Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Hoe e-mail je PHI en blijf je HIPAA-compliant
Hoe e-mail je PHI en blijf je HIPAA-compliant

Hoe e-mail je PHI en blijf je HIPAA-compliant

by Bob Ertl updated augustus 2, 2022 HIPAA-naleving
Reading Time: 9 minutes

Het omgaan met PHI is lastig, vooral wanneer het via e-mail wordt verstuurd. Omdat er dagelijks datalekken van gevoelige inhoud via e-mail plaatsvinden, kan het versturen van een e-mail die niet gehackt kan worden en voldoet aan HIPAA en andere regelgeving lastig zijn.

Kunt u PHI via e-mail versturen? Ja, u kunt PHI via e-mail versturen, maar u moet verifiëren dat uw e-mailprovider aan specifieke beveiligingsprotocollen voldoet voordat u daadwerkelijk PHI verstuurt. Als bepaalde HIPAA-vereisten niet worden nageleefd, kunt u geconfronteerd worden met een forse boete.

Wat is HIPAA en Protected Health Information (PHI)?

De Health Insurance Portability and Accountability Act (HIPAA) is een verzameling wetten en regels omtrent het creëren en beschermen van beschermde gezondheidsinformatie (PHI). Deze wetten beschrijven specifiek hoe bepaalde zorgverleners en hun zakelijke partners wettelijk verplicht zijn om patiëntgegevens met betrekking tot zorg, behandelingen en betalingen te beveiligen.

Hoewel de wet uit diverse secties bestaat met uiteenlopende regels en vereisten, valt het versturen van e-mail met PHI grotendeels onder de volgende drie, die zich richten op cyberbeveiliging en gegevensbescherming:

  1. De Privacyregel: De Privacyregel (data privacy) stelt onomwonden dat patiëntgegevens privé moeten blijven en dat primaire zorgorganisaties (ziekenhuizen, dokterspraktijken en verzekeringsmaatschappijen, aangeduid als Covered Entities) en hun leveranciers (aangeduid als Business Associates) een wettelijke verantwoordelijkheid hebben om die gegevens te beschermen.
  2. De Beveiligingsregel: Covered Entities en Business Associates moeten passende beveiligingsmaatregelen implementeren om patiëntgegevens te beschermen, waaronder technische, administratieve en fysieke controles.
  3. De Datalekkenmeldingsregel: Bij een systeemdatalek hebben Covered Entities en Business Associates vereisten over wanneer en hoe zij getroffen patiënten, toezichthouders en het bredere publiek informeren.

De Privacyregel is met name essentieel voor het begrip van HIPAA. Deze definieert PHI juridisch als alle informatie gerelateerd aan het verlenen van zorg aan een patiënt, inclusief gezondheidsinformatie, doktersnotities, persoonlijk identificeerbare informatie (PII) van de patiënt of betalingsinformatie voor hun zorg. Omdat PHI zo’n fundamenteel onderdeel is van HIPAA-naleving, draaien de meeste beveiligingsvereisten om hoe PHI wordt verzonden, opgeslagen en gebruikt. Daarnaast zijn de beperkingen op ongeoorloofde openbaarmaking van PHI streng, waardoor zorgverleners alle technologieën die zij gebruiken om met patiënten te communiceren, moeten organiseren rondom HIPAA-vereisten. Deze vereisten voor technologisch gebruik kunnen grote invloed hebben op hoe uw organisatie daadwerkelijk informatie deelt met patiënten. Onbeveiligde technologieën zoals e-mail zijn op zijn best problematisch en in het slechtste geval niet compliant.

Waarom en hoe kunt u e-mail gebruiken met PHI?

Er is geen direct verbod op het gebruik van e-mail onder HIPAA. De daadwerkelijke implementatie van een HIPAA-conforme e-mailoplossing voor het communiceren van zorginformatie is echter uitdagend. E-mail is weliswaar ontzettend gangbaar en waarschijnlijk de meest toegankelijke en handige manier om met patiënten te communiceren, maar het is ook risicovol omdat er geen garantie is dat patiëntinformatie beschermd blijft op e-mailservers of apparaten. Neem encryptie als voorbeeld. Een e-mailoplossing die correcte encryptiestandaarden voor bestandsoverdracht gebruikt, is technisch gezien compliant. Om echter e-mailencryptie met traditionele methoden te gebruiken, moeten zowel de verzender als de ontvanger meewerken. Beide partijen moeten dezelfde encryptiestandaard gebruiken en bij publieke sleutel-encryptie moet elke partij een set sleutels beheren via software. Om dit probleem op te lossen, moeten organisaties een plug-in installeren en beheren op de e-mailclient en handmatig een publieke sleutel uitwisselen met derden. Dit zorgt voor inefficiënties en knelpunten en kan ertoe leiden dat gebruikers beveiligingsprotocollen omzeilen bij het versturen van gevoelige PHI—binnen en buiten hun organisatie. Evenzo moeten organisaties gegevens veilig opslaan, zelfs als ze niet worden verzonden. Elke e-mailoplossing moet HIPAA-conforme encryptie op zijn servers bevatten. Tenzij een organisatie een eigen e-mailserver beheert (wat zeer onwaarschijnlijk is), moet zij samenwerken met een Business Associate om encryptie voor gegevens in rust en onderweg te implementeren. Een ander cruciaal onderdeel van HIPAA-naleving betreft gebeurtenisrapportages en logs. Om HIPAA-naleving aan te tonen, moeten organisaties correcte logging implementeren voor audits en potentiële forensische behoeften op alle systemen, wat ook geldt voor Business Associates. Dit vereist een extra niveau van compliance en een strategie voor risicobeheer door derden met Business Associates. Over het algemeen is het verstandig om de volgende situaties te overwegen voordat u e-mail, PHI en HIPAA-e-mailnaleving overweegt:

  • Interne e-mails: Artsen en andere medewerkers zullen onvermijdelijk medische informatie delen. In situaties waarin artsen informatie naar andere artsen sturen via e-mail, moet die e-mail versleuteld en beveiligd blijven op elk apparaat waarmee zij de e-mail openen. Gelukkig is dit veel eenvoudiger te beheren. Omdat uw organisatie controle heeft over de apparaten van artsen en interne systemen, kunt u beleid implementeren dat PHI beschermt en naleving waarborgt.
  • Externe e-mails: E-mails naar patiënten en derden vormen een ander vraagstuk, omdat uw organisatie geen standaarden kan afdwingen voor de duizenden patiënten waarmee u contact heeft. Elke poging om PHI via e-mail te versturen zal vrijwel altijd niet compliant zijn vanwege het ontbreken van correcte encryptie of beveiliging aan de gebruikerskant. Of, in het beste geval, zal het omslachtige plug-ins en omleidingen voor beveiligde bestandsoverdracht vereisen.

Een van de opkomende oplossingen waar veel organisaties voor kiezen, zijn beveiligde links en patiëntenportalen. Met een patiëntenportaal kunt u beveiliging zoals encryptie, identity & access management (IAM) en auditlogging centraal beheren vanaf een server of cloudomgeving. Het versturen van beveiligde links naar PHI via e-mail voorkomt de valkuilen van het direct versturen van PHI via e-mail en leidt gebruikers naar beveiligde omgevingen. Beveiligde links en online portalen worden beschouwd als de meest betrouwbare en veilige vormen van communicatie van zorginformatie met patiënten buiten uw organisatie. Daarnaast kan een portaal gekoppeld aan een robuust document- en bestandsoverdrachtbeheersysteem compliant communicatie tussen artsen en medewerkers stroomlijnen. Deze systemen kunnen integreren met beveiligde apparaten en werkstations, zodat zorgprofessionals informatie veilig en privé kunnen delen zonder risico op diefstal of openbaarmaking. De enige andere manier om PHI via e-mail te versturen is via versleutelde berichten, met technologie zoals Public Key Encryption [Pretty Good Privacy (PGP)]. Dit vereist dat zowel u als uw patiënten PGP-e-mailtechnologie gebruiken. Hoewel u intern encryptie kunt afdwingen, is dit in de praktijk onmogelijk bij een grote groep patiënten.

Wat zijn de sancties voor het overtreden van HIPAA?

Het onderwerp e-mail en PII is belangrijk omdat overtredingen van HIPAA-regelgeving zware sancties kunnen opleveren, ongeacht de intentie. Sancties voor HIPAA-overtredingen vallen in vier categorieën:

  • Tier 1: Deze overtredingen zijn onbedoeld en de organisatie is zich niet bewust van het probleem en kon het redelijkerwijs niet voorkomen. Als dit het geval is en de organisatie verder heeft geprobeerd de HIPAA-regels na te leven, variëren de boetes van $100 tot $50.000 per overtreding.
  • Tier 2: Deze overtredingen doen zich voor wanneer de organisatie had moeten weten van de overtreding, maar deze redelijkerwijs niet had kunnen voorkomen (de organisatie is nalatig, maar niet opzettelijk). Boetes variëren hier van $1.000 tot $50.000 per overtreding.
  • Tier 3: Deze overtredingen zijn het gevolg van opzettelijke nalatigheid van HIPAA-regelgeving, maar de boetes worden verzacht door de pogingen van de organisatie om het probleem te herstellen. Boetes variëren hier van $10.000 tot $50.000 per overtreding.
  • Tier 4: Dit zijn opzettelijke overtredingen waarbij geen poging is gedaan om het probleem te corrigeren. Bij tier 4-overtredingen krijgen organisaties minimaal $50.000 boete per incident.

Bovendien kunnen individuen strafrechtelijk worden vervolgd voor bepaalde vormen van gegevensdiefstal, onderverdeeld in drie categorieën:

  • Tier 1: Een overtreding vindt plaats wanneer het individu geen kennis heeft van de overtreding of er geen redelijke oorzaak is. Dit kan gebeuren door onbedoelde openbaarmaking van gegevens of in noodsituaties waarin artsen PHI delen om een patiënt te redden. Sancties omvatten tot een jaar gevangenisstraf.
  • Tier 2: Tier 2-overtredingen zijn wanneer gebruikers PHI verkrijgen onder valse voorwendselen. Dit kan de overtreder tot vijf jaar gevangenisstraf opleveren.
  • Tier 3: Tier 3-overtredingen omvatten elke poging om PHI te verkrijgen voor winst of met kwaadaardige intentie (zoals chantage of wraak), en deze categorie kan leiden tot maximaal 10 jaar gevangenisstraf.

Het is belangrijk deze definities te begrijpen, omdat onjuist gebruik van e-mail om PHI te delen een organisatie kan blootstellen aan meerdere overtredingen die tienduizenden, honderdduizenden of zelfs miljoenen dollars kunnen kosten.

Beheer PHI en patiëntprivacy met Kiteworks

Het beveiligen van communicatie tussen artsen, personeel en patiënten betekent het inzetten van bruikbare technologieën voor alle partijen zonder HIPAA te overtreden. E-mail, met al zijn beperkingen, is de eenvoudigste manier om met de meeste patiënten in contact te blijven en te communiceren met derden. Kiteworks maakt het eenvoudig om versleutelde, HIPAA-conforme berichten en bijlagen te versturen vanaf elke werkplek, via het web of mobiele apparaten, in Microsoft 365 of andere e-mailsystemen, of in bedrijfsapplicaties. U hoeft niet langer handmatig uw governancebeleid en sleutels te beheren en waardevolle tijd en middelen te besteden aan het beheren van plug-ins. Kiteworks past governancebeleid automatisch toe, beveiligt de inhoud en registreert elke actie bij elke verzending, deling en overdracht van gevoelige inhoud. Met het Kiteworks-platform kunnen organisaties PHI opslaan op HIPAA-conforme servers en encryptie gebruiken, zodat alleen geauthenticeerde gebruikers e-mails kunnen lezen, bijlagen kunnen openen en e-mails kunnen doorsturen naar onbevoegde partijen—zowel intern als extern. Enkele belangrijke mogelijkheden zijn:

  • Beveiligde e-mailcommunicatie in transit en in rust: Kiteworks maakt gebruik van AES-256 encryptie voor gegevens in rust en TLS 1.2+ voor gegevens in transit. De hardened virtual appliance van Kiteworks, granulaire controles, authenticatie en andere integraties in de beveiligingsstack, en uitgebreide logging en auditing stellen organisaties in staat efficiënt aan de vereisten te voldoen. E-mails en bijlagen worden gescand door antivirus, advanced threat protection (ATP) en continuous data protection (CDP). Uitgaande e-mailcommunicatie maakt gebruik van preventie van gegevensverlies (DLP) om zowel opzettelijke als onopzettelijke datalekken te voorkomen.
  • Beveiligde toegang en eigenaarschap van gegevens: Met on-premises, Logging-as-a-Service (LaaS)-resources en Infrastructure-as-a-Service (IaaS)-inzet heeft alleen u toegang tot systeem, opslag en sleutels—externe derden (inclusief Kiteworks), zoals overheids- en industriële toezichthouders, hebben geen toegang. E-mailverkeer, bestandsopslag en toegang vinden plaats op een toegewijde Kiteworks-instantie, ingezet op uw eigen locatie, op uw LaaS-resources of gehost in de cloud door de Kiteworks Cloud-server. Dit betekent geen gedeelde runtime, databases of repositories, resources of risico op cross-cloud datalekken of aanvallen.
  • E-mail protection gateway en geautomatiseerde encryptie: Kiteworks e-mail protection gateway en geautomatiseerde encryptie zijn te gebruiken met elke e-mailclient en e-mailserver (geen plug-ins vereist). Sleutelbeheer en e-mailencryptie zijn geautomatiseerd en onzichtbaar voor gebruikers. Organisaties kunnen ook automatisch beleid toepassen voor welke e-mails versleuteld moeten worden, terwijl automatisch end-to-end encryptie wordt geboden om gevoelige inhoud op cloud-e-mailservers te beschermen.
  • Compliance- en beleidscontroles: Rolgebaseerde, granulaire controles binnen Kiteworks stellen organisaties in staat de blootstelling te minimaliseren, terwijl volledige e-mail HIPAA-compliance tracking en auditrapportage wordt geboden. Dit omvat de mogelijkheid om opties voor authenticatie van patiënten en derden, vervaldatum en linkdoorsturing te beheren. De beveiligde e-mailfunctionaliteit van Kiteworks omvat beleid voor ontvangstbevestigingen en digitale vingerafdrukken.
  • SIEM-integratie: Houd uw omgeving veilig met geïntegreerde security information and event management (SIEM) voor waarschuwingen, logging en incidentrespons. Integraties omvatten IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Het ondersteunt ook de Splunk Forwarder en bevat de Splunk App.
  • Auditlogging: Met de onveranderlijke audit logs van het Kiteworks-platform kunnen organisaties aanvallen sneller detecteren en de juiste bewijsketen behouden om HIPAA-conforme forensische analyses uit te voeren. Omdat Kiteworks entries van alle componenten samenvoegt en standaardiseert, besparen de uniforme syslog en waarschuwingen uw security operations center (SOC)-team kostbare tijd en helpen ze uw compliance-team zich voor te bereiden op HIPAA-gerelateerde en andere audits.
  • Datavisibiliteit en management: Het Kiteworks CISO-dashboard geeft organisaties een overzicht van uw data: waar deze zich bevindt, wie er toegang toe heeft, hoe deze wordt gebruikt en of deze voldoet aan de regelgeving. Help uw bedrijfsleiders om geïnformeerde beslissingen te nemen en uw compliance-leiderschap om aan de wettelijke vereisten te voldoen.

Wilt u zien hoe de beveiligde e-mailfunctionaliteit van Kiteworks HIPAA-conform is en hoe het Kiteworks-platform een centraal overzicht biedt voor communicatie van gevoelige inhoud? Plan dan vandaag nog een aangepaste demo in.

Veelgestelde vragen

HIPAA-naleving is het voldoen aan de federale standaarden die zijn vastgelegd in de Health Insurance Portability and Accountability Act (HIPAA) van 1996. Dit omvat vereisten voor het omgaan met en beschermen van patiëntgegevens, evenals de privacy van patiënten.

Beschermde gezondheidsinformatie (PHI) is alle individueel identificeerbare informatie met betrekking tot de fysieke of mentale gezondheidstoestand van een patiënt, het verlenen van zorg of betaling voor zorgdiensten. Dit omvat namen, adressen, burgerservicenummers, medische dossiers en andere vertrouwelijke informatie die aan de gezondheid van een patiënt is gekoppeld.

Het niet naleven van HIPAA-regelgeving kan leiden tot civiele of strafrechtelijke sancties. Civiele boetes variëren van $100 tot $50.000 per incident. In gevallen van opzettelijke nalatigheid kunnen strafrechtelijke sancties oplopen tot 10 jaar gevangenisstraf.

Om aan HIPAA-vereisten te voldoen, moet uw technologie veilige gegevensopslag, toegangscontrole, gebruikersauthenticatie, encryptie, auditlogging en activiteitenmonitoring bieden. Ook moet het mogelijk zijn om de toegang tot data te beperken op basis van de rol van de gebruiker en alleen geautoriseerde personen toegang te geven tot de gegevens die zij nodig hebben.

Het naleven van HIPAA-regelgeving helpt om patiëntgegevens te beschermen, het vertrouwen in de zorgsector te vergroten, zorgkosten te verlagen en de patiëntveiligheid te verbeteren. Ook beschermt het uw organisatie tegen juridische en financiële gevolgen.

Om te zorgen dat uw organisatie HIPAA-conform is, werkt u samen met een gekwalificeerde externe partij die u kan helpen uw data en processen te auditen, een uitgebreid informatiebeveiligingsplan te ontwikkelen en uw personeel op te leiden in beste practices voor gegevensbeveiliging en patiëntprivacy.

Kiteworks biedt organisaties de tools en functies die nodig zijn om data veilig en privé te houden en te voldoen aan HIPAA. Het Kiteworks Private Content Network stelt organisaties in staat om HIPAA-naleving aan te tonen door gevoelige PHI-gegevensuitwisselingen—e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en API’s—te verenigen, controleren, volgen en beveiligen. Kiteworks biedt rolgebaseerde toegangscontrole om te waarborgen dat gebruikers alleen toegang krijgen tot de data die zij nodig hebben voor hun werk, en helpt organisaties om data-toegang te monitoren en te controleren volgens HIPAA. Ook blijft uw organisatie HIPAA-compliant dankzij geautomatiseerde auditlogging, mogelijkheden voor on-demand datavernietiging en uitgebreide rapportage. Deze functies helpen organisaties om een duidelijk beeld te houden van hun beveiligingsstatus en ervoor te zorgen dat patiëntgegevens alleen worden geraadpleegd door geautoriseerde personen en veilig en permanent worden verwijderd wanneer ze niet langer nodig zijn.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks