Somos una empresa de TI para el cuidado de la salud. Mi máquina tiene PHI. Nuestro contratista de TI le preguntó verbalmente si podía hacer una conexión remota para arreglar mi impresora, así que lo dije seguro. Esperaba algún tipo de aviso para permitirlo, pero él acababa de entrar. Supongo que algún tipo de VNC.
¿Está bien? En lo que respecta a HIPAA?
HIPAA no llega a los detalles específicos de la política, la esencia de esto es que la organización debe tener controles suficientes para proteger los datos. No hay nada intrínsecamente incorrecto con una adquisición espontánea desde una perspectiva HIPAA, siempre que haya otros controles (autenticación, autorización, listas de control de acceso, registro de acceso y auditoría, antimalware en la PC de soporte, acuerdos legales vigentes entre la organización de soporte y su organización, etc) están en su lugar.
Entonces, sin saber qué tiene su organización en cuanto a políticas de seguridad de TI, procesos y procedimientos, no hay forma de saberlo.
En cuanto a si las adquisiciones no solicitadas son una buena cosa, entonces no, no lo son. Realmente desea recibir una advertencia cuando alguien se está apoderando de su PC para obtener asistencia, o incluso mirando su pantalla.
En realidad, no ha proporcionado suficientes detalles para decir de una manera u otra. El hecho de que no haya visto un mensaje de autenticación no impide que haya uno.
Las herramientas de acceso remoto Yo que uso en mi trabajo (que también se relacionan con HIPAA) requieren que me autentique con las credenciales de administrador de mi dominio y no solicito a los usuarios que acepten la conexión, porque Los configuró de esa manera.
Uso de la reexpresión preferida del autor en el comentario:
¿Está bien que nuestro contratista de soporte de TI tenga la capacidad de realizar una conexión remota sin autorización?
En circunstancias normales, sí.
Hablemos sobre las palabras clave específicas.
Remoto : Suponiendo que no trabaje desde su casa, recuerde que los administradores de TI pueden sentarse en su silla al final del día e iniciar sesión en sus estaciones de trabajo, instalar actualizaciones y reiniciar la imagen de su computadora después de que abandone la empresa. Ya tienen acceso total a su computadora y pueden (normalmente) ver todo lo que contiene. Es posible que también tengan acceso a las bases de datos de la empresa y los registros de salud, por lo que probablemente no haya nada que puedan ver en su pantalla durante una sesión remota a la que no tendrían acceso fuera de la sesión remota, si decidieran hacerlo. mirarlo. Si ese es el caso, pedir su permiso antes de tomar el control de su computadora podría considerarse más una cortesía que un requisito legal.
Contratista : Muchos contratistas trabajan como una extensión de la compañía, y tienen que firmar NDA, HIPAA divulgaciones, asistir a la capacitación y seguir las mismas reglas y leyes con respecto a la seguridad, privacidad y ética que hacen todos los empleados. Incluso en una situación en la que no se le pidió a un contratista que firmara nada, eso no les daría permiso para violar la ley.
Nota : estas declaraciones son generalizaciones que pueden aplicarse a la industria de la salud, pero no necesariamente a todas las industrias. Por ejemplo, en la industria de la defensa, es posible que no permita que una persona de TI acceda de forma remota a una máquina sin la interacción del usuario en caso de que el usuario esté viendo un documento que se encuentre por encima del nivel de autorización de la persona de TI. (Aunque esto no es un problema si hay salas dedicadas con máquinas específicamente para ver documentos de alto secreto).
Depende en gran medida del país en el que estés viviendo, ya que es más una cuestión legal. En algunos estados, este enfoque es legalmente correcto si lo firmó en su contrato de trabajo, otros prohíben este procedimiento completamente debido a la política de privacidad.
Estoy totalmente en desacuerdo con la respuesta que dice: " HIPAA no llega a los detalles de la política ". Si bien no le dirán cómo escribir o crear una política, sí reciben una orientación MUY específica. Aquí está el imparcial, hechos para responder a su pregunta. Las reglas sobre los requisitos de HIPAA, salvaguardias administrativas, físicas y técnicas, obligan a los requisitos básicos de seguridad y privacidad:
Identificación y autenticación
Es fundamental que el personal de TI del centro de salud sepa quién está accediendo a su red, software y sistemas, y que la persona o La entidad que obtiene acceso es la reclamada. HIPAA, 45 CFR Parte 164.312 (d) .3
Su proveedor y su organización violan los mandatos de HIPAA, ya que HIPAA requiere el uso de ID de usuario únicas. Usted declaró que se conectó sin credenciales. Esto responde a su pregunta sin necesidad de ir más allá, pero más adelante iremos.
Controles de auditoría
Un profesional de TI de la salud querrá crear, almacenar y proteger Archivos de registro apropiados de todas las actividades sensibles a la seguridad que toman lugar durante una sesión remota. HIPAA, 45 CFR Parte 164.312 (b) .6 In Además, HIPAA requiere que una entidad cubierta "revise periódicamente los registros de la actividad del sistema de información, tales como registros de auditoría, informes de acceso, e informes de seguimiento de incidentes de seguridad ". HIPAA, 45 CFR 164.308 (a) (1) (ii) (D). En virtud de la Ley HITECH, un paciente puede solicitar una contabilidad de revelación de una entidad cubierta básicamente preguntando "quién tiene visto mi información de salud "por hasta los 3 años anteriores. HIPAA, 45 CFR 164.528 (a) y la Ley HITECH, 13405 (c). ... debe proporcionar una auditoria Rastro de inicios de sesión e intentos de inicio de sesión. HIPAA, 45 CFR 164.308 (a) (5) (ii) (C)
Usted declaró que un proveedor inició sesión sin credenciales, fuera de las notas verbales (lo que no significa nada en un tribunal de justicia) ¿qué tipo de auditoría se realizó a través de registros? Incluso si usted DID tiene un registro del evento, ¿con quién lo va a asociar?
Bueno, no. Si él puede entrar sin autorización, cualquiera puede entrar sin autorización. Sin embargo,
1) Le proporcionaste una autorización legal. Esto no es lo mismo que la autorización técnica. Si llamara a alguien y le pidiera ayuda y él lo hiciera de forma remota y no sé cómo entró para hacerlo, yo también estaría nervioso.
2) Su soporte de TI probablemente tiene algún tipo de acceso remoto ya configurado. Esto es conveniente por muchas razones. Sin embargo, aquí es muy importante saber cómo funciona .
3) Si el método de acceso remoto no proporciona registros, no cumple con HIPAA.
Lea otras preguntas en las etiquetas remote-desktop hipaa