• Home
  • Blogg
  • Hur du inrättar ett HIPAA-kompatibelt molnhosting 2022
  • Blogg
  • Hur du inrättar ett HIPAA-kompatibelt molnhosting 2022

Hur du inrättar ett HIPAA-kompatibelt molnhosting 2022

Vad är HIPAA-överensstämmelse?

Health Insurance Portability and Accountability Act (HIPAA) från 1996 omfattar alla amerikanska hälso- och sjukvårdsenheter som hanterar elektronisk patientinformation (ePHI). Reglerna för HIPAA-överensstämmelse är strikta. och kräver att flera tekniska, administrativa, fysiska och integritetsrelaterade skyddsåtgärder iakttas. USA:s ministerium för hälsa och mänskliga tjänster (HHS).

HIPAA-kompatibel molntjänster

HIPAA-kompatibla molntjänster skapar unika utmaningar för amerikanska sjukvårdsorganisationer, och många läkare väljer att lägga ut detta ansvar på en partner för molnhosting.

Det är obligatoriskt att strikt följa HIPAA:s säkerhets- och sekretessregler, och en undertecknad avtal om affärspartner (BAA) måste avtalas mellan alla enheter.

Tekniska skyddsåtgärder

Dessa fokuserar på att genomföra kontroller av molninfrastruktur för att skydda ePHI. Obligatoriska krav inkluderar åtkomstkontroller för godkända användare av plattformen, användning av unika användarnamn och tillämpning av en stark lösenordspolicy förväntas. Autentisering med flera faktorer (MFA) och åtkomstkontrollistor rekommenderas starkt.

All ePHI ska krypteras under transit (nätverk) och i vila (lagring) med hjälp av minst AES256-krypteringsstandarden. Det finns många revisionskontroller som krävs för all hårdvara, programvara eller infrastruktur som behandlar ePHI. Det krävs funktioner som förbättrad loggning, granskning av användaråtkomst, granskning av behörigheter och systemanvändning.

All molninfrastruktur måste vara kompatibel med lämpliga nivåer av säkerhetsuppdateringar av fast programvara och programvara (patching). Detta tillvägagångssätt begränsar exponeringen av molntjänster för sårbarheter i operativsystem och dataintrång.

Alla BAA-enheter har ett ansvar för att skydda integriteten hos ePHI-uppgifter. Tekniska kontroller av uppgifterna säkerställer att de inte nås, ändras eller förstörs på ett otillåtet sätt. SIEM-plattformar (Security Information Event Management) är konfigurerade för att granska och varna för alla ändringar som görs i ePHI, varningarna övervakas och eskaleras vid behov.

Fysiska skyddsåtgärder

Fysiska skyddsåtgärder har införts för alla BAA-enheter, särskilt när det gäller fysiska anläggningar (byggnader), användning av arbetsstationer och etikett för elektroniska enheter. Byggnadskontroller har införts för att granska anställdas tillträde till byggnader, serverrum och anläggningar som innehåller ePHI. Huvudsyftet är att förhindra att ePHI-uppgifter manipuleras eller stjäls. Varje åtkomst kan spåras och rapporteras dygnet runt.

Det omfattar också att skapa och testa en strategi för katastrofåterställning (DR), vars främsta mål är att kunna återställa tillgången till ePHI i händelse av en större incident. Vanliga scenarier är tillgång till en alternativ DR-kontrollcentral och en teknisk DR-lösning som finns i andra lokaler.

Varje individ eller enhet som utför funktioner eller aktiviteter på uppdrag av en täckt enhet som kräver att affärspartnern får tillgång till PHI anses vara en affärspartner, enligt HHS. Denna person eller organisation kan också tillhandahålla tjänster till en täckt enhet. Exempel på detta är en konsult som granskar sjukhusens användning eller en advokat som har tillgång till PHI när han tillhandahåller juridiska tjänster till en vårdgivare.

Health IT Security

Enhetsetikett är ett utmanande, men obligatoriskt krav i HIPAA och omfattar alla digitala enheter, arbetsstationer/servrar och digitala medier. Alla datorterminaler är skyddade som standard med åtgärder som automatiska låsskärmar och programvara som förhindrar kopiering av data från en USB-enhet.

