Hvad er HIPAA-overholdelse?
Health Insurance Portability and Accountability Act (HIPAA) fra 1996 dækker alle amerikanske sundhedsvæsenets enheder, der håndterer elektroniske patientoplysninger (ePHI). Den reglerne for overholdelse af HIPAA er strenge og kræver overholdelse af en række tekniske, administrative, fysiske og personlige sikkerhedsforanstaltninger, som alle håndhæves af det amerikanske sundhedsministerium (HHS).
HIPAA-kompatibel cloud computing
HIPAA-kompatibel cloud computing skaber et unikt sæt udfordringer for amerikanske sundhedsorganisationer, og mange medicinske fagfolk vælger at outsource dette ansvar til en cloud hostingpartner.
Det er obligatorisk at overholde HIPAA-reglerne om sikkerhed og beskyttelse af personlige oplysninger, og en underskrevet Business Associate Agreement (BAA) skal indgås mellem alle enheder.
Tekniske sikkerhedsforanstaltninger
Disse fokuserer på implementering af kontrol af cloud-infrastruktur for at beskytte ePHI. Obligatoriske krav omfatter adgangskontrol for godkendte brugere af platformen, der forventes brug af unikke brugernavne og håndhævelse af en stærk passwordpolitik, der anvender Multifaktor-autentifikation (MFA) og adgangskontrollister anbefales kraftigt.
Alle ePHI skal krypteres i transit (netværk) og i hvile (lagring) ved hjælp af mindst AES256-krypteringsstandarden. Der er mange revisionskontroller, der er nødvendige for enhver hardware, software eller infrastruktur, der behandler ePHI. Det er nødvendigt at aktivere funktioner som f.eks. forbedret logning, revision af brugeradgang, revision af tilladelser og systembrug.
Al cloud-infrastruktur skal være i overensstemmelse med passende niveauer af firmware- og softwaresikkerhedsopdateringer (patching). Denne fremgangsmåde begrænser cloud computing-tjenesternes eksponering for sårbarheder i operativsystemer og databrud.
Alle BAA-enheder har et ansvar for at beskytte integriteten af ePHI-data. Teknisk kontrol af dataene sikrer, at de ikke tilgås, ændres eller ødelægges på en uautoriseret måde. SIEM-platforme (Security Information Event Management) er konfigureret til at kontrollere og advare om alle ændringer af ePHI, og alarmerne overvåges og eskaleres efter behov.
Fysiske sikkerhedsforanstaltninger
Der er indført fysiske sikkerhedsforanstaltninger for alle BAA-enheder, især i forbindelse med fysiske faciliteter (bygninger), brug af arbejdsstationer og etikette for elektroniske enheder. Der er indført bygningskontrol for at kontrollere medarbejdernes adgang til bygninger, serverrum og faciliteter, der indeholder ePHI. Hovedformålet er at forhindre manipulation eller tyveri af ePHI-data. Enhver adgang kan spores og rapporteres 24/7.
Det omfatter også udarbejdelse og afprøvning af en katastrofeberedskabsstrategi (DR), hvis primære mål er at kunne genoprette adgangen til ePHI i tilfælde af en større hændelse. Almindelige scenarier omfatter adgang til et alternativt DR-kontrolcenter og en teknisk DR-løsning, der er hostet i andre lokaler.
Enhver person eller enhed, der udfører funktioner eller aktiviteter på vegne af en omfattet enhed, som kræver, at forretningspartneren har adgang til PHI, betragtes som en forretningspartner, ifølge HHS. Denne person eller organisation kan også levere tjenester til en omfattet enhed. Eksempler herpå er en konsulent, der foretager en gennemgang af sygehusets anvendelse af oplysningerne, eller en advokat, der har adgang til PHI, når han yder juridiske tjenester til en sundhedsudbyder.
Health IT Security
Enhedsetikette er et udfordrende, men obligatorisk krav i HIPAA, og det omfatter alle digitale enheder, arbejdsstationer/servere og digitale medier. Alle computerterminaler er som standard beskyttet med foranstaltninger, der omfatter automatiske låseskærme og software til at forhindre kopiering af data fra en USB-stik.
