• Hjem
  • Blogg
  • Hva er HIPAA-samsvar? Fullfør HIPAA-sjekkliste og -veiledning for 2023
  • Blogg
  • Hva er HIPAA-samsvar? Fullfør HIPAA-sjekkliste og -veiledning for 2023

Hva er HIPAA-samsvar? Fullfør HIPAA-sjekkliste og -veiledning for 2023

HIPAA betydning

HIPAA er et akronym som står for Health Insurance Portability and Accountability Act.

Denne amerikanske loven er utformet for å gi personvernstandarder for å beskytte pasientens medisinske journaler. Helseinformasjon som gis til helseplaner, sykehus, helsepersonell og leger bør alle være beskyttet av HIPAA.

Hva er HIPAA-samsvar?

HIPAA (the Health Insurance Portability and Accountability Act) overholder de fysiske, administrative og tekniske sikkerhetstiltakene som er skissert i HIPAA.

Hvordan blir du HIPAA-kompatibel?

Det er mange ting som må oppnås for å bli HIPAA-kompatibel.

Siden den ble vedtatt av den 104. USAs kongress og undertegnet i lov av president Bill Clinton 21. august 1996, har det vært fire store endringer:

  • Sikkerhetsregelendringen (2003)
  • The Privacy Rule Amandement (2003)
  • Regelen for bruddvarsel (2009)
  • The Final Omnibus Rule (2013)
Vårt mål er å gå gjennom HIPAA-sjekklisten for 2023, slik at du kan sikre at du er HIPAA-kompatibel. Ikke glem å sjekke ut våre beste HIPAA-overholdelse webverter for å være vert for bedriftens nettsted.

HIPAA-samsvarssjekkliste 2022: HIPAA-regler

Image Source: https://www.atlantic.net/

Teknisk beskyttelse

  • Nettverkskryptering: Enhver ePHI bør oppfylle NISTs kryptografiske standarder når den overføres over et eksternt nettverk.
  • Kontroll/loggtilgang: Hver bruker må tildeles et sentralstyrt unikt brukernavn og PIN-kode. Detaljert logging er nødvendig for å spore all ePHI-tilgang (og forsøk).
  • Automatisk avlogging: Brukere må logges ut etter en bestemt tidsramme som anbefales mellom 30 sekunder og 3 minutter.

Fysisk beskyttelse

  • Kontrolltilgang: Enkeltpersoner som har fysisk tilgang til datalagring bør spores nøye. Det må tas rimelige skritt for å blokkere uautorisert adgang.
  • Administrer arbeidsstasjoner: Det må skrives en policy for å skissere hvilke arbeidsstasjoner som kan ha tilgang til helsedata og hvilke som er begrenset. Den skal beskrive hvordan en skjerm skal beskyttes mot fester og hensiktsmessig bruk av arbeidsstasjon.
  • Beskytt og spor: Hvis en mobilenhet er i bruk av en bruker og deretter overført til en annen bruker, må en policy for mobilenheter skrives som fjerner data før en enhet gis til en annen bruker.

Administrativ beskyttelse

  • Risikovurderinger: En omfattende risikovurdering bør fullføres for alle helsedata.
  • Lær opp personalet: Alle ansatte bør få opplæring i alle ePHI-tilgangsprotokoller og forstå hvordan de identifiserer og gjenkjenner potensielle cybersikkerhetstrusler som phishing-angrep. Alle treningsøkter skal registreres og oppbevares.
  • Bygg beredskap: Pågående forretningskontinuitet må oppnås ved å forberede prosesser for å holde data trygge.
  • Blokker tilgang: Sjekk at underleverandører og andre parter ikke har fått tilgang og ikke kan se ePHI. Forretningsavtaler bør signeres med alle partnere.
  • Dokumentsikkerhetshendelser: Enhver sikkerhetshendelse må gjenkjennes av personalet, og personalet må rapportere hendelser.

HIPAA personvernregel

  • Svar på forespørsler: Pasienttilgangsforespørsler må besvares innen 30 dager.
  • Informer pasienter: En NPP er nødvendig for å informere pasienter om retningslinjer for datadeling.
  • Lær opp personalet: Alle ansatte bør få opplæring i personvern og bør forstå hva som kan og ikke kan deles internt eller eksternt.
  • ePHI-integritet: Det må tas hensiktsmessige skritt for å opprettholde integriteten til ePHI og de individuelle personlige identifikatorene til pasientene.
  • Tillatelse til å bruke ePHI: Tillatelse må gis av pasienten for å bruke redigert ePHI til forskning eller markedsføring.
  • Oppdateringsskjemaer/kopi: Autorisasjonsskjemaer bør inneholde referanse til endringer i behandlingen av skolevaksinasjoner, ePHI-begrensninger med hensyn til utlevering av helseplaner, og pasientens rettigheter til deres elektroniske journaler.

HIPAA-bruddsvarslingsregel

  • Varsle pasienter: Pasienter og HHS-avdelingen må gjøres oppmerksomme på eventuelle brudd på ePHI. Hvis mer enn 500 personers journaler har blitt brutt, skal media varsles. Hvis bruddet er under 500, må et småskala hackskjema sendes inn via OCR-nettstedet. Alle varsler må fullføres innen 60 dager etter at de er oppdaget.
  • 4 Elementer: Meldinger om brudd må inneholde fire elementer som inkluderer: En beskrivelse av ePHI og personlige identifikatorer involvert i bruddet, hvem som fikk uautorisert tilgang, om detaljer ble sett eller innhentet, og i hvilken grad risikoredusering har vært vellykket.

HIPAA omnibusregel

  • Oppdater BAA: Du må oppdatere Business Associate Agreements (BAA) for å gjenspeile endringene i Omnibus-regelen.
  • Send nye kopier: Nye kopier av BAA bør sendes og signeres for å forbli i samsvar.
  • Oppdater personvernregler: Personvernregler må oppdateres for å gjenspeile endringene i Omnibus-regelen.
  • Moderniser NPPS: HIPAA-tidsskriftet råder “NPP-er må oppdateres for å dekke informasjonstypene som krever autorisasjon, retten til å velge bort korrespondanse for pengeinnsamlingsformål og må ta hensyn til de nye kravene til varsling av brudd”.
  • Togpersonale: Alle ansatte må være oppmerksomme på Omnibus-regelen utført via grundig opplæring.

Helsetjenester i USA har noen av de strengeste standardkravene globalt. Elektronisk pasienthelseinformasjon (ePHI) er beskyttet av lovgivning introdusert i 1996 Health Insurance Portability and Accountability Act. HIPAA og de påfølgende endringer i sikkerhetsregelen og personvernreglene vedtar strenge kontrolltiltak over ePHI.

Deretter krever HIPAA-lovgivningen at flere fysiske, administrative og tekniske sikkerhetstiltak settes på plass før hosting av ePHI. Disse tiltakene har resultert i at mange helsepersonell har outsourcet IT-tjenester til HIPAA-kompatible vertsleverandører, mange med sikte på å raskt spore digital transformasjon og forbedre sky VPS-samarbeidsevner.

Helsetjenester og cloud VPS-databehandling har en dynamisk synergi og et virkelig banebrytende potensial. Det er mulig at streng lovgivning kan ha bremset opptaket av sky-VPS-tjenester tidligere. I dag vokser imidlertid integreringen av helsetjenester i skyen i et betydelig tempo.

Hva bør du se etter når du velger din HIPAA-vertsleverandør? Her er våre observasjoner om hvorfor helseorganisasjoner går over til skyen.