Ytterligare kontroller införs för hur infrastrukturen för molntjänster säkerhetskopieras, inklusive policyer för datalagring, replikeringskrav och redundans av hårdvara. Det finns extra regler som styr hur data och media förstörs, vanligtvis genom certifierad förstöring.

Administrativa skyddsåtgärder

Detta är de policyer och förfaranden som styr hur BAA-enhetens personal uppträder. Kraven omfattar åtgärder för att genomföra en riskbedömning, riskhantering, rapportering och beredskapsplanering.

Varje BAA-enhet utser dedikerade HIPAA-ansvariga som övervakar hela efterlevnaden. Se till att varje överenskommen process dokumenteras och kontinuerligt ses över. Andra uppgifter som rapportering, lösenordshantering, inloggningsövervakning och tilldelning av utbildningsscheman är slutförda.

BAA-enheterna måste veta vilken ePHI som sparas och var ePHI finns i infrastrukturen. Användarna måste ha lämplig tillgång till ePHI för att kunna utföra sitt arbete, men tillgången måste kontrolleras och övervakas. Tillträdesrättigheter bör alltid beviljas enligt principen om minsta möjliga privilegier.

Integritet och verkställighet

Bestämmelserna om sekretess och tillämpning är det som binder samman HIPAA-lagstiftningen. Sekretessreglerna definierar hur ePHI kan behandlas, användas eller avslöjas av alla BAA-enheter. Sekretessreglerna ligger till grund för många av de administrativa skyddsåtgärder som nämns ovan och som utgör den främsta sekretesspolicyn.

Vad är skyddad hälsoinformation?

Med PHI avses allt som rör hälsa, behandling eller fakturering. Det är allt som kan identifiera en patient, inklusive:

  • Namn
  • Datum (t.ex. födelsedatum, behandlingsdatum)
  • Plats (gatuadress, postnummer osv.)
  • Kontaktnummer (telefonnummer, fax, etc.)
  • Kontaktinformation på webben (e-post, URL eller IP)
  • Identifikationsnummer (socialförsäkring, körkort, sjukförsäkringskonto, VIN osv.)
  • Information om fysisk identitet (foto, fingeravtryck osv.).

Patienterna har rätt att ta del av den hälsoinformation som finns om dem, och personalen utbildas i sekretesspolicyn, och åtgärder vidtas för att minska överträdelser av regeln – t.ex. avskedandeförfaranden. Alla BAA-enheter har ett ansvar för att se till att ePHI inte avslöjas, men om överträdelser inträffar finns det en strikt process för överträdelser att följa.

Om någon anställd i ett företag bryter mot HIPAA-bestämmelserna, även om det är oavsiktligt, kan företaget få böter på upp till 1,5 miljoner dollar (det årliga taket per företag). Några av de vanligaste överträdelserna är ePHI med bristande information, enheter som inte undertecknar BAA, användning av bärbara datorer för att lagra ePHI och slängande av konfidentiella hälsodokument. I vår guide om HIPAA-överträdelser går vi in på detaljer om överträdelser och metoder för att upprätthålla efterlevnaden.

Att välja en HIPAA-kompatibel hostingpartner

Konsekvenserna av att bryta mot HIPAA kan vara extrema. Även om du inte får miljontals kronor i böter är det inte ett bra sätt att spendera pengar, och det är inte roligt att hamna i HIPAA Wall of Shame (skammens vägg).

Av dessa skäl är det oerhört viktigt att välja en teknisk partner som är specialiserad på hosting för hälso- och sjukvården och som är SOC 2 TYPE II- och SOC 3 TYPE II-certifierad. och HIPAA- och HITECH-revisorer, som t.ex. Atlantic.Net. Deras SSD Cloud Servers erbjuder en 100 % upptidsgaranti och kan starta på mindre än 30 sekunder, vilket är två av många anledningar till att de har förtjänat vår rekommendation om att vara nummer 1 för HIPAA-kompatibelt hosting.

Related Posts: