• Home
  • Blogg
  • Hvordan sette opp en HIPAA-kompatibel nettskyvert i 2022
  • Blogg
  • Hvordan sette opp en HIPAA-kompatibel nettskyvert i 2022

Hvordan sette opp en HIPAA-kompatibel nettskyvert i 2022

Hva er HIPAA-samsvar?

Health Insurance Portability and Accountability Act (HIPAA) fra 1996 dekker alle amerikanske helsetjenester som håndterer elektronisk pasienthelseinformasjon (ePHI). De reglene for HIPAA-overholdelse er strenge og krever overholdelse av flere tekniske, administrative, fysiske og personverntiltak, alt som håndheves av det amerikanske helse- og menneskelige departementet (HHS).

HIPAA-kompatibel cloud computing

HIPAA-kompatibel cloud computing skaper et unikt sett med utfordringer for amerikanske helseorganisasjoner, med mange medisinske fagfolk som velger å outsource dette ansvaret til en skyvertspartner.

Streng overholdelse av HIPAA-sikkerhets- og personvernreglene er obligatoriske, og en signert Business Associate Agreement (BAA) må avtales mellom alle enheter.

Tekniske sikkerhetstiltak

Disse fokuserer på å implementere skyinfrastrukturkontroller for å beskytte ePHI. Obligatoriske krav inkluderer tilgangskontroll for godkjente brukere av plattformen, bruk av unike brukernavn og håndheving av en sterk passordpolicy forventes, ved å bruke Multi-Factor Authentication (MFA) og tilgangskontrolllister anbefales sterkt.

All ePHI skal være kryptert under overføring (nettverk) og i hvile (lagring), ved å bruke minimum AES256-krypteringsstandarden. Det er mange revisjonskontroller som kreves for all maskinvare, programvare eller infrastrukturbehandling ePHI. Aktivering av funksjoner som forbedret logging, revisjon av brukertilgang, revisjon av tillatelser og systembruk er nødvendig.

All skyinfrastruktur må være i samsvar med passende nivåer av fastvare- og programvaresikkerhetsoppdateringer (patching). Denne tilnærmingen begrenser eksponeringen av cloud computing-tjenester for operativsystemsårbarheter og datainnbrudd.

Alle BAA-enheter har et ansvar for å beskytte integriteten til ePHI-dataene. Tekniske kontroller av dataene sikrer at de ikke blir åpnet, endret eller ødelagt på en ikke-godkjent måte. SIEM-plattformer (Security Information Event Management) er konfigurert til å revidere og varsle om eventuelle endringer som er gjort i ePHI, varslene overvåkes og eskaleres etter behov.

Fysiske sikkerhetstiltak

Fysiske sikkerhetstiltak er på plass for alle BAA-enheter, spesielt knyttet til fysiske fasiliteter (bygninger), bruk av arbeidsstasjoner og etikette for elektroniske enheter. Bygningskontroller er implementert for å revidere ansattes tilgang til bygninger, serverrom og fasiliteter som er vert for ePHI. Hovedmålet er å forhindre tukling eller tyveri av ePHI-data. Enhver tilgang kan spores og rapporteres 24/7.

Det inkluderer også å lage og teste en katastrofegjenopprettingsstrategi (DR), hovedmålet er å være i stand til å gjenopprette tilgang til ePHI i tilfelle en større hendelse. Vanlige scenarier inkluderer tilgang til et alternativt DR-kontrollsenter og DR-teknisk løsning som er vert i andre lokaler.

Enhver person eller enhet som utfører funksjoner eller aktiviteter på vegne av en dekket enhet som krever at forretningsforbindelsen har tilgang til PHI, anses som en forretningsforbindelse, ifølge HHS. Denne personen eller organisasjonen kan også tilby tjenester til en dekket enhet. Eksempler inkluderer en konsulent som utfører sykehusbruksvurderinger eller en advokat som har PHI-tilgang når han yter juridiske tjenester til en helsepersonell.

Health IT Security

Enhetsetikett er et utfordrende, men obligatorisk krav for HIPAA, det inkluderer alle digitale enheter, arbeidsstasjoner/servere og digitale medier. Alle dataterminaler er beskyttet som standard med tiltak som inkluderer automatiserte låseskjermer, og programvare for å forhindre kopiering av data fra en USB.