1. Sikkerhet

Beste praksis for sikkerhet er hva HIPAA-lovgivning handler om. Alle forskriftene har det eneste formål å sikre ePHI. Det er den eneste grunnen til at HIPAA eksisterer. Hosting-partnere har en ansvarsplikt for å tilby samsvarende, sikker og robust infrastruktur.

Hostingleverandøren og tredjeparter som omfattes av omfanget må inngå en Business Associate Agreement (BAA). Dette gjør alle parter ansvarlige for å forstå hvilke systemer og hvilken geografisk plassering ePHI-data er vert, overført og lagret. ePHI-data må sikres under transport og hvile til enhver tid.

Ansattes tilgang kontrolleres, revideres og vedlikeholdes kontinuerlig ved å bruke prinsippet om minste privilegium. Fysiske bygningskontroller kreves for å overvåke tilgang til og fra datasentre som er vert for ePHI. Noen cloud VPS-vertsleverandører tar sikkerheten til neste nivå ved å kryptere alle HIPAA-data, selv om dette kun er en anbefaling fra lovgivningen.

Cloud VPS-leverandøradministratorer er ansvarlige for sikkerhetsoppdateringer, fastvareoppdateringer og sårbarhetsskanning og utbedringsaktiviteter. Oppdatert, enterprise-grade antivirus er en nødvendighet, samt et Intrusion Prevention System (IPS) som logger, reviderer og automatiserer svar 24/7 til et team av sikkerhetseksperter.

Helsepersonell kan bruke HIPAA-sikkerhet-som-en-tjeneste og koble rett inn i vertsleverandørens sikkerhetsplattform. Dette er en stor fordel for helseorganisasjonen og en av hovedgrunnene til at outsourcing til en HIPAA-leverandør er så populært.

2. Forretningskontinuitet og katastrofegjenoppretting

HIPAA-sikkerhetsregelen la til en rekke detaljerte krav for planlegging av forretningskontinuitet og katastrofegjenoppretting. Regelen krever utvikling av en prosess som skal følges i tilfelle en krise eller katastrofescenario.

En datagjenopprettingsplan bør også implementeres. Dette er et program for å sikkerhetskopiere og beskytte systemer som inneholder ePHI. Dette oppnås via en forhåndsdefinert sikkerhetskopieringsplan og replikeringsmuligheter som tidligere er avtalt i BAA. Data blir normalt replikert til minst én annen datasenterplassering.

Det utarbeides en Disaster Recovery Plan (DRP) som dekker det tekniske og administrative ansvaret til vertsleverandøren. Dette inkluderer muligheten til å feile over kjernevirksomhetstjenester til et alternativt sted i tilfelle en katastrofal feil, og muligheten til å gjenopprette og få tilgang til ePHI-data fra sikkerhetskopiering.

All kontinuitetsplanlegging skal testes og gjennomgås minst en gang i året. Hvis det ikke eksisterer noen plan før samarbeidet med en HIPAA-vertspartner, kreves det en Business Impact Analysis som identifiserer og prioriterer kritiske IT-komponenter som er innenfor planens omfang.

Planlegging av forretningskontinuitet og katastrofegjenoppretting er avgjørende for overholdelse av HIPAA, men den tekniske kompleksiteten ved å lage en redundant, feilsikker plattform er vanskelig å oppnå internt. Dette er en annen viktig grunn til at outsourcing er så populært. HIPAA-vertspartnere har allerede infrastrukturen på plass, og helseorganisasjonene kobler seg ganske enkelt til tjenesten.

3. Samarbeid

HIPAA-regulerte applikasjoner er designet for å dele ePHI mellom autoriserte brukere og autoriserte systemer. Deling av data åpner for et stort potensial for samarbeid. Denne evnen øker dramatisk raskere diagnose og gir medisinske fagfolk et samarbeidende, smidig arbeidsmiljø.

Datainteroperabilitet og sikker skydatabehandling gir helseorganisasjoner mulighet til å holde seg relevante på den moderne arbeidsplassen. Det åpner for nye muligheter for å gi bedre pasientbehandling. Flere team kan jobbe med de samme prosjektene samtidig, kommunikasjonen forbedres gjennom meldingstjenester, 5G-datakommunikasjon og samarbeidsverktøysett.

API-plattformer gjør det mulig for applikasjoner å utveksle data og dele informasjon sikkert. Team på forskjellige geografiske steder kan samarbeide eksternt. Medisinske applikasjoner kan dele ePHI for å fremskynde diagnoseprosessen.

Kliniske støtteteam har stor nytte av å dele medisinsk informasjon. Delte medisinske bilder, historiske testresultater eller informasjon om slektshistorie forbedrer kvaliteten på omsorgen betydelig. Medisinsk utstyr kan kobles direkte til skytjenester og umiddelbart dele medisinske resultater, røntgenbilder eller pasientpulsavlesninger.

På toppen av alle disse egenskapene kan tingenes internett kombinert med datasamarbeid brukes til å lage enorme datasett. Disse dataene kan knuses av kunstig intelligens og maskinlæringsplattformer som ser etter trender og er i stand til å analysere enorme datamengder på kort tid. Dette frigjør legers tid til å behandle pasienter i stedet for å sile gjennom hauger med papirarbeid.

4. Skalerbarhet

En annen stor fordel levert av HIPAA-hosting er skalerbarheten til skytjenester. Sykehus, klinikker og helsepraksis får i seg enorme mengder data. Dataene lagres digitalt på en sikret plattform som kan skalere opp og beskytte integriteten til dataene.

Medisinske grupper vokser i størrelse og vertsleverandøren må vokse med deg. Beregnings- og nettverksplaner kan oppgraderes med minimal innvirkning, og ressurser kan legges til servere ved å klikke på en knapp.

Et eksempel er databasehosting. Cloud-native databaser eliminerer kompleksiteten ved databaseadministrasjon og kan raskt og rimelig skaleres opp, ofte på forespørsel.

Hostingleverandøren administrerer hele skytjenesten, og gir avkall på behovet for en IT-avdeling på stedet for å administrere og vedlikeholde system- eller databaseoppgraderinger. Leverandøren er ansvarlig for programvareforsyning, sikkerhetsoppdatering og eventuelle problemer som oppstår, samtidig som den oppnår en 100 % servicenivåavtale.

5. Erfaring

En vertsleverandør med lang erfaring i å tilby HIPAA-kompatible skytjenester kan være forskjellen mellom en jevn og vellykket skymigrering, eller en vanskelig opplevelse med en bratt læringskurve som ikke er ideell når man vurderer HIPAA-overholdelse for oppstart . Det er svært ønskelig å velge en vertspartner som er HIPAA-kompatibel, en organisasjon som blir regelmessig revidert og publiserer sine reviderte resultater i offentlig sektor.

Erfaring bringer en rekke nøkkeltjenester ut i livet. Overholdelse er en enormt viktig faktor. Se etter andre akkrediteringer som SOC 2 TYPE II og SOC 3 TYPE II-sertifiseringer og HITECH-samsvar. Dette bidrar til å garantere at HIPAA-vertsleverandøren har blitt revidert av en kvalifisert uavhengig tredjepart, og kan demonstrere forpliktelse til å tilby den beste IT-sikkerheten og kompatibel hosting.

Med en erfaren leverandør er det mer sannsynlig at du oppnår bransjeledende servicenivåavtaler (SLA), gjenopprettingstid og gjenopprettingspunktmål. Dette er svært fordelaktig i katastrofescenarier. Teknisk støtte fra leverandøren vil sannsynligvis også bli betydelig forbedret hvis de har levert HIPAA-tjenester i lang tid.

Dele

Abonner

Her finner du de siste autentiske undersøkelsene og nyhetene om de beste vertene for nettstedet ditt!

Neste innlegg

Relaterte innlegg: