出了评估中已完成哪些步骤以及还有哪些工作要做。仪表板中的每个事件都有一个颜色编码的圆圈(红色、黄色、绿色、白色),以指示 HITECH 和州法律的风险级别。例如,一些事件对 HITECH 的国家影响较小,风险中等。

预先准备好的报告让我可以跟踪打开和关闭的工单、运行合规性报告并准备文件以防审计或调查。

SaaS的好处
由于它作为软件即服务提供,ID 专家可以定期更新平台,以反映法律、合规要求和行业最佳实践的变化。用户可以访问最新信息,而不必担心他们是否已升级到最新软件。登录门户,他们总是看到最新版本。当涉及违规通知时,企业不必试图记住他们需要遵守的所有不同的法律和法规。

各州的违约法各不相同。一些州要求企业提供比其他州更多的信息。需要多久通知受害者也因州而异,缅因州要求组织在 7 天内通知客户,而其他人则允许几周或几个月。

企业可以注册一个现场演示或观看网络广播来感受这个平台。年度订阅的价格从 10,000 美元到 50,000 美元不等,具体取决于用户数量、许可期限、评估中包含的州数量等因素。5,250 美元的介绍价是一个多年期许可证,适用于一名具有 HITECH 评估和一项州评估的用户。

无论最终配置如何,所有 Radar 用户都会自动获得风险评估和事件通知功能,并可以访问包含所有事件相关数据的中央存储库。用户可以使用仪表板分配和重新分配任务、通知相关方、发出警报、添加和编辑注释、标记注释以便于检索和预定义报告。附加组件包括针对状态、自定义报告和图表的基于状态的风险和通知评估,以及设置用户访问控制以控制谁可以访问哪些类型的数据。

对于一些企业来说,他们希望不需要的平台的年度订阅价格要高出 5,000 美元,这似乎很高而且没有必要。然而,这是组织现在花钱以后省钱的完美例子。数据泄露本身的成本可能相当高,最近的数据估计总成本平均为 550 万美元,其中包括法律责任、生产力受损和相关费用。花费 5,000 美元或更多,基本上将法律责任归零,因为事件响应计划可确保组织及时处理所有事情,这听起来很划算。

主动规划
组织可以使用 Radar 分析和确定违规程度,并确定下一步需要做什么。有了详细的事件计划,事件响应时间可以大大缩短,这直接转化为更少的责任和更快的缓解。因为它是一种软件即服务,组织也知道他们可以访问最新的规则,而不必花时间跟踪信息。

Radar 为企业提供了一个简单易用的界面来创建这些事件计划。Radar 使医疗保健组织的噩梦场景规划过程尽可能轻松。尽管它不像 Co3 Systems 那样广泛或流畅,但 Radar 是一种可靠的事件响应计划工具,企业可以使用它来主动准备最终的数据泄露。

所有类别: 错误修复信息