Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wat is een HIPAA-overtreding? Meest voorkomende voorbeelden van overtredingen
Wat is een HIPAA-overtreding? Meest voorkomende voorbeelden van overtredingen

Wat is een HIPAA-overtreding? Meest voorkomende voorbeelden van overtredingen

by Robert Dougherty updated juni 29, 2022 HIPAA-naleving
Reading Time: 15 minutes

De zorgsector kent veel risico’s, vooral als het gaat om het beschermen van de privacy van patiënten. Ongeautoriseerde toegang tot patiëntgegevens kan op diverse manieren plaatsvinden: een nieuwsgierige medewerker, een verloren of gestolen apparaat, een onbeveiligde computer of server, een phishingmail of een ransomware-aanval. Deze en andere vormen van datalekken in de zorg kunnen leiden tot identiteitsdiefstal, verzekeringsfraude en meer.

Wetgeving is één oplossing om beschermde gezondheidsinformatie (PHI) te waarborgen en uiteindelijk de privacy van patiënten te garanderen. Door ervoor te zorgen dat patiëntgegevens veilig en vertrouwelijk zijn, kan de zorgsector patiënten en hun persoonlijke informatie beschermen tegen misbruik, mishandeling of uitbuiting. Daarnaast kan wetgeving bijdragen aan de veiligheid van patiënten door ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot medische dossiers, medicatieopdrachten en andere gezondheidsgerelateerde gegevens.

Wat is HIPAA en op wie is het van toepassing?

HIPAA staat voor de Health Insurance Portability and Accountability Act. Het is een federale wet die zorgorganisaties, waaronder zorgverleners, zorgverzekeraars, zorgplannen en clearinghouses in de zorg, verplicht om de privacy van gezondheidsinformatie van individuen te beschermen. HIPAA vereist ook dat organisaties de beveiliging van dergelijke gegevens waarborgen en individuen toegang en controle geven over hun gezondheidsinformatie. HIPAA is van toepassing op alle personen die werken voor de betrokken entiteiten en zorgverleners, evenals op zakelijke partners waarmee deze entiteiten contracten hebben afgesloten voor bepaalde taken.

Wat is een HIPAA-overtreding?

Een HIPAA-overtreding vindt plaats wanneer de vertrouwelijkheid, integriteit of beschikbaarheid van beschermde gezondheidsinformatie (PHI) wordt geschonden. Voorbeelden van HIPAA-overtredingen zijn:

  • Onjuiste vernietiging van PHI, ongeautoriseerde toegang tot of openbaarmaking van PHI
  • Het niet implementeren van passende beveiligingsmaatregelen om PHI te beschermen
  • Onjuist gebruik van PHI voor marketingdoeleinden
  • Niet zorgen voor toestemming van de patiënt voordat PHI wordt gedeeld
  • Het personeel niet goed trainen op HIPAA-naleving

Wat zijn de gevolgen van een HIPAA-overtreding?

Een HIPAA-overtreding kan ernstige gevolgen hebben voor zorgverleners en organisaties. Gevolgen kunnen bestaan uit hoge boetes, intrekking van vergunningen, openbare bekendmaking van het datalek en zelfs strafrechtelijke vervolging. De ernst van de sanctie hangt af van de aard en omvang van het datalek. Het is daarom van cruciaal belang dat zorgverleners en organisaties strikt voldoen aan de HIPAA-regelgeving om mogelijke overtredingen en de kostbare gevolgen daarvan te voorkomen.

Bovendien kan een HIPAA-overtreding leiden tot verlies van vertrouwen en reputatieschade voor zorgverleners en organisaties. Patiënten en cliënten vertrouwen erop dat zorgverleners hun gevoelige gezondheidsinformatie beschermen, en een datalek kan het vertrouwen in hun vermogen om dat te doen ernstig schaden. Dit verlies aan vertrouwen kan ook leiden tot mogelijke juridische stappen van getroffen patiënten en cliënten, wat verdere financiële en juridische consequenties met zich meebrengt.

Daarnaast kan een HIPAA-overtreding het concurrentievoordeel van een zorgverlener schaden, omdat patiënten mogelijk kiezen voor een concurrerende organisatie met een betere reputatie op het gebied van HIPAA-naleving. Al met al zijn de gevolgen van een HIPAA-overtreding ernstig en kunnen ze de financiële stabiliteit en reputatie van zorgverleners en organisaties aanzienlijk beïnvloeden. Het is daarom essentieel dat zorgorganisaties (dekkende entiteiten) en hun partners (business associates) prioriteit geven aan naleving van de HIPAA-regelgeving om mogelijke datalekken en de kostbare gevolgen daarvan te voorkomen.

Meest voorkomende HIPAA-overtredingen onder zorgmedewerkers

Er zijn diverse voorbeelden van HIPAA-overtredingen die zorgmedewerkers vaak begaan. Een van de meest voorkomende overtredingen is ongeautoriseerde toegang tot patiëntinformatie. Dit gebeurt vaak uit nieuwsgierigheid of voor persoonlijk gewin, zoals het bekijken van de medische dossiers van een beroemdheid.

Een andere veelvoorkomende overtreding is het onjuist vernietigen van patiëntinformatie. Dit kan gebeuren wanneer zorgmedewerkers documenten met PHI niet versnipperen of elektronische apparaten met PHI niet correct afvoeren.

Bovendien kunnen zorgmedewerkers de HIPAA overtreden door patiëntinformatie te delen met ongeautoriseerde personen of door patiëntinformatie te gebruiken voor marketingdoeleinden zonder toestemming van de patiënt. Deze overtredingen kunnen leiden tot hoge boetes en juridische stappen tegen zorgmedewerkers en hun werkgevers. Het is daarom essentieel dat zorgmedewerkers het belang van het beschermen van de vertrouwelijkheid van patiënten begrijpen en weten hoe ze zich aan de HIPAA-regels moeten houden om mogelijke overtredingen te voorkomen.

Wat is de straf voor een HIPAA-overtreding door een ziekenhuisvrijwilliger?

HIPAA-datalekken gepleegd door ziekenhuisvrijwilligers kunnen ernstige gevolgen hebben voor zowel de vrijwilliger als het ziekenhuis waarvoor zij werken. In het geval van een datalek van PHI kunnen de vrijwilliger en het ziekenhuis worden geconfronteerd met civiele en strafrechtelijke sancties, evenals reputatieschade. Afhankelijk van de ernst van het datalek en de omvang van de schade kan de vrijwilliger boetes tot $50.000 en een mogelijke gevangenisstraf krijgen. Daarnaast kan het ziekenhuis civielrechtelijke boetes tot $1,5 miljoen krijgen. Om deze boetes en sancties te voorkomen, is het essentieel dat ziekenhuisvrijwilligers voldoende training krijgen in het omgaan met PHI en het belang begrijpen van het beschermen van patiëntprivacy en vertrouwelijke informatie.

Hoe worden HIPAA-overtredingen ontdekt?

HIPAA-overtredingen worden meestal ontdekt via zelfgerapporteerde incidenten, meldingen door iemand die op de hoogte is van de overtreding, periodieke operationele controles en externe audits of beoordelingen. Daarnaast kunnen staats- en federale instanties overtredingen aan het licht brengen via klachtenonderzoeken, toezicht of steekproeven.

Voorbeelden van HIPAA-overtredingen

Het Amerikaanse ministerie van Volksgezondheid en Human Services Office for Civil Rights (OCR) is bevoegd om op te treden tegen elke HIPAA-entiteit of business associate die de HIPAA-wet- en regelgeving niet naleeft. De OCR kan civiele geldboetes opleggen van $100 tot maximaal $50.000 per overtreding. De OCR heeft ook de bevoegdheid om corrigerende maatregelen op te leggen en organisaties te verplichten een effectief nalevingsprogramma te implementeren. Enkele van de grootste bekende schikkingen voor HIPAA-overtredingen zijn onder andere:

  • Anthem Inc.—In 2020 trof de OCR een schikking met Anthem Inc. voor $16 miljoen na een datalek waarbij meer dan 78,8 miljoen personen werden getroffen.
  • Cignet Health—In 2010 trof Cignet Health een schikking met de OCR voor $4,3 miljoen nadat 41 personen hun recht op inzage in hun medische dossiers werd geweigerd.
  • NewYork-Presbyterian Hospital en Columbia University—In 2019 trof de OCR een schikking met NewYork-Presbyterian Hospital en Columbia University voor $8,3 miljoen nadat een filmploeg zonder toestemming patiëntenkamers filmde.
  • University of Mississippi Medical Center—In 2020 trof de OCR een schikking met het University of Mississippi Medical Center voor $2,75 miljoen na het niet tijdig melden van een ongeoorloofd gebruik en openbaarmaking van beschermde gezondheidsinformatie.
  • Advocate Health Care—In 2017 trof de OCR een schikking met Advocate Health Care voor $5,55 miljoen nadat een niet-versleutelde server werd gestolen en 4 miljoen personen werden getroffen.

Zijn boetes voor HIPAA-overtredingen altijd gerelateerd aan datalekken?

Nee, boetes voor HIPAA-overtredingen zijn niet altijd gerelateerd aan datalekken. HIPAA-overtredingen zijn schendingen van de privacyregels voor patiënten die zijn vastgesteld door de Health Insurance Portability and Accountability Act. Overtredingen van deze regels kunnen op diverse manieren plaatsvinden, zoals het gebruiken van patiëntinformatie voor marketingdoeleinden of het niet adequaat beschermen van patiëntgegevens.

Boetes voor HIPAA-overtredingen kunnen bestaan uit civiele boetes, strafrechtelijke sancties, nieuwe administratieve of zakelijke procedures of vervolgonderzoeken en audits; echter, niet al deze sancties zijn noodzakelijkerwijs gerelateerd aan datalekken. In sommige gevallen kunnen dergelijke boetes het gevolg zijn van handelingen van medewerkers of het niet correct implementeren van HIPAA-vereisten. Uiteindelijk hangt het af van de specifieke overtreding en het oordeel van de handhavende instantie.

Wat is de HIPAA Privacy Rule?

De HIPAA Privacy Rule (formeel bekend als de “Standards for Privacy of Individually Identifiable Health Information”) is een van de kernregels die samen de HIPAA-regelgeving vormen en definieert de rollen en verantwoordelijkheden van organisaties die onder de rechtsbevoegdheid van HIPAA vallen.

De korte definitie van de Privacy Rule is dat het bepaalt welke informatie organisaties moeten beschermen tegen “ongeoorloofde openbaarmaking”, oftewel het delen van patiëntinformatie zonder directe toestemming van de betreffende persoon.

De regel definieert ook welke typen organisaties deze gegevensbeschermingsregels moeten volgen, de sancties bij het niet beschermen van die informatie en de beperkte contexten waarin ongeoorloofde openbaarmaking wettelijk is toegestaan.

Beschermde gezondheidsinformatie (PHI), de kernverantwoordelijkheid van elke entiteit die onder HIPAA valt, vereist het implementeren van beveiligings- en privacycontroles voor PHI die verband houdt met de zorg voor een patiënt of de betaling daarvan.

Volgens de Privacy Rule wordt PHI gedefinieerd als informatie over:

  • De vroegere, huidige of toekomstige fysieke of mentale gezondheidstoestand van een individu
  • De levering van zorg aan dat individu, of
  • Vroegere, huidige of toekomstige betalingen voor de levering van zorg aan dat individu
  • De identiteit van het individu buiten hun zorgverlening

Kortom, alle informatie die wordt gebruikt om de zorg voor een patiënt, de gezondheidstoestand of de wijze van betaling voor zorg aan te duiden, samen met persoonlijk identificeerbare informatie (PII), wordt beschouwd als PHI voor HIPAA-naleving en governance.

In de praktijk definieert HIPAA slechts twee legitieme vormen van verplichte openbaarmaking van PHI:

  • Wanneer zij daarom vragen: het individu (de patiënt) of een gemachtigde vertegenwoordiger
  • Aan het Department of Health and Human Services (HHS) voor nalevingsonderzoeken

Er zijn echter ook diverse toegestane situaties voor openbaarmaking, die hieronder worden besproken.

Covered Entities en Business Associates

HIPAA is niet op iedere persoon van toepassing. Als iemand bijvoorbeeld per ongeluk gevoelige PHI tegenkomt en deze openbaar maakt, valt deze persoon niet onder de boetes of sancties die gelden voor feitelijke, gereguleerde entiteiten.

HIPAA is specifiek van toepassing op twee typen organisaties:

Wat zijn Covered Entities onder HIPAA?

Een Covered Entity, of CE, is de primaire organisatie die onder de rechtsbevoegdheid van HIPAA valt. Deze organisaties omvatten:

  • Zorgverzekeraars: Zorgverzekeringsmaatschappijen, waaronder medicijnverzekeraars, HMO’s, Medicare, Medicaid of verzekeraars die dekking bieden via particuliere plannen of via werkgevers, vallen allemaal onder de HIPAA-regels (juist omdat zij zowel informatie over zorg als de betaling ervan verwerken).
  • Zorgverleners: Dit zijn de primaire aanbieders van zorg. Ziekenhuizen, huisartsenpraktijken, spoedklinieken en specialisten vallen allemaal in deze categorie.
  • Healthcare Clearinghouses: Clearinghouses zijn in wezen tussenorganisaties tussen verzekeraars en zorgverleners, bedoeld om verzekeraars te helpen claims van diverse platforms en entiteiten correct te verwerken.

Wat zijn Business Associates onder HIPAA?

Business Associates, of BAs, zijn (zoals de naam al zegt) externe leveranciers of partners van Covered Entities die een functie vervullen waarbij PHI betrokken is. Ze zijn mogelijk zelf geen CE, maar leveren een essentiële dienst zoals betalingsverwerking, cloudopslag of applicatieontwikkeling.

Als onderdeel van de relatie tussen een Covered Entity en een Business Associate vereist HIPAA dat de partners een Business Associate Agreement (BAA) hebben waarin de nalevingsvereisten van hun samenwerking en de toepassing op HIPAA-naleving worden vastgelegd.

Let op: hoewel een BA niet per definitie een CE is, kan dat wel het geval zijn. Een organisatie die als CE fungeert, kan ook diensten aanbieden aan andere CEs als Business Associate (met een bijbehorende BAA).

Wat gebeurt er als een Business Associate HIPAA overtreedt?

Wanneer een CE of BA PHI openbaar maakt aan een ongeautoriseerde gebruiker (iedereen die niet de patiënt is, een bedrijf dat zorg verleent aan die patiënt of een gemachtigde vertegenwoordiger), overtreden zij de HIPAA.

Volgens de richtlijnen en verdere verduidelijking van HHS zijn niet alle openbaarmakingen gelijk. In feite is onbedoelde openbaarmaking de meest voorkomende vorm van HIPAA-overtreding.

Wat betekent dit voor Covered Entities en Business Associates? Het belangrijkste onderdeel van HIPAA-naleving is het daadwerkelijk en te goeder trouw nastreven van echte naleving van de richtlijnen.

HIPAA-naleving betekent niet datalekken voorkomen of waterdichte gegevensbeveiliging creëren. Het betekent voldoen aan de vereisten om risico’s te verminderen en snel te handelen wanneer overtredingen plaatsvinden.

Er zijn echter wel boetes voor niet-naleving, die niet onderschat mogen worden. Over het algemeen zijn HIPAA-boetes onderverdeeld in twee categorieën:

Civiele boetes voor het overtreden van HIPAA

Civiele boetes zijn de meest voorkomende vorm van disciplinaire maatregelen op dit gebied. HHS en het Office of Civil Rights (OCR) geven de voorkeur aan niet-strafmaatregelen bij niet-naleving en kiezen voor inspanningen om problemen te herstellen. Naarmate overtredingen ernstiger worden, zullen civiele boetes steeds hogere financiële sancties omvatten. De ernst van een overtreding wordt mede bepaald door de inspanningen van de organisatie om het probleem aan te pakken.

Civiele boetes voor HIPAA-overtredingen zijn onderverdeeld in vier niveaus:

  • Niveau 1: Dit laagste niveau betreft situaties waarin ongeoorloofde openbaarmaking plaatsvindt, maar dit te wijten is aan een probleem waarvan de organisatie niet op de hoogte kon zijn en redelijkerwijs niet kon weten. Daarnaast heeft de organisatie voldoende stappen ondernomen om HIPAA-naleving te waarborgen.
  • Niveau 2: Een stap hoger dan niveau 1; niveau 2 betreft overtredingen waarvan de organisatie op de hoogte had moeten zijn, maar die niet konden worden vermeden. De openbaarmaking is niet het gevolg van opzettelijke nalatigheid en de organisatie onderneemt stappen om te herstellen.
  • Niveau 3: Overtredingen op niveau 3 ontstaan door opzettelijke nalatigheid van HIPAA waarbij de organisatie bewust haar verantwoordelijkheden onder de wet niet is nagekomen. Er zijn echter pogingen gedaan om het onderliggende probleem te corrigeren.
  • Niveau 4: Niveau 4 verwijst naar openbaarmakingen die plaatsvinden door opzettelijke nalatigheid zonder enige poging om het kernprobleem op te lossen.

Zoals duidelijk is, zijn boetes gekoppeld aan de mate waarin een organisatie haar verantwoordelijkheden nakomt en hoe serieus deze worden genomen bij openbaarmakingen of datalekken.

Boetes kunnen variëren, en HHS bepaalt deze op basis van het type HIPAA-datalek, de bereidheid van de organisatie om mee te werken aan een onderzoek en andere factoren. Sinds januari 2022 zijn de basisbedragen voor deze boeteniveaus (aangepast voor inflatie):

Niveau

Minimale boete (per overtreding)

Maximale boete (per overtreding)

Maximale boete (per kalenderjaar)

Niveau 1

$127

$60.973

$1.919.173

Niveau 2

$1.280

$60.973

$1.919.173

Niveau 3

$12.794

$60.973

$1.919.173

Niveau 4

$60.973

$1.919.173

$1.919.173

Deze boeteniveaus zijn vastgelegd in de HITECH Act van 2009.

Strafrechtelijke boetes voor het overtreden van HIPAA

Strafrechtelijke HIPAA-boetes komen veel minder vaak voor dan civiele boetes. De meeste overtredingen zijn organisatorisch en niet het gevolg van individuele criminaliteit, en vallen onder de definitie van een civiel delict.

Bovendien vallen veel van de kwesties die onder een strafrechtelijke boete zouden vallen (digitale of identiteitsfraude, hacken, enz.) onder andere wetten en zijn ze niet specifiek voor HIPAA of de zorgsector.

Individuen die direct betrokken zijn bij de zorg kunnen echter bewust HIPAA overtreden voor persoonlijk gewin, waardoor strafrechtelijke boetes noodzakelijk zijn. Ook deze boetes zijn onderverdeeld in niveaus:

  • Niveau 1: Als een individu of organisatie bewust ongeoorloofde PHI verkrijgt, kan een boete van $50.000 en 1 jaar gevangenisstraf worden opgelegd.
  • Niveau 2: Als de overtreder bewust PHI verkrijgt en valse voorwendselen (fraude) gebruikt, kan een boete tot $100.000 en tot 5 jaar gevangenisstraf worden opgelegd.
  • Niveau 3: Als de overtreder op frauduleuze wijze PHI verkrijgt met de intentie om die informatie te verkopen, over te dragen of te gebruiken, kan een boete tot $250.000 en tot 10 jaar gevangenisstraf worden opgelegd.

Wie kan een rechtszaak aanspannen wegens een HIPAA-overtreding?

Het juridische proces voor een HIPAA-overtreding begint doorgaans met het indienen van een klacht bij de bevoegde rechtbank door een eiser tegen een gedaagde. De klacht verwijst naar de relevante HIPAA-regelgeving die is overtreden en eventuele andere toepasselijke staatswetten. Beide partijen wisselen vervolgens informatie en documenten uit als onderdeel van het discovery-proces, dat wordt begeleid en gecontroleerd door de rechtbank. Na discovery kunnen beide partijen onderhandelen over een schikking, als zij dat wensen. Als er geen schikking wordt bereikt, gaat de zaak naar de rechter.

Hoe kan ik HIPAA-overtredingen voorkomen?

De beste manier om HIPAA-overtredingen te voorkomen is door strikt te voldoen aan de HIPAA-vereisten. Dat betekent:

  • Bescherm de toegang tot systemen met sterke identity and access management (IAM).
  • Versleutel gegevens die op servers zijn opgeslagen (in rust) en die tussen systemen worden verzonden (onderweg) met sterke encryptie, waaronder AES-256 Encryptie voor data in rust en TLS 1.2+ voor data onderweg.
  • Gebruik geen communicatie in platte tekst om PHI te delen (gewone e-mail, sms, enz.).
  • Vernietig PHI wanneer deze niet langer nodig is en de bewaartermijnen zijn verstreken. Dit omvat het versnipperen of verbranden van papieren exemplaren en het vernietigen of saniteren van harde schijven en USB-sticks.
  • Houd sterke screening- en trainingsprocessen aan voor medewerkers en externe Business Associates.
  • Houd up-to-date BAA’s bij voor alle contracten en leveranciersrelaties.
  • Houd sterke toegangscontrolesystemen aan om onbedoelde openbaarmaking van PHI aan interne medewerkers te voorkomen.
  • Beveilig apparaten (telefoons, laptops, tablets) tegen fysieke en digitale toegang. Versleutel apparaten, bewaar ze in beveiligde ruimtes, enz.

Daarnaast is het verstandig om de contexten te begrijpen waarin u PHI mag delen, zoals gedefinieerd in de Privacy Rule:

  • Individuen: U mag PHI altijd delen met de patiënt, mits dit veilig gebeurt (met versleutelde en beveiligde communicatiesystemen).
  • Behandeling, betaling en zorgprocessen: Organisaties mogen PHI intern delen voor behandelings-, betalings- en zorgdoeleinden. Evenzo mag de CE deze informatie delen met een andere CE als beide organisaties een relatie met de patiënt hebben.
  • Incidenteel risico: Als de organisatie alle voorzorgsmaatregelen tegen openbaarmaking heeft genomen en de gegevens toch worden gedeeld met een ongeautoriseerde partij als onderdeel van een legitieme openbaarmaking, is de organisatie niet aansprakelijk.
  • Publiek belang: Diverse contexten met betrekking tot het algemeen belang staan het delen van PHI toe, waaronder openbaarmakingen die wettelijk verplicht zijn (gerechtelijke bevelen, wetshandhaving of andere wetten), openbaarmakingen voor volksgezondheidsactiviteiten (zoals een pandemie), meldingen van misbruik of verwaarlozing, uitvaartregelingen, orgaandonatie, werknemerscompensatie of onderzoeksdoeleinden.

HIPAA-overtredingen checklist

Wij hebben deze checklist ontwikkeld om organisaties te helpen bij het evalueren van hun HIPAA-naleving en het identificeren van mogelijke overtredingen. Deze checklist is een waardevol hulpmiddel om de naleving van HIPAA te beoordelen en proactief aandacht te besteden aan aandachtspunten. Door de items op deze checklist te beoordelen en aan te pakken, kunnen organisaties hun gegevensbeveiligingspraktijken verbeteren, risico’s beperken en voldoen aan regelgeving.

De checklist bestrijkt een breed scala aan HIPAA-gerelateerde onderwerpen, waaronder schriftelijke beleidsregels en procedures, PHI-opslag, toegangscontroles, business associate agreements, privacyverklaringen, individuele rechten, training en bewustwording, meldingen van datalekken, risicobeoordelingen, incidentrespons, apparaat- en mediacontroles, auditcontroles, encryptie en gegevensbeveiliging, en documentatiebewaring.

Het is belangrijk op te merken dat deze checklist een algemeen overzicht biedt van mogelijke HIPAA-overtredingen en geen uitputtende lijst is. De omstandigheden en vereisten van elke organisatie kunnen verschillen. Het is aan te raden om zorgspecifieke juridische experts of HIPAA-nalevingsprofessionals te raadplegen voor een uitgebreide beoordeling die is afgestemd op de specifieke behoeften van de organisatie.

Type overtreding Beschrijving Status Verantwoordelijke partij
PHI-datalek Ongeautoriseerde toegang tot patiëntendossiers Open/Opgelost IT-afdeling
Ontbrekende BAA Niet opstellen van Business Associate Agreements Open/Opgelost Nalevingsteam
Onvoldoende training Werknemers niet voldoende getraind op HIPAA Open/Opgelost HR-afdeling
Overtreding van gegevensopslag PHI opgeslagen op niet-versleutelde apparaten Open/Opgelost IT-afdeling
Ongeoorloofde openbaarmaking PHI gedeeld met ongeautoriseerde personen Open/Opgelost Nalevingsteam
Probleem met privacyverklaring Onvolledige of onjuiste privacyverklaring Open/Opgelost Juridische afdeling
Vertraging risicobeoordeling Vertraging bij het uitvoeren van regelmatige risicobeoordelingen Open/Opgelost Beveiligingsafdeling
Onjuiste vernietiging PHI niet correct vernietigd Open/Opgelost Operationeel team
Ontbrekende encryptie PHI verzonden zonder encryptie Open/Opgelost IT-afdeling
Incident Response Plan Onvoldoende of ontbrekend incident response plan Open/Opgelost Beveiligingsafdeling

PHI beschermen en effectief communiceren met Kiteworks

Het is cruciaal voor organisaties die HIPAA-overtredingen willen voorkomen om de technische infrastructuur op orde te hebben om PHI te beveiligen. Dergelijke technologie kan echter uitdagingen opleveren wanneer patiënten verwachten dat CEs met hen communiceren zoals ze gewend zijn—via e-mail of andere berichtensystemen.

Het Kiteworks Private Content Network is een oplossing die ondernemingen met aanzienlijke HIPAA-vereisten ondersteunt, zodat zij aan deze vereisten kunnen voldoen zonder hun interne communicatie te belemmeren en effectief met patiënten kunnen samenwerken. Na de overname van totemo heeft Kiteworks een volledig netwerk van end-to-end encryptie en HIPAA-beveiliging geïmplementeerd dat kan integreren met gangbare productiviteits- en samenwerkingssoftware.

Sterke encryptie

Kiteworks versleutelt gevoelige contentcommunicatie met een unieke, sterke sleutel op bestandsniveau en met een andere sterke sleutel op disk-hoeveelheidniveau. Dit zorgt ervoor dat elk bestand dubbel wordt versleuteld. Daarnaast worden bestandssleutels, volumesleutels en andere tussensleutels versleuteld opgeslagen.

Minstens zo belangrijk: Kiteworks gebruikt een wachtwoordzin die door een beheerder wordt ingevoerd om een super key te genereren die wordt gebruikt voor de encryptie van alle opgeslagen sleutels—en die alleen toegankelijk is voor de Kiteworks-klant. Wanneer een beheerder de wachtwoordzin regelmatig wijzigt, zoals aanbevolen, verloopt dit proces snel en efficiënt omdat alleen de sleutels opnieuw hoeven te worden versleuteld en niet alle content.

Nalevingstracking en rapportage

Het Kiteworks-platform biedt standaard compliance-rapportages voor branche- en overheidsregelgeving en -normen, zoals de Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS), SOC 2 en General Data Protection Regulation (GDPR).

Bovendien benadrukt Kiteworks certificering en naleving van diverse normen, waaronder maar niet beperkt tot FedRAMP, FIPS (Federal Information Processing Standards) en FISMA (Federal Information Security Management Act).

Eveneens wordt Kiteworks beoordeeld op IRAP (Information Security Registered Assessors Program) PROTECTED-niveau controles. Op basis van een recente beoordeling behaalt Kiteworks naleving van bijna 89% van de Cybersecurity Maturity Model Certification (CMMC) Level 2-praktijken.

Diepgaande, geharde beveiliging

Kiteworks’ uniforme syslog en meldingen combineren en standaardiseren logboekvermeldingen van alle componenten, waardoor security operations center-teams kostbare tijd besparen en compliance-teams helpen bij de voorbereiding op audits. Met name dankzij de onveranderlijke audit logs van het Kiteworks-platform kunnen organisaties erop vertrouwen dat aanvallen sneller worden gedetecteerd en dat de juiste bewijsketen behouden blijft voor forensisch onderzoek.

Er zijn diverse aspecten van het Kiteworks Private Content Network die organisaties extra beveiliging bieden, waaronder:

  • SIEM-integratie: Kiteworks ondersteunt integratie met grote security information and event management (SIEM)-oplossingen, waaronder IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Het bevat ook de Splunk Forwarder en een Splunk App.
  • Zichtbaarheid en beheer: Het CISO-dashboard in Kiteworks geeft organisaties een overzicht van hun informatie: waar deze zich bevindt, wie er toegang toe heeft, hoe deze wordt gebruikt en of data die wordt verzonden, gedeeld of overgedragen voldoet aan regelgeving en normen. Het CISO-dashboard stelt bedrijfsleiders in staat om weloverwogen beslissingen te nemen en biedt een gedetailleerd inzicht in compliance.
  • Single-tenant cloud-omgeving: Beveiligd delen van bestanden, geautomatiseerde bestandsoverdracht, bestandsopslag en gebruikersrechten vinden plaats op een toegewijde Kiteworks-instantie, geïmplementeerd on-premises, op de Infrastructure-as-a-Service (IaaS)-bronnen van een organisatie of gehost als een private single-tenant instantie door Kiteworks in de cloud via de Kiteworks Cloud-server. Dit betekent geen gedeelde runtime, gedeelde databases of repositories, gedeelde resources of kans op cross-cloud datalekken of aanvallen.

Ontdek hoe Kiteworks uw HIPAA-nalevingsinspanningen ondersteunt door een aangepaste demo aan te vragen.

Veelgestelde vragen

HIPAA-naleving betekent het voldoen aan de federale normen die zijn vastgesteld in de Health Insurance Portability and Accountability Act (HIPAA) van 1996. Dit omvat vereisten voor de omgang met en bescherming van patiëntgegevens, evenals patiëntprivacy.

Beschermde gezondheidsinformatie (PHI) is alle individueel identificeerbare informatie met betrekking tot de fysieke of mentale gezondheidstoestand van een patiënt, de levering van zorg of de betaling van zorgdiensten. Dit omvat namen, adressen, burgerservicenummers, medische dossiers en andere vertrouwelijke informatie die aan de gezondheid van een patiënt is gekoppeld.

Het niet naleven van HIPAA-regelgeving kan leiden tot civiele of strafrechtelijke boetes. Civiele boetes variëren van $100 tot $50.000 per incident. In gevallen van opzettelijke nalatigheid kunnen strafrechtelijke sancties oplopen tot 10 jaar gevangenisstraf.

Om aan de HIPAA-vereisten te voldoen, moet uw technologie veilige gegevensopslag, toegangscontrole, gebruikersauthenticatie, encryptie, audit logging en activiteitenmonitoring bieden. Ook moet het mogelijk zijn om de toegang tot gegevens te beperken op basis van de rol van de gebruiker en alleen geautoriseerde personen toegang te geven tot de gegevens die zij nodig hebben.

Het naleven van HIPAA-regelgeving helpt bij het beschermen van patiëntgegevens, vergroot het vertrouwen in het zorgsysteem, verlaagt de zorgkosten en verbetert de patiëntveiligheid. Ook beschermt het uw organisatie tegen juridische en financiële gevolgen.

Om ervoor te zorgen dat uw organisatie HIPAA-compliant is, werkt u samen met een gekwalificeerde externe leverancier die u kan helpen bij het auditen van uw data en processen, het ontwikkelen van een uitgebreid informatiebeveiligingsplan en het opleiden van uw personeel in beste practices voor gegevensbeveiliging en patiëntprivacy.

Kiteworks biedt organisaties de tools en functies die nodig zijn om hun data veilig en privé te houden en te voldoen aan HIPAA. Het Kiteworks Private Content Network stelt organisaties in staat om HIPAA-naleving aan te tonen door gevoelige PHI-gegevensuitwisselingen—e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en API’s—te verenigen, te controleren, te volgen en te beveiligen. Kiteworks biedt rolgebaseerde toegangscontrole om ervoor te zorgen dat gebruikers alleen toegang krijgen tot de gegevens die ze nodig hebben voor hun werk, en helpt organisaties bij het monitoren en controleren van gegevens in overeenstemming met HIPAA. Ook blijft uw organisatie compliant dankzij geautomatiseerde audit logging, mogelijkheden voor directe gegevensvernietiging en uitgebreide rapportagemogelijkheden. Deze functies helpen organisaties om een helder beeld te houden van hun beveiligingsstatus en ervoor te zorgen dat patiëntgegevens alleen door geautoriseerde personen worden geraadpleegd en veilig en permanent worden verwijderd wanneer ze niet langer nodig zijn.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks