HIPAA Betekenis
HIPAA is een acroniem dat staat voor Health Insurance Portability and Accountability Act.
Deze Amerikaanse wet is bedoeld om privacynormen vast te stellen ter bescherming van de medische dossiers van patiënten. Gezondheidsinformatie die wordt verstrekt aan gezondheidsplannen, ziekenhuizen, zorgverleners en artsen moet allemaal door de HIPAA worden beschermd.
Wat is HIPAA-naleving?
Naleving van de HIPAA (Health Insurance Portability and Accountability Act) houdt in dat de fysieke, administratieve en technische veiligheidsmaatregelen worden nageleefd die in de HIPAA worden beschreven.
Hoe wordt u HIPAA-conform?
Er zijn veel dingen die moeten worden bereikt om HIPAA-compliant te worden.
Sinds de goedkeuring door het 104e Congres van de Verenigde Staten en de ondertekening door president Bill Clinton op 21 augustus 1996 zijn er vier belangrijke wijzigingen geweest:
- De wijziging van de veiligheidsvoorschriften (2003)
- De Privacy Regel Wijziging (2003)
- De regel inzake de kennisgeving van inbreuken (2009)
- De definitieve omnibusregel (2013)
Checklist HIPAA-naleving 2022: HIPAA-regels
Technische bescherming
- Netwerkcodering: Alle ePHI moet voldoen aan de cryptografische normen van NIST wanneer het via een extern netwerk wordt verzonden.
- Controle/registratie van de toegang: Elke gebruiker moet een centraal gecontroleerde unieke gebruikersnaam en PIN-code krijgen. Gedetailleerde logging is vereist om alle ePHI-toegang (en pogingen daartoe) te traceren.
- Automatisch uitloggen: Gebruikers moeten worden uitgelogd na een specifieke tijdspanne die wordt aanbevolen tussen 30 seconden en 3 minuten.
Fysieke Bescherming
- Toegangscontrole: Personen die fysieke toegang hebben tot gegevensopslag moeten zorgvuldig worden gevolgd. Er moeten redelijke maatregelen worden genomen om ongeoorloofde toegang te blokkeren.
- Beheer van werkstations: Er moet een beleid worden geschreven waarin wordt aangegeven welke werkstations toegang hebben tot gezondheidsgegevens en welke beperkt zijn. Er moet worden beschreven hoe een scherm moet worden bewaakt tegen partijen en hoe een werkstation op de juiste manier moet worden gebruikt.
- Beschermen en traceren: Als een mobiel apparaat in gebruik is door een gebruiker en vervolgens wordt doorgegeven aan een andere gebruiker, moet een mobiel apparaatbeleid worden geschreven dat gegevens verwijdert voordat een apparaat aan een andere gebruiker wordt gegeven.
Administratieve beschermingsmaatregelen
- Risicobeoordelingen: Voor alle gezondheidsgegevens moet een alomvattende risicobeoordeling worden uitgevoerd.
- Train Personeel: Alle medewerkers moeten worden getraind in alle toegangsprotocollen voor ePHI en begrijpen hoe zij potentiële cyberbeveiligingsbedreigingen zoals phishing-aanvallen kunnen identificeren en herkennen. Alle opleidingssessies moeten worden geregistreerd en bewaard.
- Contingenties opbouwen: Voortdurende bedrijfscontinuïteit moet worden bereikt door processen voor te bereiden om gegevens veilig te houden.
- Blokkeer de toegang: Controleer of onderaannemers en andere partijen geen toegang hebben gekregen en ePHI niet kunnen inzien. Met alle partners moeten zakelijke overeenkomsten worden gesloten.
- Documenteren van veiligheidsincidenten: Elk veiligheidsincident moet door het personeel worden herkend, en het personeel moet voorvallen melden.
HIPAA-privacyregel
- Reageer op verzoeken: Op verzoeken om toegang van patiënten moet binnen 30 dagen worden gereageerd.
- Patiënten informeren: Een NPP is verplicht patiënten te informeren over het beleid inzake gegevensuitwisseling.
- Train het personeel: Al het personeel moet worden opgeleid in privacy en moet begrijpen wat wel en wat niet intern of extern kan worden gedeeld.
- Integriteit van ePHI: Er moeten passende maatregelen worden genomen om de integriteit van ePHI en de individuele persoonlijke identificatiegegevens van patiënten te handhaven.
- Toestemming voor het gebruik van ePHI: De patiënt moet toestemming hebben gegeven om geredigeerde ePHI te gebruiken voor onderzoek of marketing.
- Formulieren bijwerken/kopiëren: In de machtigingsformulieren moet melding worden gemaakt van wijzigingen in de behandeling van schoolvaccinaties, beperking van ePHI met betrekking tot de sluiting van gezondheidsplannen, en de rechten van de patiënt op zijn elektronische dossiers.
HIPAA-breukmeldingsregel
- Patiënten op de hoogte brengen: Patiënten en de HHS-afdeling moeten op de hoogte worden gebracht van elke inbreuk op ePHI. Als de gegevens van meer dan 500 personen zijn geschonden, moeten de media daarvan in kennis worden gesteld. Als het om minder dan 500 inbreuken gaat, moet via de website van het OCR een formulier voor kleinschalige inbreuken worden ingediend. Alle kennisgevingen moeten binnen 60 dagen na de ontdekking ervan worden voltooid.
- 4 Elementen: Berichten over inbreuken moeten vier elementen bevatten, waaronder: Een beschrijving van de ePHI en persoonsidentificatoren die bij de inbreuk betrokken waren, wie ongeoorloofde toegang kreeg, of gegevens werden ingezien of verkregen, en de mate waarin risicobeperking succesvol is geweest.
HIPAA Omnibus Regel
- Vernieuwen BAA: U moet uw Business Associate Agreements (BAA) bijwerken om de wijzigingen van de Omnibus-regel te weerspiegelen.
- Stuur nieuwe kopieën: Nieuwe kopieën van de BAA moeten worden verzonden en ondertekend om aan de eisen te blijven voldoen.
- Bijwerken privacybeleid: Het privacybeleid moet worden bijgewerkt om rekening te houden met de wijzigingen van de Omnibus-regel.
- NPPS moderniseren: Het HIPAA-tijdschrift adviseert “NPPS’s moeten worden geactualiseerd om de soorten informatie te bestrijken waarvoor een machtiging is vereist, alsook het recht op opt-out van correspondentie voor fondsenwervingsdoeleinden en moeten rekening houden met de nieuwe voorschriften inzake kennisgeving bij inbreuken”.
- Personeel opleiden: Al het personeel moet op de hoogte zijn van de Omnibus-regel via een grondige opleiding.
De gezondheidszorg in de Verenigde Staten heeft enkele van de strengste standaardvereisten ter wereld. Elektronische gezondheidsinformatie van patiënten (ePHI) wordt beschermd door wetgeving die is ingevoerd bij de wet van 1996 inzake de overdraagbaarheid van ziektekostenverzekeringen (Health Insurance Portability and Accountability Act). De HIPAA en de daaropvolgende wijzigingen van de Security Rule en de Privacy Rule voorzien in strenge controlemaatregelen voor ePHI.
Bijgevolg eist de HIPAA-wetgeving dat verschillende fysieke, administratieve en technische veiligheidsmaatregelen worden getroffen alvorens ePHI wordt gehost. Deze maatregelen hebben ertoe geleid dat veel professionals in de gezondheidszorg IT-diensten uitbesteden aan hostingproviders die aan de HIPAA-vereisten voldoen, velen met het doel digitale transformatie te versnellen en cloud VPS samenwerkingsmogelijkheden te verbeteren.
Gezondheidszorg en cloud VPS-computing hebben een dynamische synergie en een werkelijk baanbrekend potentieel. Het is mogelijk dat strenge wetgeving het gebruik van cloud VPS-diensten in het verleden heeft vertraagd. Vandaag de dag neemt de integratie van de gezondheidszorg in de cloud echter in een hoog tempo toe.
Waar moet u op letten bij het kiezen van uw HIPAA hostingprovider? Hier zijn onze observaties over waarom organisaties in de gezondheidszorg overstappen naar de cloud.
1. Veiligheid
Best practices op het gebied van beveiliging zijn waar het in de HIPAA-wetgeving om draait. Alle verordeningen hebben uitsluitend tot doel ePHI te beveiligen. Het is de enige reden dat HIPAA bestaat. Hostingpartners hebben de plicht om een veilige en robuuste infrastructuur te bieden die aan de eisen voldoet.
De hostingprovider en binnen het toepassingsgebied vallende derden moeten een Business Associate Agreement (BAA) sluiten. Dit maakt alle partijen verantwoordelijk voor het inzicht in welke systemen en op welke geografische locaties ePHI-gegevens worden gehost, overgedragen en opgeslagen. ePHI-gegevens moeten te allen tijde tijdens het vervoer en in rusttoestand worden beveiligd.
De toegang van werknemers wordt gecontroleerd, geaudit en voortdurend gehandhaafd volgens het beginsel van de minste privileges. Fysieke gebouwcontroles zijn vereist om de toegang tot en vanuit datacentra waar ePHI wordt bewaard, te controleren. Sommige cloud VPS hosting providers tillen beveiliging naar een hoger niveau door alle HIPAA-gegevens te versleutelen, ook al is dit slechts een aanbeveling van de wetgeving.
Beheerders van Cloud VPS-providers zijn verantwoordelijk voor beveiligingsupdates, firmware-updates, en scans van kwetsbaarheden en herstelactiviteiten. Geüpdatete, enterprise-grade antivirus is een noodzaak, evenals een Intrusion Prevention System (IPS) dat 24/7 logt, audits uitvoert en reacties automatiseert naar een team van beveiligingsexperts.
Professionals in de gezondheidszorg kunnen HIPAA-beveiliging-as-a-service gebruiken en rechtstreeks aansluiten op het beveiligingsplatform van de hostingprovider. Dit is een enorm voordeel voor de organisatie in de gezondheidszorg en een van de belangrijkste redenen waarom uitbesteding aan een HIPAA-provider zo populair is.
2. Bedrijfscontinuïteit en noodherstel
De HIPAA-beveiligingsregel voegde een aantal gedetailleerde voorschriften toe voor de planning van bedrijfscontinuïteit en noodherstel. De regel vereist de ontwikkeling van een proces dat moet worden gevolgd in geval van een crisis- of rampscenario.
Ook moet een gegevensherstelplan worden uitgevoerd. Dit is een programma voor de back-up en bescherming van systemen die ePHI bevatten. Dit wordt bereikt via een vooraf bepaald back-upschema en replicatiemogelijkheden die vooraf in de BAA zijn overeengekomen. Gegevens worden normaliter gerepliceerd naar ten minste één andere datacenterlocatie.
Er wordt een rampherstelplan (Disaster Recovery Plan – DRP) opgesteld dat de technische en administratieve verantwoordelijkheden van de hostingprovider omvat. Dit omvat de mogelijkheid om in geval van een catastrofale storing de kerndiensten van het bedrijf op een alternatieve locatie uit te schakelen, en de mogelijkheid om ePHI-gegevens vanuit een back-up te herstellen en te raadplegen.
Alle continuïteitsplannen moeten ten minste eenmaal per jaar worden getest en herzien. Als er geen plan bestaat voordat met een HIPAA-hostingpartner wordt samengewerkt, is een bedrijfsimpactanalyse vereist die de kritieke IT-componenten die binnen het toepassingsgebied van het plan vallen, identificeert en prioriteert.
Business Continuity en Disaster Recovery planning is essentieel voor HIPAA compliance, maar de technische complexiteit van het creëren van een redundant, failsafe platform is moeilijk intern te realiseren. Dit is een andere belangrijke reden waarom uitbesteding zo populair is. HIPAA-hostingpartners beschikken al over de infrastructuur, en de gezondheidszorgorganisaties kunnen gewoon op de dienst worden aangesloten.
3. Samenwerking
Toepassingen die onder de HIPAA-regelgeving vallen, zijn ontworpen om ePHI te delen tussen geautoriseerde gebruikers en geautoriseerde systemen. Het delen van gegevens opent enorme mogelijkheden voor samenwerking. Deze mogelijkheid versnelt de diagnose aanzienlijk en biedt medische professionals een flexibele werkomgeving voor samenwerking.
Gegevensinteroperabiliteit en veilige cloudcomputing stellen organisaties in de gezondheidszorg in staat om relevant te blijven op de moderne werkplek. Het opent de deur naar nieuwe mogelijkheden om betere patiëntenzorg te verlenen. Meerdere teams kunnen tegelijk aan dezelfde projecten werken, de communicatie wordt verbeterd dankzij berichtendiensten, 5G-datacommunicatie en collaboratieve toolsets.
API-platforms stellen toepassingen in staat gegevens uit te wisselen en informatie veilig te delen. Teams op verschillende geografische locaties kunnen op afstand samenwerken. Medische toepassingen kunnen ePHI delen om het diagnoseproces te versnellen.
Klinische ondersteuningsteams hebben veel baat bij het delen van medische informatie. Gedeelde medische beelden, historische testresultaten of informatie over de familiegeschiedenis verbeteren de kwaliteit van de zorg aanzienlijk. Medische apparatuur kan rechtstreeks op cloud-diensten worden aangesloten en medische resultaten, röntgenfoto’s of hartslagmetingen van patiënten direct delen.
Bovenop al deze mogelijkheden kan het internet van dingen in combinatie met datasamenwerking worden gebruikt om enorme datasets te creëren. Deze gegevens kunnen worden gekraakt door platforms voor kunstmatige intelligentie en machinaal leren, die naar trends zoeken en in staat zijn enorme hoeveelheden gegevens in een mum van tijd te analyseren. Hierdoor krijgen artsen meer tijd om patiënten te behandelen in plaats van stapels papierwerk door te spitten.
4. Schaalbaarheid
Een ander groot voordeel van HIPAA-hosting is de schaalbaarheid van clouddiensten. Ziekenhuizen, klinieken en gezondheidspraktijken verwerken enorme hoeveelheden gegevens. De gegevens worden digitaal opgeslagen op een beveiligd platform dat kan worden opgeschaald en de integriteit van de gegevens kan beschermen.
Medische groepen worden steeds groter en de hostingprovider moet met u meegroeien. Compute- en netwerkplannen kunnen met minimale impact worden geüpgraded, en resources kunnen met een druk op de knop aan servers worden toegevoegd.
Een voorbeeld is database hosting. Cloud-gebaseerde databases elimineren de complexiteit van databasebeheer en kunnen snel en betaalbaar worden opgeschaald, vaak on demand.
De hostingprovider beheert de volledige clouddienst, zodat er geen IT-afdeling ter plaatse nodig is om systeem- of database-upgrades te beheren en te onderhouden. De provider is verantwoordelijk voor de levering van de software, het patchen van de beveiliging en eventuele problemen, terwijl ook een service level agreement van 100% wordt gehaald.
5. Ervaring
Een hostingprovider met uitgebreide ervaring in het leveren van HIPAA-compliant clouddiensten kan het verschil betekenen tussen een soepele en succesvolle cloudmigratie, of een moeilijke ervaring met een steile leercurve, wat niet ideaal is bij het overwegen van HIPAA-compliance voor startups. Het is zeer wenselijk een hostingpartner te kiezen die HIPAA-compliant is, een organisatie die regelmatig wordt gecontroleerd en zijn gecontroleerde resultaten publiceert in de openbare sector.
Ervaring brengt een aantal belangrijke diensten tot stand. Naleving is een enorm belangrijke factor. Kijk naar andere accreditaties zoals SOC 2 TYPE II en SOC 3 TYPE II certificeringen, en HITECH compliance. Dit helpt te garanderen dat de HIPAA-hostingprovider is gecontroleerd door een gekwalificeerde onafhankelijke derde partij, en kan aantonen dat hij zich ertoe verbindt de beste IT-beveiliging en compliant hosting te bieden.
Met een ervaren provider is de kans groter dat u toonaangevende Service Level Agreements (SLA), hersteltijd- en herstelpuntdoelstellingen haalt. Dit is enorm voordelig in rampscenario’s. De technische ondersteuning door de provider zal waarschijnlijk ook aanzienlijk beter zijn als deze al geruime tijd HIPAA-diensten verleent.