Ano ang HIPAA compliance para sa small business?

Ang HIPAA ay ang Health Insurance Portability and Accountability Act. Para sa isang maliit na negosyo, ang pagsunod sa HIPAA ay nangangahulugang paglalagay ng mga makatwirang proteksyon para mapangalagaan ang protected health information, madalas na tinatawag na PHI, at pagsunod sa mga patakaran kung paano ginagamit, ibinabahagi, iniimbak, at ina-access ang impormasyong iyon.

Hindi lahat ng maliliit na negosyo ay kailangang sumunod sa HIPAA. Kadalasan, nalalapat ito sa mga healthcare provider, health plan, healthcare clearinghouse, at maraming outside vendor na humahawak ng PHI para sa kanila. Ang mga outside vendor na iyon ay madalas na tinatawag na business associates.

Sa simpleng paliwanag, ang pagsunod sa HIPAA ay hindi isang produktong binibili, at hindi rin ito isang beses lang na checklist. Ito ay tuloy-tuloy na paraan ng pagpapatakbo ng negosyo mo upang maingat na mapangasiwaan ang impormasyon ng pasyente, malinaw na maitala, at maprotektahan ito habang nagbabago ang iyong mga sistema at mga tauhan.

Kung ang iyong negosyo ay nangongolekta, nag-iimbak, nagpapadala, o tumitingin ng impormasyon sa kalusugan ng pasyente, puwedeng maapektuhan ng HIPAA ang pang-araw-araw mong trabaho. Kasama rito ang mga bagay na gaya ng email, mga sistema sa pag-schedule, mga tool sa billing, pag-iimbak at pagbabahagi ng file, mga laptop, telepono, mga backup, at kung sino sa team mo ang nakakakita ng ano.

Para sa isang maliit na klinika o negosyong may kinalaman sa healthcare, ang panganib ay madalas hindi lang isang malaking cyber event. Maaari rin itong maging mga simpleng pagkakamali, gaya ng pagpapadala ng impormasyon sa maling tao, paggamit ng mahihinang password, pag-iwan ng mga lumang device na walang sapat na proteksyon, o hindi paglilimita sa access para sa mga dating empleyado.

Mahalaga rin ang HIPAA dahil maaaring asahan ng mga customer, partner, at insurer na ipapakita mong seryoso mong tinatanggap ang privacy. Ang magagandang gawi sa compliance ay makakatulong para manatiling maayos, mabawasan ang mga maiiwasang pagkakamali, at mas madali mong masagot ang mga tanong mula sa mga partner o regulator. Nag-iiba-iba ang mga requirement ayon sa industriya at estado, kaya maaaring magkaiba ang eksaktong obligasyon mo.

Ang maayos na pagsunod sa HIPAA ay kadalasang nagsisimula sa pag-alam kung saan nakatira ang impormasyon ng pasyente. Ibig sabihin, tukuyin ang mga computer, telepono, software, email account, cloud tools, at mga papel na file na ginagamit ng iyong negosyo, at unawain kung sino ang may access.

Pagkatapos, maglalagay ka ng mga praktikal na proteksyon sa paligid ng impormasyong iyon. Mga karaniwang halimbawa: malalakas na password, multi-factor authentication na tinatawag na MFA, na nagdaragdag ng pangalawang hakbang kapag nag-a-sign in; device encryption; regular na software updates; kontroladong access ng user; secure na backups; at mga nakasulat na prosedur para sa mga karaniwang sitwasyon.

Kailangan mo rin ang mga tao at proseso, hindi lang teknolohiya. Dapat sanayin ang staff sa mga batayang tungkol sa privacy, dapat may mga patakaran ang negosyo mo na tumutugma sa aktuwal mong paraan ng trabaho, at dapat alam mo kung ano ang gagawin kapag may nangyaring mali. Ang isang mahusay na managed IT services provider, madalas na tinatawag na MSP, ay makakatulong sa isang maliit na negosyo na i-set up at i-support ang mga sistemang ito, pero maaaring kailanganin din ng legal at compliance na payo.

Kapag nakikipag-usap ka sa isang MSP, maaari kang makarinig ng mga terminong parang teknikal. Ang managed IT services ay nangangahulugang tuloy-tuloy na suporta para sa mga computer, device, software, at sistema mo. Ang MSP ay isang kumpanyang nagbibigay ng ganitong tuloy-tuloy na suporta.

Ang MFA, o multi-factor authentication, ay tumutulong protektahan ang pag-a-login sa pamamagitan ng paghingi ng higit pa sa password. Ang EDR ay endpoint detection and response. Ang endpoint ay isang device tulad ng laptop, desktop, o telepono, at ang EDR ay software na tumutulong makakita ng kahina-hinalang aktibidad sa mga device na iyon. Ang patching ay ang pag-install ng mga update na nag-aayos ng mga bug o mga isyu sa seguridad.

Ang RMM ay remote monitoring and management. Ito ay software na ginagamit ng maraming MSP para bantayan ang kalusugan ng mga device, mag-apply ng mga update, at mag-support ng mga sistema nang malayuan. Ang service level agreement, o SLA, ay bahagi ng kontrata na nagpapaliwanag ng mga oras ng pagtugon at mga kondisyon ng suporta. Ang vCIO, o virtual Chief Information Officer, ay isang tagapayo sa labas na tumutulong sa pagpaplano at pagba-budget para sa IT.

Para sa backups, maaari mong marinig ang terminong 3-2-1 backup. Ibig sabihin, mag-iingat ng 3 kopya ng mahalagang data, sa 2 magkakaibang uri ng storage, at 1 kopya ang itinatago sa labas ng site (offsite). Maaari mo rin marinig ang iba pang mga terminong pang-compliance. Ang PCI ay tumutukoy sa mga patakaran para sa industriya ng pagproseso ng pagbabayad (payment cards) para sa mga negosyong humahawak ng card payments. Ang SOC 2 ay isang reporting framework na ginagamit ng ilang software vendors para ipakita kung paano nila pinapamahalaan ang mga kontrol sa seguridad. Iba ang mga ito sa HIPAA, pero minsan lumalabas din ang mga ito nang sabay depende sa negosyo mo.

Ang isang maliit na negosyo na patungo sa mas matitibay na gawi sa HIPAA ay madalas nagre-review ng parehong operasyon at teknolohiya. Ang layunin ay hindi bumili ng lahat ng tool na nasa merkado. Ang layunin ay siguraduhin na ang aktuwal mong setup sa totoong mundo ay tumutugma sa mga tunay mong panganib, laki ng staff, at workflow.

Kung hindi ka sigurado kung saan magsisimula, makakatulong ang gumawa ng simpleng listahan ng iyong mga device, software, provider ng email, storage ng file, paraan ng backup, mga role ng staff, at anumang outside vendor na humahawak ng impormasyon ng pasyente. Nagbibigay iyon ng mas malinaw na larawan bago ka makipag-usap sa isang IT provider o compliance advisor.

Kung gusto mo ng tulong para maunawaan ang iyong mga opsyon, NodeBridge IT can help you find ang isang independent na managed IT provider. Hindi kami kumpanya ng IT at hindi namin ina-access ang iyong mga sistema. Nagbibigay kami ng gabay na pang-edukasyon at libreng matching batay sa mga pangangailangan ng iyong negosyo.

Pwede mo ring mag-browse ng mas maraming answers na madaling basahin, o alamin kung paano karaniwang naka-structure ang managed IT services para sa maliliit na negosyo.