Der indføres yderligere kontrol af, hvordan der tages backup af cloud computing-infrastrukturen, herunder politikker for datalagring, replikeringskrav og hardware redundans. Der er ekstra regler for, hvordan data og medier skal destrueres, normalt ved certificeret destruktion.
Administrative sikkerhedsforanstaltninger
Dette er de politikker og procedurer, der regulerer BAA-enhedens arbejdsstyrke. Kravene omfatter foranstaltninger til gennemførelse af en risikovurdering, risikostyring og håndhævelse af rapportering og beredskabsplanlægning.
Hver BAA-enhed udpeger dedikerede HIPAA-ansvarlige medarbejdere, som fører tilsyn med hele overensstemmelseslandskabet. Sikring af, at alle aftalte processer dokumenteres og løbende revideres. Andre opgaver såsom rapportering, passwordstyring, overvågning af login og tildeling af uddannelsesplaner er udført.
BAA-enhederne skal vide, hvilke ePHI der opbevares, og hvor ePHI’erne befinder sig i infrastrukturen. Brugerne skal have passende adgang til ePHI for at kunne udføre deres arbejde, men adgangen skal kontrolleres og overvåges. Adgangsrettigheder bør altid tildeles efter princippet om mindste privilegier.
Beskyttelse af privatlivets fred og håndhævelse
Reglerne om beskyttelse af privatlivets fred og håndhævelse er den lim, der binder HIPAA-lovgivningen sammen. Reglerne om beskyttelse af personlige oplysninger definerer, hvordan ePHI kan behandles, anvendes eller videregives af alle BAA-enheder. Reglen om beskyttelse af privatlivets fred understøtter mange af de ovennævnte administrative garantier, som udgør en fremtrædende politik for beskyttelse af privatlivets fred.
Hvad er beskyttede sundhedsoplysninger?
PHI henviser til alt, hvad der vedrører sundhed, behandling eller fakturering. Det er alt, der kan identificere en patient, herunder:
- Navn
- Datoer (f.eks. fødselsdato, dato for behandling)
- Beliggenhed (gadeadresse, postnummer osv.)
- Kontaktnumre (telefonnummer, fax osv.)
- Webkontaktoplysninger (e-mail, URL eller IP)
- Identifikationsnumre (socialsikringsnummer, kørekort, sygesikringskonto, VIN osv.)
- Fysiske identitetsoplysninger (foto, fingeraftryk osv.)
Patienterne har ret til at se de sundhedsoplysninger, der opbevares om dem, og personalet er uddannet i privatlivspolitikken, og der er indført foranstaltninger til at afhjælpe overtrædelser af reglen – f.eks. afskedigelsessager. Alle BAA-enheder har et ansvar for at sikre, at der ikke sker nogen videregivelse af ePHI, men hvis der sker brud, skal der følges en streng overtrædelsesproces.
Hvis en medarbejder i en virksomhed overtræder HIPAA-bestemmelserne, selv utilsigtet, kan virksomheden blive idømt en bøde på op til 1,5 millioner dollars (det årlige loft pr. virksomhed). Nogle af de mest almindelige overtrædelser omfatter ePHI med manglende oplysninger, enheder, der undlader at underskrive BAA’en, brug af bærbare computere til opbevaring af ePHI og bortkast af fortrolige sundhedsdokumenter. Vores vejledning om HIPAA-overtrædelser indeholder mange detaljer om overtrædelser og håndhævelsespraksis.
Valg af en HIPAA-kompatibel hostingpartner
Konsekvenserne af at overtræde HIPAA kan være ekstreme. Selv om du ikke får en millionbøde, er det ikke en god måde at bruge penge på, og det er ikke sjovt at ende på HIPAA Wall of Shame.
Af disse grunde er det ekstraordinært vigtigt at vælge en teknologisk partner, der er specialiseret i hosting af sundhedsvæsenet og er SOC 2 TYPE II- og SOC 3 TYPE II-certificeret og HIPAA- og HITECH-revideret, som f.eks. Atlantic.Net. Deres SSD Cloud Servere tilbyder en 100% oppetidsgaranti og kan starte på under 30 sekunder, blot to af de mange grunde til, at de har fortjent vores anbefaling som #1 valg for HIPAA-kompatibel hosting.