Ytterligere kontroller er satt på plass for hvordan skydatabehandlingsinfrastrukturen sikkerhetskopieres, inkludert retningslinjer for datalagring, replikeringskrav og maskinvareredundans. Det er ekstra regler som styrer hvordan data og medier blir ødelagt, vanligvis ved sertifisert destruksjon.

Administrative sikkerhetstiltak

Dette er retningslinjene og prosedyrene som styrer oppførselen til BAA-enhetens arbeidsstyrke. Kravene inkluderer tiltak for å gjennomføre en risikovurdering, risikostyring og håndheve rapportering og beredskapsplanlegging.

Dedikerte HIPAA-offiserer tildeles av hver BAA-enhet, disse ansatte overvåker hele samsvarslandskapet. Sikre at hver avtalt prosess er dokumentert og kontinuerlig gjennomgått. Andre oppgaver som rapportering, passordhåndtering, påloggingsovervåking og tildeling av treningsplaner fullføres.

BAA-enhetene må vite hva ePHI beholdes, og hvor ePHI befinner seg på infrastrukturen. Brukere må ha passende tilgang til ePHI for å fullføre arbeidet, men tilgang krever kontroll og overvåking. Adgangsrettigheter bør alltid gis etter prinsippet om minste privilegium.

Personvern og håndhevelse

Personvern- og håndhevingsreglene er limet som binder HIPAA-lovgivningen sammen. Personvernregelen definerer hvordan ePHI kan behandles, brukes eller avsløres av alle BAA-enheter. Personvernregelen underbygger mange av de administrative sikkerhetstiltakene nevnt ovenfor, som danner en fremtredende personvernpolicy.

Hva er beskyttet helseinformasjon?

PHI refererer til alt relatert til helse, behandling eller fakturering. Det er alt som kan identifisere en pasient, inkludert:

  • Navn
  • Datoer (f.eks. fødselsdato, behandlingsdato)
  • Plassering (gateadresse, postnummer osv.)
  • Kontaktnumre (telefonnummer, faks osv.)
  • Webkontaktinformasjon (e-post, URL eller IP)
  • Identifikasjonsnummer (sosial sikkerhet, lisens, medisinsk konto, VIN, etc.)
  • Fysisk identitetsinformasjon (foto, fingeravtrykk osv.)

Pasienter har rett til å se helseinformasjon som er lagret på dem, og arbeidsstyrken er opplært i personvernreglene, med skritt iverksatt for å redusere brudd på regelen – for eksempel oppsigelsessaker. Alle BAA-enheter har et ansvar for å sikre at det ikke er noen avsløringer av ePHI, men hvis brudd oppstår er det en streng bruddprosess å følge.

Hvis en ansatt i et selskap bryter HIPAA-bestemmelsene, selv utilsiktet, kan selskapet bli bøtelagt med opptil 1,5 millioner dollar (den årlige grensen per virksomhet). Noen av de vanligste lovbruddene inkluderer ePHI med manglende informasjon, enheter som unnlater å signere BAA, bruker bærbare datamaskiner til å lagre ePHI, kaster konfidensielle helsedokumenter. Vår HIPAA-bruddveiledning går inn på viktige detaljer om brudd og håndhevingspraksis.

Velge en HIPAA-kompatibel vertspartner

Konsekvensene av å bryte HIPAA kan være ekstreme. Selv om du ikke blir bøtelagt med millioner, er det ikke en fin måte å bruke penger på; og det er ikke gøy å havne på HIPAA Wall of Shame .

Av disse grunner er det ekstraordinært viktig å velge en teknologisk partner som spesialiserer seg på hosting for helsetjenester og som er SOC 2 TYPE II og SOC 3 TYPE II sertifisert og HIPAA og HITECH revidert, som Atlantic.Net. Deres SSD Cloud-servere tilbyr en 100 % oppetidsgaranti og kan starte på under 30 sekunder, bare to av mange grunner til at de har fått vår anbefaling for #1-valg for HIPAA-kompatibel hosting .

Related Posts: