Wat is HIPAA-naleving?
De Health Insurance Portability and Accountability Act (HIPAA) van 1996 is van toepassing op alle Amerikaanse gezondheidszorginstellingen die omgaan met elektronische gezondheidsinformatie van patiënten (ePHI). De De regels van de HIPAA-naleving zijn streng en vereisen de naleving van verschillende technische, administratieve, fysieke en privacywaarborgen, die allemaal worden gehandhaafd door het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS).
HIPAA-conform Cloud Computing
Cloud computing volgens HIPAA creëert een unieke reeks uitdagingen voor Amerikaanse organisaties in de gezondheidszorg, waarbij veel medische professionals ervoor kiezen deze verantwoordelijkheid uit te besteden aan een cloud hosting-partner.
Strikte naleving van de HIPAA-regels voor beveiliging en privacy zijn verplicht, en een ondertekende Business Associate Overeenkomst (BAA) moet worden gesloten tussen alle entiteiten.
Technische waarborgen
Deze zijn gericht op de uitvoering van controles van de cloudinfrastructuur ter bescherming van ePHI. Verplichte vereisten zijn onder meer toegangscontroles voor goedgekeurde gebruikers van het platform, het gebruik van unieke gebruikersnamen en de handhaving van een sterk wachtwoordbeleid worden verwacht, met gebruikmaking van Multi-Factor Authenticatie (MFA) en toegangscontrolelijsten worden ten zeerste aanbevolen.
Alle ePHI moet in transit (netwerk) en in rust (opslag) worden versleuteld, met gebruikmaking van ten minste de AES256-versleutelingsnorm. Er zijn tal van auditcontroles vereist voor alle hardware, software of infrastructuur die ePHI verwerkt. Mogelijkheden zoals verbeterde logging, auditing van gebruikerstoegang, auditing van machtigingen en systeemgebruik moeten worden geactiveerd.
Alle cloudinfrastructuur moet voldoen aan de juiste niveaus van firmware- en softwarebeveiligingsupdates (patching). Deze aanpak beperkt de blootstelling van cloud computing-diensten aan kwetsbaarheden van het besturingssysteem en gegevensinbreuken.
Alle BAA-entiteiten zijn verantwoordelijk voor de bescherming van de integriteit van de ePHI-gegevens. Technische controles van de gegevens zorgen ervoor dat zij niet op een ongeoorloofde manier worden ingezien, gewijzigd of vernietigd. Security Information Event Management (SIEM)-platforms zijn geconfigureerd om elke wijziging in ePHI te controleren en te signaleren, de signaleringen worden gecontroleerd en indien nodig geëscaleerd.
Fysieke Beveiligingen
Voor alle entiteiten van BAA worden fysieke veiligheidsmaatregelen genomen, met name met betrekking tot fysieke faciliteiten (gebouwen), gebruik van werkstations en omgang met elektronische apparatuur. Er worden controles in gebouwen uitgevoerd om de toegang van werknemers tot gebouwen, serverruimten en faciliteiten waar ePHI wordt bewaard, te controleren. De belangrijkste doelstelling is het voorkomen van geknoei met of diefstal van ePHI-gegevens. Elke toegang kan worden getraceerd en gerapporteerd 24/7.
Het omvat ook het opstellen en testen van een noodherstelstrategie (DR), met als hoofddoel de toegang tot ePHI te kunnen herstellen in geval van een ernstig incident. Veel voorkomende scenario’s omvatten toegang tot een alternatief DR-controlecentrum en een technische DR-oplossing die op andere locaties wordt gehost.
Elke persoon of entiteit die namens een gedekte entiteit functies of activiteiten uitvoert waarvoor de zakenpartner toegang tot PHI nodig heeft, wordt volgens de HHS als een zakenpartner beschouwd. Deze persoon of organisatie kan ook diensten verlenen aan een betrokken entiteit. Voorbeelden zijn een consultant die het gebruik in een ziekenhuis evalueert of een advocaat die toegang heeft tot PHI omdat hij juridische diensten verleent aan een zorgverstrekker.
Health IT Security
Apparaatetiquette is een uitdagende, maar verplichte eis van HIPAA, en omvat alle digitale apparaten, werkstations/servers en digitale media. Alle computerterminals zijn standaard beveiligd met maatregelen zoals automatische vergrendelingsschermen en software om het kopiëren van gegevens van een USB te voorkomen.
Er worden extra controles ingevoerd op de manier waarop de cloud computing-infrastructuur wordt geback-upt, met inbegrip van beleid voor het bewaren van gegevens, replicatievereisten en hardwareredundantie. Er zijn extra regels die bepalen hoe gegevens en media worden vernietigd, meestal door middel van gecertificeerde vernietiging.
Administratieve waarborgen
Dit zijn de beleidslijnen en procedures die het gedrag van het personeel van de BAA-entiteit regelen. De eisen omvatten maatregelen voor het uitvoeren van een risicobeoordeling, risicobeheer en het afdwingen van rapportage en noodplannen.
Elke BAA-entiteit wijst speciale HIPAA-functionarissen aan, die toezicht houden op het volledige nalevingslandschap. Ervoor zorgen dat elk overeengekomen proces wordt gedocumenteerd en voortdurend wordt herzien. Andere taken, zoals rapportage, wachtwoordbeheer, login-monitoring en het toewijzen van trainingsschema’s, worden uitgevoerd.
De BAA-entiteiten moeten weten welke ePHI wordt bewaard, en waar de ePHI zich op de infrastructuur bevindt. Gebruikers moeten passende toegang hebben tot ePHI om hun werk te kunnen doen, maar de toegang moet worden gecontroleerd en bewaakt. Toegangsrechten moeten altijd worden verleend volgens het beginsel van de minste privileges.
Privacy en handhaving
De privacy- en handhavingsregels zijn de lijm die de HIPAA-wetgeving samenbindt. In de privacyregel is vastgelegd hoe ePHI door alle BAA-entiteiten mag worden verwerkt, gebruikt of openbaar gemaakt. De privacyregel ligt ten grondslag aan veel van de hierboven genoemde administratieve waarborgen, die het privacybeleid bij uitstek vormen.
Wat is beschermde gezondheidsinformatie?
PHI verwijst naar alles wat verband houdt met gezondheid, behandeling of facturering. Het is alles dat een patiënt kan identificeren, inclusief:
- Naam
- Data (bv. geboortedatum, datum van behandeling)
- Plaats (adres, postcode, enz.)
- Contactnummers (telefoonnummer, fax, enz.)
- Webcontactinformatie (e-mail, URL of IP)
- Identificatienummers (sociale zekerheid, rijbewijs, medische rekening, VIN, enz.)
- Fysieke identiteitsgegevens (foto, vingerafdrukken, enz.)
Patiënten hebben het recht de gezondheidsinformatie die over hen wordt bijgehouden, in te zien en het personeel wordt opgeleid in het privacybeleid, waarbij stappen worden ondernomen om overtredingen van de regel tegen te gaan – zoals ontslagprocedures. Alle BAA-entiteiten moeten ervoor zorgen dat er geen ePHI wordt bekendgemaakt, maar als er toch een inbreuk plaatsvindt, is er een strikte schendingsprocedure die moet worden gevolgd.
Als een werknemer in een bedrijf de HIPAA-bepalingen overtreedt, zelfs onopzettelijk, kan het bedrijf een boete krijgen tot 1,5 miljoen dollar (het jaarlijkse plafond per bedrijf). Tot de meest voorkomende overtredingen behoren ePHI waarbij informatie ontbreekt, entiteiten die verzuimen de BAA te ondertekenen, het gebruik van laptops voor de opslag van ePHI, het weggooien van vertrouwelijke gezondheidsdocumenten. Onze gids over HIPAA-overtredingen gaat uitvoerig in op overtredingen en handhavingspraktijken.
Het kiezen van een hostingpartner die voldoet aan de HIPAA-voorschriften
De gevolgen van het schenden van de HIPAA kunnen extreem zijn. Zelfs als je geen miljoenenboete krijgt, is het geen geweldige manier om geld uit te geven; en het is niet leuk om te eindigen op de HIPAA Wall of Shame.
Om deze redenen is het buitengewoon belangrijk om een technologische partner te kiezen die gespecialiseerd is in hosting voor de gezondheidszorg en die SOC 2 TYPE II en SOC 3 TYPE II gecertificeerd is en HIPAA en HITECH geauditeerd, zoals Atlantic.Net. Hun SSD Cloud Servers bieden een 100% uptime garantie en kunnen in minder dan 30 seconden worden opgestart, slechts twee van de vele redenen waarom ze onze aanbeveling voor de #1 keuze voor HIPAA-conforme hosting.