Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > HIPAA Encryptie: Vereisten, beste practices & software
HIPAA Encryptie: Vereisten, beste practices & software

HIPAA Encryptie: Vereisten, beste practices & software

by Vince Lau updated juli 31, 2023 HIPAA-naleving
Reading Time: 8 minutes

Vraagt u zich af of HIPAA encryptie vereist? We behandelen wanneer encryptie verplicht is, welk type het beste is en welke software u kunt gebruiken om aan de vereisten te voldoen.

Vereist HIPAA encryptie? Ja, HIPAA vereist encryptie van beschermde gezondheidsinformatie (PHI) en elektronische PHI (ePHI) van patiënten wanneer de gegevens in rust zijn, oftewel opgeslagen op een schijf, USB-stick, enzovoorts. Er zijn echter zeer specifieke uitzonderingen.

Encryptie van Patiëntgegevens en het Moderne Dreigingslandschap

In november 2019 werden een niet-versleutelde laptop en USB-stick gestolen bij het University of Rochester Medical Center (URMC). Als gevolg daarvan betaalde URMC $3 miljoen aan het Office for Civil Rights (OCR) als onderdeel van een schikking wegens mogelijke schendingen van de HIPAA-beveiligingsvereisten.

Hoewel het verlies van PHI al problematisch genoeg is, liet het OCR-onderzoek een gebrek aan beveiligingsimplementatie binnen de organisatie zien, waaronder het niet uitvoeren van voldoende risicoanalyses (en het daaropvolgend niet verminderen van risico’s en kwetsbaarheden) en het ontbreken van de juiste encryptie van apparaten, een probleem dat negen jaar eerder al was gesignaleerd.

In een wereld van elektronische gegevensoverdracht en mobiele apparaten zijn er tientallen manieren waarop beveiliging kan falen en kan leiden tot HIPAA-nalevingsproblemen. Al deze scenario’s onderstrepen het belang van een sterke, HIPAA-conforme implementatie.

Hoe Werkt Gegevensencryptie voor Patiëntprivacy?

Gegevensencryptie voor patiëntprivacy werkt door persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie (PII/PHI), inclusief tekst en afbeeldingen, zodanig te versleutelen dat deze niet kan worden gelezen of begrepen door anderen dan degenen met de juiste toestemming of toegangsrechten. Dit gebeurt door de gegevens te transformeren via een encryptie-algoritme met een sleutel (alleen bekend bij geautoriseerde partijen). De versleutelde gegevens kunnen vervolgens veilig worden opgeslagen, verzonden en geraadpleegd door bevoegde personen. Encryptie zorgt ook voor gegevensintegriteit, wat betekent dat kan worden vastgesteld of er wijzigingen zijn aangebracht of iets is verwijderd zonder toestemming. Dit helpt om datalekken te voorkomen en de privacy van patiënten te waarborgen.

Wat Zijn de HIPAA Encryptievereisten voor Elektronische Patiëntgegevens?

HIPAA stelt drie basisregels vast voor het beschermen van patiënten en hun informatie:

  1. De Privacyregel, die beschermde gezondheidsinformatie en documentatie beschrijft.
  2. De Regel voor Melding van Datalekken, die bepaalt hoe uw organisatie een HIPAA-datalek moet melden aan autoriteiten en patiënten na een beveiligingsincident.
  3. De Beveiligingsregel, die beveiligingsnormen vastlegt voor de opslag en overdracht van ePHI.

Deze vereisten omvatten de verantwoordelijkheid om de vertrouwelijkheid en veiligheid van ePHI te waarborgen, bescherming te bieden tegen bedreigingen voor die veiligheid, en om, binnen redelijkheid, toekomstige bedreigingen voor die informatie te anticiperen.

Hoewel deze algemene vereisten leiden tot meer specifieke vereisten op het gebied van administratie, risicobeheer en technische implementatie, specificeren ze geen bepaald protocol, technologie of standaard. Wel wordt gesteld dat zorginstellingen redelijke beveiligingsmaatregelen moeten nemen om ePHI te beschermen, waar deze zich ook bevindt, of moeten onderbouwen waarom zij dat niet doen. Het idee is dat, naarmate technologie schaalt en dreigingen evolueren, ook de HIPAA-beveiligingstechnologieën (inclusief beveiligingssoftware) moeten meegroeien.

Het korte antwoord is dus dat de Beveiligingsregel geen specifiek encryptieprotocol voorschrijft—en dat kan verwarrend lijken. Er zijn echter verschillende vereisten in de wet opgenomen die de vereiste sterkte en betrouwbaarheid van een beveiligingsstandaard specificeren, gebaseerd op aanbevelingen van het National Institute of Standards and Technology (NIST).

Volgens HIPAA moet encryptiesoftware voldoen aan minimumeisen die relevant zijn voor de status van die informatie, of deze nu in rust is of onderweg.

Encryptie—De Vereiste Adresseringsverplichting

Encryptie is een cruciaal onderdeel van de HIPAA Beveiligingsregel, die normen stelt voor de bescherming van ePHI. Hoewel encryptie wordt geclassificeerd als een “adresseringsvereiste”, wordt het over het algemeen als onmisbaar beschouwd vanwege het verhoogde risico op datalekken en cyberaanvallen in de huidige digitale zorgomgeving.

De Adresseringsstatus van Encryptie onder de HIPAA Beveiligingsregel Begrijpen

Onder de HIPAA Beveiligingsregel wordt encryptie, opnieuw, beschouwd als een “adresseringsvereiste”. Deze term kan aanvankelijk suggereren dat encryptie optioneel is, maar dat is niet helemaal juist. “Adresseringsvereiste” betekent niet dat het verwaarloosbaar is. In plaats daarvan moeten zorginstellingen beoordelen of encryptie redelijk en passend is binnen hun specifieke context. Als een instelling ervoor kiest om ePHI niet te versleutelen, moet zij de reden hiervoor documenteren en een gelijkwaardig alternatief nemen om ePHI te beschermen.

De Gevolgen van het Niet Implementeren van Encryptie of Gelijkwaardige Maatregelen

Het niet implementeren van encryptie of een even effectieve alternatieve maatregel kan ernstige gevolgen hebben, waaronder datalekken die leiden tot financiële sancties, reputatieschade en mogelijk schade voor patiënten. Bovendien, als er een overtreding plaatsvindt en het OCR vaststelt dat encryptie het lek had kunnen voorkomen of beperken, kan de instelling aansprakelijk worden gesteld voor het niet adequaat invullen van deze HIPAA-vereiste.

Uiteindelijk, hoewel HIPAA encryptie als een “adresseringsvereiste” classificeert, is het in de praktijk een noodzakelijke maatregel in de huidige zorgsector. Door robuuste encryptiestrategieën te implementeren, kunnen zorgorganisaties de beveiliging van ePHI aanzienlijk verbeteren, voldoen aan HIPAA en vertrouwen opbouwen bij patiënten.

HIPAA Encryptievereisten voor Gegevens in Rust

HIPAA stelt essentiële beveiligingsmaatregelen vast om de integriteit en vertrouwelijkheid van PHI te beschermen. Een van deze maatregelen is encryptie van gegevens in rust—vooral gegevens die zijn opgeslagen op digitale apparaten—en dit is een cruciaal onderdeel. De encryptievereisten van HIPAA zijn sterk gebaseerd op de NIST Special Publication 800-111, die richtlijnen biedt voor opslagencryptietechnologieën.

Gegevens in Rust in een Zorgomgeving

“Gegevens in rust” verwijst naar content die zich in een statische toestand bevindt op digitale apparaten, zoals servers, harde schijven, solid-state drives of mobiele apparaten zoals smartphones en tablets. Deze gegevens zijn bijzonder kwetsbaar voor ongeautoriseerde toegang, vooral bij diefstal, verlies of onjuiste verwijdering van apparaten. Gezien het gevoelige karakter van PHI is het beveiligen van gegevens in rust (en onderweg) van het grootste belang in zorgomgevingen om datalekken te voorkomen en het vertrouwen van patiënten te behouden.

NIST Special Publication 800-111: Een Uitgebreide Gids voor Opslagencryptietechnologieën

De NIST Special Publication 800-111, getiteld “Guide to Storage Encryption Technologies for End User Devices“, vormt de basis van de HIPAA-encryptievereisten voor gegevens in rust. Deze gids biedt een uitgebreid overzicht van diverse encryptietechnologieën die de beveiliging van opgeslagen gegevens op verschillende typen apparaten kunnen waarborgen.

Implementatie van Geavanceerde Encryptietechnologieën voor Veilige Gegevensopslag

De NIST-gids adviseert het gebruik van geavanceerde encryptietechnologieën om gegevens in rust te beveiligen. Deze technologieën, waaronder cryptografische algoritmen en technieken, maken gegevens onleesbaar zonder de juiste decryptiesleutel. Volledige schijfencryptie (FDE) is een techniek waarbij alle gegevens op een opslagapparaat worden versleuteld, inclusief gebruikers- en systeembestanden. Evenzo creëert virtuele schijfencryptie een versleutelde container of “virtuele schijf” op het apparaat, wat een extra beveiligingslaag biedt.

De Noodzaak van Robuuste Encryptiestrategieën voor Mobiele Apparaten in de Zorg

Naast servers en computers benadrukt de NIST-gids het belang van encryptie van gegevens op mobiele apparaten. Vanwege hun draagbaarheid en het bijbehorende risico op diefstal of verlies, brengen mobiele apparaten aanzienlijke beveiligingsuitdagingen met zich mee. Het implementeren van robuuste encryptiemethoden voor deze apparaten is essentieel om ongeautoriseerde toegang tot opgeslagen PHI te voorkomen, zelfs als het apparaat in verkeerde handen valt.

HIPAA Encryptievereisten voor Gegevens Onderweg

Wanneer gegevens “onderweg” zijn, bewegen ze actief tussen een verzender en een bestemming. Dit kan het delen van PHI tussen twee zorgverleners via e-mail of andere software omvatten, het verzenden naar cloudopslag, of overdracht tussen centrale servers en mobiele apparaten.

Voor gegevens onderweg verwijst HIPAA naar NIST Special Publication 800-52 “Guidelines for the Selection and Use of Transport Layer Security (TLS) Implementations” en 800-77 “Guide to IPsec VPNs.” Deze publicaties beschrijven de juiste procedures voor het beveiligen van gegevens.

HIPAA Encryptieprotocollen en Hun Rol bij het Beschermen van ePHI

Het handhaven van sterke encryptie voor gegevens in rust op alle computers en apparaten in uw netwerk, samen met sterke bescherming voor gegevens onderweg, helpt om ePHI privé te houden en toont aan het Department of Health and Human Services dat u redelijke en passende end-to-end beveiligingsmaatregelen gebruikt.

Er zijn verschillende maatregelen die HIPAA-naleving ondersteunen, zoals de Advanced Encryption Standard (AES-256). AES-encryptie is een symmetrische methode die is vastgesteld door het U.S. National Institute of Standards and Technology. Door een reeks robuuste beveiligingsstappen en een complexe 256-bits decryptiesleutel is deze standaard vrijwel onmogelijk te kraken met brute force-methoden en is goedgekeurd voor het verwerken van vertrouwelijke gegevens door de Amerikaanse overheid.

Transport Layer Security (TLS) is een ander protocol dat veilige gegevensoverdracht via het web ondersteunt, bijvoorbeeld via HTTPS, e-mail of instant messaging. Dit protocol gebruikt AES-256 plus aanvullende beveiligingsmaatregelen om gegevensoverdracht te beveiligen.

OpenPGP (Pretty Good Privacy) en S/MIME zijn beide compliant, maar vereisen complexe openbare sleutelbeheerprocessen, wat omslachtig en tijdrovend kan zijn voor de meeste organisaties. AES-256 en TLS 1.2 hebben deze nadelen niet, waardoor Kiteworks deze boven andere beveiligingsmaatregelen verkiest.

Deze technologieën kunnen het verzenden van berichten bemoeilijken omdat organisaties openbare beveiligingssleutels moeten beheren, en het sluit niet uit dat e-mailberichten kunnen worden gecompromitteerd in onveilige e-mailomgevingen.

Als vuistregel moet een veilig systeem AES-256 encryptie bevatten voor gegevens in rust en TLS voor gegevens onderweg. Om te voorkomen dat e-mails met openbare-sleutel-encryptie moeten worden verzonden, gebruikt Kiteworks beveiligde dataservers en verstuurt links naar gebruikers. In plaats van versleutelde gegevens direct via e-mail te sturen, stuurt Kiteworks een link naar een beveiligde site met gebruikersauthenticatie, waar de ontvanger de informatie veilig kan bekijken.

Waar Zitten de Grootste Zwakke Schakels in Uw HIPAA Encryptiebescherming en Hoe Kan Encryptie Die Gegevens Beschermen?

Zet geavanceerde encryptie in als eerste stap om HIPAA-naleving te waarborgen. Er zijn echter diverse factoren die die bescherming kunnen ondermijnen, waardoor nalevingsproblemen ontstaan en patiëntgegevens worden blootgesteld:

Onbeveiligde E-mailsystemen en Servers:

Uw medewerkers zullen onvermijdelijk PHI versturen via e-mails of als e-mailbijlagen. Wanneer zij bijvoorbeeld een patiënt doorverwijzen naar een specialist, moeten zij dossiers vol PHI naar die arts sturen.

De beste beveiligde e-mailproducten van vandaag kunnen HIPAA-naleving garanderen voor alle privé-e-mails en bijlagen van uw medewerkers. Kies een oplossing die net zo eenvoudig is als gewone e-mail, geen sleutelbeheer vereist van gebruikers en zelfs grote diagnostische bestanden aankan, zodat gebruikers niet in de verleiding komen het te omzeilen in noodgevallen. Zorg ervoor dat patiënten, collega’s en verzekeraars veilig kunnen ontvangen en antwoorden zonder speciale software.

Verloren en Gestolen Apparaten:

Steeds meer zorgmedewerkers gebruiken laptops, tablets en mobiele telefoons voor hun werk, wat betekent dat ze regelmatig ePHI verwerken via deze apparaten. Een gestolen laptop met een niet-versleutelde harde schijf is een groot beveiligingsrisico en een punt van non-compliance voor uw organisatie. Evenzo kunnen mobiele apparaten met onbeveiligde apps uw organisatie blootstellen aan non-compliance, zelfs als het apparaat zelf versleuteld is. Aanbieders zoals Kiteworks bieden beveiligde mobiele apps die voldoen aan de HIPAA-encryptiestandaarden.

Personeel en Training:

Zwakke wachtwoorden, slechte e-mailgewoonten, gedownloade malware op bedrijfsapparaten of onveilig surfgedrag kunnen aanvallers toegang geven tot PHI, ongeacht welke beveiliging uw organisatie gebruikt. Hoewel HIPAA-encryptie tegen sommige van deze aanvallen beschermt, biedt het geen bescherming tegen een verloren of gestolen apparaat met een sleutel en toegang tot kritische ePHI.

Roterende Encryptiesleutels en Certificaten:

De beste beveiliging ter wereld kan iemand met de juiste sleutel niet tegenhouden. Regelmatige rotatie van sleutels en certificaten maakt uw infrastructuur veerkrachtiger tegen datalekken door gecompromitteerde sleutels.

Derdepartijpartners:

Als uw organisatie samenwerkt met onderaannemers, leveranciers of andere partners, kan uw organisatie aansprakelijk worden gesteld voor hun gebrek aan HIPAA-naleving. Wanneer u een Business Associate Agreement afsluit met een leverancier, wordt daarin vastgelegd waar de aansprakelijkheid ligt als er een datalek optreedt. Kiteworks heeft een standaard BAA die wordt afgesloten met elke partner in de zorgsector om HIPAA-naleving te waarborgen en zowel organisaties als patiënten te beschermen.

Zwakke Encryptie:

Oude computers, servers en apparaten beschikken mogelijk niet over de juiste beveiligingsmaatregelen. Als gegevens op deze apparaten worden opgeslagen voor productie of alleen als back-up, stelt u die gegevens en uw organisatie bloot aan non-compliance.

Voldoe aan de HIPAA Encryptievereisten voor Uw ePHI met Kiteworks

Zorgorganisaties moeten de juiste technische beveiligingsnormen hanteren om ePHI te beschermen. Encryptie van gegevens op servers en tijdens overdracht is een noodzakelijk onderdeel van HIPAA-naleving, en deze noodzaak geldt ook voor derde partijen in de cloud en IT-leveranciers waarmee zij samenwerken.

Kiteworks biedt enterprise-grade managed file transfer en beveiligingsdiensten voor partners in de zorg. Kiteworks voldoet aan alle HIPAA-vereisten, zodat alle gegevens die via onze systemen worden opgeslagen of getransporteerd—of het nu via bestandsoverdracht, e-mail of cloudopslag is—veilig zijn. Dit omvat diverse HIPAA-conforme diensten en technologieën zoals mobiele apps, beveiligde managed file transfer en content firewall software.

Dat betekent dat wanneer u een BAA met ons aangaat, u erop kunt vertrouwen dat patiëntgegevens veilig zijn en uw organisatie compliant is.

Wilt u weten hoe Kiteworks u kan helpen HIPAA-compliant te blijven? Plan vandaag nog een aangepaste demo van Kiteworks.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks