Datalekken in de zorg komen vaak voor, waardoor patiëntgegevens en HIPAA-naleving in gevaar komen
Datalekken in de zorg en HIPAA-nalevingsschendingen als gevolg van die datalekken komen steeds vaker voor. Dat is een van de opvallende conclusies uit het zesde jaarlijkse onderzoek van het Ponemon Institute naar de stand van zaken op het gebied van beveiliging en privacy in de zorgsector. Op basis van een gedetailleerde enquête onder zorgorganisaties (HCO’s) en hun zakelijke partners (BA’s), constateerde het Ponemon-onderzoek dat in de afgelopen 24 maanden:
- 89% van de zorgorganisaties ten minste één datalek had meegemaakt
- 79% van de zorgverleners had twee datalekken meegemaakt
- 45% had vijf of meer datalekken meegemaakt
De oorzaken van datalekken in de zorg waren divers, maar criminele actoren, zowel binnen als buiten de HCO, speelden een belangrijke rol. Gevraagd naar de oorzaken van datalekken:
- 50% van de zorgorganisaties noemde criminele aanvallen
- 41% noemde fouten door derden
- 39% noemde gestolen computerapparatuur zoals laptops
- 13% noemde kwaadwillende interne medewerkers
Criminelen begrijpen duidelijk de waarde van gestolen medische dossiers voor het plegen van medische fraude en andere vormen van identiteitsdiefstal. Gestolen medische dossiers kunnen worden gebruikt om op illegale wijze recepten, medische apparatuur zoals elektrische rolstoelen en medische zorg ter waarde van duizenden of zelfs tienduizenden dollars te verkrijgen. Volgens Experian kost een gemiddeld geval van medische fraude het slachtoffer meer dan $22.000. Het is dan ook niet verwonderlijk dat een gestolen medisch dossier 10 keer zoveel oplevert als een gestolen creditcard op de zwarte markt.
Aangezien medische fraude zo winstgevend is, moeten HCO’s en BA’s verwachten dat aanvallen op medische dossiers en factureringsgegevens zullen blijven plaatsvinden.
Niet Uitgezonderd: Zakelijke Partners en Andere Derden
De Ponemon-enquête naar zorgdata van dit jaar was de eerste die ook zakelijke partners als respondenten meenam. Het verbreden van de focus op gegevensbeveiliging in de zorg en HIPAA-naleving naar de zakelijke partners van zorgorganisaties is logisch. In 2009 breidde de Health Information Technology for Economic and Clinical Health Act (beter bekend als de HITECH Act) de reikwijdte van de HIPAA Data Privacy Rule uit om ook de zakelijke partners van een HCO te omvatten, zoals externe beheerders, medische transcriptiespecialisten, advocatenkantoren, accountantskantoren en andere partijen die diensten leveren zoals data-analyse, praktijkanalyse en facturering.
Gezien de aard van hun werkzaamheden krijgen deze organisaties onvermijdelijk te maken met beschermde gezondheidsinformatie (PHI) zoals medische dossiers en zijn ze net zo vatbaar voor een datalek in de zorg als een HCO. Daarom vereist de HITECH Act dat deze organisaties voldoen aan dezelfde normen voor gegevensprivacy en gegevensbeveiliging die HCO’s zelf hanteren om HIPAA-naleving te bereiken.
HCO’s lijken zich bewust van de risico’s die BA’s en andere derden vormen voor het veroorzaken van datalekken in de zorg en het creëren van HIPAA-nalevingsschendingen. Volgens de Ponemon-enquête vindt ongeveer een derde van de HCO’s dat BA’s niet zorgvuldig genoeg worden gescreend, en besteedt ongeveer twee derde (61%) van de HCO’s nu meer aandacht aan de gegevensbeveiligingspraktijken van de BA’s waarmee ze samenwerken.
Het Oplossen van het Probleem van Datalekken in de Zorg
Om de frequentie en omvang van datalekken in de zorg te verminderen, hebben HCO’s en hun zakelijke partners nieuwe oplossingen voor gegevensbeveiliging en gegevensbeheer nodig die werken met hun bestaande IT-systemen. Concreet hebben HCO’s en BA’s behoefte aan:
- Uitgebreide gegevensbeveiliging – Gegevens moeten binnen de hele organisatie beveiligd zijn, ongeacht of ze lokaal of in de cloud zijn opgeslagen. Ook moet rekening worden gehouden met hoe de gegevens worden benaderd (bijvoorbeeld desktop, laptop, tablet, mobiel of wearable). Zorgen dat de gegevens versleuteld zijn tijdens verzending, gebruik en opslag is een goed begin.
- Uitgebreide Antivirus (AV)-bescherming – Anti-malware screening die rootkits en andere softwaretools van aanvallers stopt, moet aanwezig zijn. Op mobiele apparaten moet gevoelige inhoud worden opgeslagen in een “secure container”, een beschermd geheugen- en opslaggebied dat het risico op besmetting door malware elders op het apparaat minimaliseert.
- Ondersteuning voor veilige samenwerking – Aangezien zorgverlening per definitie samenwerking vereist, moeten contentmanagementoplossingen die veelvoorkomende samenwerkingstaken zoals taakbeheer, discussies en meer ondersteunen, zijn uitgerust met beveiligingsfuncties zodat zorgverleners veilig kunnen samenwerken.
Beveiligde Bestandsoverdracht voor Gegevensbeveiliging en HIPAA-naleving in de Zorg
Oplossingen voor beveiligde bestandsoverdracht, waaronder het Kiteworks-platform voor beveiligde bestandsoverdracht en governance, bieden veilige toegang tot gevoelige content zoals elektronische patiëntendossiers (EHR’s) die beschermd moeten worden voor HIPAA-naleving. Een oplossing voor beveiligde bestandsoverdracht stelt HCO’s en BA’s in staat om bestanden te delen, verzenden, synchroniseren en bewerken op elk type apparaat, vanuit elke contentbron, waaronder populaire Enterprise Content Management (ECM) platforms zoals Microsoft SharePoint.
Ontworpen om het risico op datalekken in de zorg te verkleinen en tegelijkertijd HIPAA-naleving en samenwerking te ondersteunen, bieden oplossingen voor beveiligde bestandsoverdracht:
- Encryptie van gegevens tijdens gebruik, verzending en opslag.
- Beheer- en monitoringtools voor IT-beheerders om beveiligingsbeleid af te dwingen en de verspreiding van PHI te monitoren.
- Integratie met een breed scala aan ECM-platforms en opslagdiensten, waaronder Microsoft SharePoint, EMC Documentum, OpenText, Box, Dropbox, Google Drive en anderen. Dankzij deze integraties kunnen HCO’s en BA’s beveiligingsbeleid consequent afdwingen over alle content-systemen, inclusief publieke cloud-diensten.
- De mogelijkheid voor zorgverleners om veilig content te delen met vertrouwde partners buiten de HCO. Beveiligde samenwerkingsfuncties zijn onder meer digitale watermerken, beperkte adminrechten en het automatisch laten verlopen van bestanden en mappen.
- Ingebouwde AV-scanning om te voorkomen dat malware mobiele apparaten en hun inhoud besmet.
- De mogelijkheid tot “remote wipe” of het op afstand verwijderen van gegevens op apparaten zodra IT-beheerders weten dat een apparaat kwijt is of een medewerker de organisatie heeft verlaten.
- Ondersteuning voor taakbeheer en discussies, zodat mobiele medewerkers niet alleen toegang hebben tot content, maar ook tot de context ervan.
Kwalitatieve patiëntenzorg vereist een juiste diagnose, effectieve behandeling en ijzersterke gegevensbeveiliging. Met beveiligde bestandsoverdracht kunnen zorgprofessionals kwalitatieve zorg uitbreiden door de privacy van patiënten te beschermen.
Veelgestelde Vragen
HIPAA-naleving betekent voldoen aan de federale normen die zijn vastgelegd in de Health Insurance Portability and Accountability Act (HIPAA) van 1996. Dit omvat vereisten voor het omgaan met en beschermen van patiëntgegevens, evenals de privacy van patiënten.
Beschermde gezondheidsinformatie (PHI) is alle individueel identificeerbare informatie die verband houdt met de fysieke of mentale gezondheidstoestand van een patiënt, de levering van zorg of de betaling voor zorg. Dit omvat namen, adressen, burgerservicenummers, medische dossiers en andere vertrouwelijke informatie die gekoppeld is aan de gezondheid van een patiënt.
Het niet naleven van HIPAA-regelgeving kan leiden tot civielrechtelijke of strafrechtelijke sancties. Civiele boetes variëren van $100 tot $50.000 per incident. In gevallen van opzettelijke nalatigheid kunnen strafrechtelijke sancties oplopen tot 10 jaar gevangenisstraf.
Om aan HIPAA-vereisten te voldoen, moet uw technologie veilige gegevensopslag, toegangscontrole, gebruikersauthenticatie, encryptie, audit logging en activiteitenmonitoring bieden. Ook moet het mogelijk zijn de toegang tot gegevens te beperken op basis van de rol van de gebruiker en mogen alleen geautoriseerde personen toegang hebben tot de gegevens die ze nodig hebben.
Het naleven van HIPAA-regelgeving helpt patiëntgegevens te beschermen, het vertrouwen in het zorgsysteem te vergroten, de zorgkosten te verlagen en de patiëntveiligheid te verbeteren. Het beschermt uw organisatie ook tegen juridische en financiële gevolgen.
Om ervoor te zorgen dat uw organisatie HIPAA-compliant is, werkt u samen met een gekwalificeerde externe leverancier die u kan helpen uw gegevens en processen te auditen, een uitgebreid informatiebeveiligingsplan te ontwikkelen en uw personeel te informeren over beste practices voor gegevensbeveiliging en privacy van patiënten.
Kiteworks biedt organisaties de tools en functies die nodig zijn om hun gegevens veilig en privé te houden en te voldoen aan HIPAA. Het Kiteworks Private Content Network stelt organisaties in staat om HIPAA-naleving aan te tonen door het verenigen, controleren, volgen en beveiligen van gevoelige PHI-gegevensuitwisselingen—e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en API’s. Kiteworks biedt rolgebaseerde toegangscontrole om ervoor te zorgen dat gebruikers alleen toegang krijgen tot de gegevens die ze nodig hebben voor hun werk, en helpt organisaties om gegevens toegang te monitoren en te controleren in overeenstemming met HIPAA. Het ondersteunt organisaties ook bij HIPAA-naleving dankzij geautomatiseerde audit logging, mogelijkheden voor on-demand gegevensvernietiging en uitgebreide rapportagemogelijkheden. Deze functies helpen organisaties om een duidelijk beeld te houden van hun gegevensbeveiligingsstatus en ervoor te zorgen dat patiëntgegevens alleen door geautoriseerde personen worden benaderd en veilig en permanent worden verwijderd wanneer ze niet langer nodig zijn.