HIPAA Betydning
HIPAA er et akronym, der står for Health Insurance Portability and Accountability Act.
Denne amerikanske lov er udformet med henblik på at fastsætte standarder for beskyttelse af patienters patientjournaler. Sundhedsoplysninger, der gives til sundhedsplaner, hospitaler, sundhedsudbydere og læger, bør alle være beskyttet af HIPAA.
Hvad er HIPAA-overholdelse?
Overholdelse af HIPAA (Health Insurance Portability and Accountability Act) er i overensstemmelse med de fysiske, administrative og tekniske sikkerhedsforanstaltninger, der er beskrevet i HIPAA.
Hvordan bliver du HIPAA-kompatibel?
Der er mange ting, der skal opnås for at blive HIPAA-kompatibel.
Siden den 104. amerikanske kongres vedtog den og præsident Bill Clinton underskrev loven den 21. august 1996, er der sket fire større ændringer:
- Ændringen af sikkerhedsreglen (2003)
- Ændringen af Privacy Rule (2003)
- Reglen om anmeldelse af brud (2009)
- Den endelige omnibusregel (2013)
Tjekliste for overholdelse af HIPAA 2022: HIPAA-regler

Teknisk beskyttelse
- Kryptering af netværk: Alle ePHI skal opfylde NIST-krypteringsstandarderne, når de overføres over et eksternt netværk.
- Kontrol/log adgang: Hver bruger skal tildeles et centralt styret unikt brugernavn og en PIN-kode. Der kræves detaljeret logning for at spore al adgang til ePHI (og forsøg på at få adgang).
- Automatisk afmelding: Brugere skal logges af efter en bestemt tidsramme, som anbefales mellem 30 sekunder og 3 minutter.
Fysisk beskyttelse
- Kontrol af adgang: Personer, der har fysisk adgang til datalagring, bør overvåges nøje. Der skal træffes rimelige foranstaltninger for at forhindre uautoriseret adgang.
- Administrer arbejdsstationer: Der skal udarbejdes en politik, som beskriver, hvilke arbejdsstationer der kan få adgang til sundhedsdata, og hvilke der er begrænset adgang til. Den bør beskrive, hvordan en skærm skal beskyttes mod parter og hensigtsmæssig brug af arbejdsstationen.
- Beskytte og spore: Hvis en mobilenhed bruges af en bruger og derefter overdrages til en anden bruger, skal der skrives en politik for mobile enheder, som fjerner data, før enheden overdrages til en anden bruger.
Administrative beskyttelsesforanstaltninger
- Risikovurderinger: Der bør foretages en omfattende risikovurdering for alle sundhedsdata.
- Togpersonale: Alle medarbejdere bør uddannes i alle protokoller for adgang til ePHI og forstå, hvordan de kan identificere og genkende potentielle cybersikkerhedstrusler som f.eks. phishing-angreb. Alle uddannelsesmøder bør registreres og opbevares.
- Opbygning af uforudsete udgifter: Løbende forretningskontinuitet skal opnås ved at forberede processer til at beskytte data.
- Blokadgang: Kontroller, at underleverandører og andre parter ikke har fået adgang og ikke kan se ePHI. Der bør indgås forretningsaftaler med alle partnere.
- Dokumenter sikkerhedshændelser: Enhver sikkerhedshændelse skal erkendes af personalet, og personalet skal indberette hændelser.
HIPAA-regler om beskyttelse af personlige oplysninger
- Svar på anmodninger: Anmodninger om patientadgang skal besvares inden for 30 dage.
- Informer patienterne: En NPP er forpligtet til at informere patienterne om politikker for datadeling.
- Togpersonale: Alle medarbejdere skal have en uddannelse i beskyttelse af personlige oplysninger og skal forstå, hvad der kan og ikke kan deles internt og eksternt.
- Integritet af ePHI: Der skal tages passende skridt til at bevare integriteten af ePHI og patienternes individuelle personlige identifikatorer.
- Tilladelse til at bruge ePHI: Der skal gives tilladelse fra patienten til at bruge redigerede ePHI til forskning eller markedsføring.
- Opdatering af formularer/kopiering: Autorisationsformularer bør indeholde henvisninger til ændringer i behandlingen af skolevaccinationer, ePHI-begrænsning med hensyn til lukning af sundhedsplaner og patienters rettigheder til deres elektroniske journaler.
HIPAA-reglen om anmeldelse af brud på HIPAA
- Underret patienterne: Patienterne og HHS-afdelingen skal gøres opmærksom på ethvert brud på ePHI. Hvis mere end 500 personers registre er blevet krænket, skal medierne underrettes. Hvis overtrædelsen er på under 500, skal der indsendes en formular til mindre hackerangreb via OCR’s websted. Alle anmeldelser skal være afsluttet senest 60 dage efter, at de er blevet opdaget.
- 4 Elementer: Meddelelser om brud på sikkerheden skal indeholde fire elementer, som omfatter: En beskrivelse af de ePHI og personlige identifikatorer, der er involveret i bruddet, hvem der fik uautoriseret adgang, om detaljerne blev set eller erhvervet, og i hvor høj grad det er lykkedes at mindske risikoen.
HIPAA Omnibus Rule
- Opdater BAA: Du skal opdatere dine Business Associate Agreements (BAA) for at afspejle ændringerne i Omnibus-reglen.
- Send nye eksemplarer: Nye kopier af BAA’en skal sendes og underskrives for at overholde reglerne.
- Opdatering af privatlivspolitik: Politiker om beskyttelse af personlige oplysninger skal opdateres for at afspejle ændringerne i Omnibus-reglen.
- Moderniser NPPS: HIPAA-journalen anbefaler, at “NPP’er skal opdateres for at dække de typer oplysninger, der kræver en tilladelse, retten til at fravælge korrespondance til fundraisingformål og skal tage højde for de nye krav om notifikation af brud”.
- Togpersonale: Alle medarbejdere skal være bekendt med Omnibus-reglen gennem grundig uddannelse.
Sundhedstjenester i USA har nogle af de strengeste standardkrav på verdensplan. Elektroniske patientoplysninger (ePHI) er beskyttet af lovgivningen, der blev indført med Health Insurance Portability and Accountability Act fra 1996. HIPAA og de efterfølgende ændringer af Security Rule og Privacy Rule fastsætter strenge kontrolforanstaltninger for ePHI.
HIPAA-lovgivningen kræver derfor, at der indføres en række fysiske, administrative og tekniske sikkerhedsforanstaltninger, inden ePHI hostes. Disse foranstaltninger har resulteret i, at mange sundhedspersoner outsourcer IT-tjenester til HIPAA-kompatible hostingudbydere, mange med det formål at fremskynde den digitale transformation og forbedre cloud VPS-samarbejdsmulighederne.
Sundhedssektoren og cloud VPS-computing har en dynamisk synergi og et virkelig banebrydende potentiale. Det er muligt, at streng lovgivning tidligere har bremset udbredelsen af cloud VPS-tjenester. I dag vokser integrationen af sundhedssektoren i skyen imidlertid i et betydeligt tempo.
Hvad skal du kigge efter, når du vælger din HIPAA-hostingudbyder? Her er vores observationer om, hvorfor sundhedsorganisationer går over til skyen.
1. Sikkerhed
Bedste praksis for sikkerhed er det, som HIPAA-lovgivningen handler om. Alle forordningerne har det ene formål at sikre ePHI. Det er den eneste grund til, at HIPAA findes. Hostingpartnere har et ansvar for at levere en kompatibel, sikker og robust infrastruktur.
Hostingudbyderen og tredjeparter inden for anvendelsesområdet skal indgå en aftale om forretningsforbindelser (BAA). Dette gør alle parter ansvarlige for at forstå, hvilke systemer og hvilke geografiske steder ePHI-data er hostet, overført og opbevaret. ePHI-data skal til enhver tid være sikret under transport og i hvile.
Medarbejdernes adgang kontrolleres, revideres og vedligeholdes konstant ved hjælp af princippet om mindste privilegier. Fysisk bygningskontrol er påkrævet for at kontrollere adgangen til og fra datacentre, der huser ePHI. Nogle cloud VPS-hostingudbydere tager sikkerheden til det næste niveau ved at kryptere alle HIPAA-data, selv om dette kun er en anbefaling i lovgivningen.
Cloud VPS-udbyderens administratorer er ansvarlige for sikkerhedsopdateringer, firmwareopdateringer og aktiviteter til scanning og afhjælpning af sårbarheder. Opdateret antivirus i virksomhedskvalitet er en nødvendighed, ligesom et IPS-system (Intrusion Prevention System), der logger, reviderer og automatiserer svar 24/7 til et team af sikkerhedseksperter.
Sundhedspersonalet kan bruge HIPAA-sikkerhed-as-a-service og tilslutte sig direkte til hostingudbyderens sikkerhedsplatform. Dette er en stor fordel for sundhedsorganisationen og en af de vigtigste grunde til, at outsourcing til en HIPAA-udbyder er så populær.
2. Virksomhedskontinuitet og katastrofeberedskab
HIPAA-sikkerhedsreglen tilføjede en række detaljerede krav til planlægning af forretningskontinuitet og katastrofeberedskab. Reglen kræver, at der udvikles en proces, som skal følges i tilfælde af en krise eller et katastrofescenarie.
Der bør også gennemføres en plan for datagendannelse. Dette er et program til sikkerhedskopiering og beskyttelse af systemer, der indeholder ePHI. Dette opnås ved hjælp af en foruddefineret backupplan og replikationsmuligheder, som tidligere er aftalt i BAA’en. Data replikeres normalt til mindst ét andet datacenter.
Der udarbejdes en katastrofeberedskabsplan (DRP), som dækker hostingudbyderens tekniske og administrative ansvar. Dette omfatter evnen til at overdrage centrale forretningstjenester til en alternativ lokation i tilfælde af en katastrofal fejl og evnen til at gendanne og få adgang til ePHI-data fra backup.
Al kontinuitetsplanlægning skal testes og revideres mindst en gang om året. Hvis der ikke findes nogen plan, før du samarbejder med en HIPAA-hostingpartner, skal der foretages en analyse af forretningsmæssige konsekvenser, som identificerer og prioriterer kritiske it-komponenter, der er omfattet af planen.
Planlægning af forretningskontinuitet og katastrofeberedskab er afgørende for HIPAA-overholdelse, men det er svært at opnå den tekniske kompleksitet i forbindelse med at skabe en redundant, fejlsikker platform internt. Dette er en anden vigtig grund til, at outsourcing er så populært. HIPAA-hostingpartnere har allerede infrastrukturen på plads, og sundhedsorganisationerne skal blot tilslutte sig tjenesten.
3. Samarbejde
HIPAA-regulerede applikationer er designet til at dele ePHI mellem autoriserede brugere og autoriserede systemer. Deling af data åbner et enormt potentiale for samarbejde. Denne mulighed fremskynder diagnosen dramatisk og giver lægerne et samarbejdsorienteret og fleksibelt arbejdsmiljø.
Datainteroperabilitet og sikker cloud computing gør det muligt for sundhedsorganisationer at forblive relevante på den moderne arbejdsplads. Det åbner døren til nye muligheder for at yde bedre patientpleje. Flere teams kan arbejde på de samme projekter samtidig, kommunikationen forbedres gennem messaging-tjenester, 5G-datakommunikation og værktøjer til samarbejde.
API-platforme gør det muligt for applikationer at udveksle data og dele oplysninger på sikker vis. Teams på forskellige geografiske steder kan samarbejde på afstand. Medicinske applikationer kan dele ePHI for at fremskynde diagnosticeringsprocessen.
Kliniske supportteams har stor gavn af at dele medicinske oplysninger. Fælles medicinske billeder, historiske testresultater eller oplysninger om familiens historie forbedrer i høj grad kvaliteten af behandlingen. Medicinsk udstyr kan kobles direkte til cloud-tjenester og straks dele medicinske resultater, røntgenbilleder eller patientens pulsmålinger.
Ud over alle disse muligheder kan tingenes internet kombineret med datasamarbejde bruges til at skabe enorme datasæt. Disse data kan analyseres af platforme med kunstig intelligens og maskinlæring, der leder efter tendenser og er i stand til at analysere store mængder data på ingen tid. Det giver lægerne mere tid til at behandle patienterne i stedet for at gennemgå bunker af papirarbejde.
4. Skalerbarhed
En anden stor fordel ved HIPAA-hosting er cloud-tjenesternes skalerbarhed. Hospitaler, klinikker og sundhedspraksis modtager store mængder data. Dataene gemmes digitalt på en sikret platform, der kan skaleres op og beskytte dataenes integritet.
Medicinske grupper vokser i størrelse, og hostingudbyderen skal vokse med dig. Compute- og netværksplaner kan opgraderes med minimal påvirkning, og ressourcer kan tilføjes til servere med et klik på en knap.
Et eksempel er databasehosting. Cloud-native databaser eliminerer kompleksiteten ved databaseadministration og kan hurtigt og billigt opskaleres, ofte efter behov.
Hostingudbyderen administrerer hele cloud-tjenesten, hvilket gør det unødvendigt at have en it-afdeling på stedet til at administrere og vedligeholde system- eller databaseopgraderinger. Leverandøren er ansvarlig for levering af software, sikkerhedsrettelser og eventuelle problemer, samtidig med at der opnås en 100 % serviceniveauaftale.
5. Erfaring
En hostingudbyder med omfattende erfaring med at levere HIPAA-kompatible cloud-tjenester kan være forskellen mellem en problemfri og vellykket cloud-migrering eller en vanskelig oplevelse med en stejl indlæringskurve, hvilket ikke er ideelt, når man overvejer HIPAA-overholdelse for nystartede virksomheder. Det er yderst ønskeligt at vælge en hostingpartner, der er HIPAA-kompatibel, en organisation, der regelmæssigt revideres og offentliggør sine reviderede resultater i den offentlige sektor.
Erfaring giver en række vigtige tjenester til gode. Overholdelse er en enormt vigtig faktor. Kig efter andre akkrediteringer som SOC 2 TYPE II- og SOC 3 TYPE II-certificeringer og HITECH-overholdelse. Dette er med til at garantere, at HIPAA-hostingudbyderen er blevet revideret af en kvalificeret uafhængig tredjepart og kan dokumentere, at han er forpligtet til at levere den bedste it-sikkerhed og hosting i overensstemmelse med reglerne.
Med en erfaren udbyder er der større sandsynlighed for, at du kan nå de førende SLA-mål (Service Level Agreements), Recovery Time og Recovery Point-mål. Dette er en enorm fordel i katastrofesituationer. Den tekniske support fra udbyderen vil sandsynligvis også være betydeligt bedre, hvis de har leveret HIPAA-tjenester i lang tid.