Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Het Amazon One Medical Datalek: Wanneer externe bestandsoverdracht een PHI-risico wordt
Het Amazon One Medical Datalek: Wanneer externe bestandsoverdracht een PHI-risico wordt

Het Amazon One Medical Datalek: Wanneer externe bestandsoverdracht een PHI-risico wordt

by Patrick Spencer updated juni 23, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 12 minutes

Het datalek bij Amazon One Medical illustreert een waarheid die de zorgbeveiligingsgemeenschap kent, maar moeilijk kan operationaliseren: het maakt niet uit hoe sterk je klinische systemen zijn als de gegevens die daaruit stromen naar downstream-bestandopslag, factureringsworkflows en door leveranciers beheerde omgevingen niet aan dezelfde controles onderworpen zijn. ShinyHunters, de dreigingsgroep die eerder datalekken claimde bij Ticketmaster, Santander en Snowflake-klantomgevingen, plaatste voorbeelden van vermeende Amazon One Medical patiëntendossiers op een darkwebforum en beweerde 8,8 terabyte aan gegevens te bezitten die zijn geëxfiltreerd uit een door een derde partij beheerde bestandopslagomgeving. Monsters zijn onafhankelijk geverifieerd als authentieke patiëntendossiers, inclusief namen, geboortedata, verzekeringsinformatie, diagnoses en behandelnotities – een combinatie die voldoet aan de HIPAA-definitie van beschermde gezondheidsinformatie in meerdere categorieën.

Het incident volgt een patroon dat beveiligingsonderzoekers al jaren documenteren: zorgorganisaties investeren zwaar in het beveiligen van hun EPD-platforms en klinische netwerken, maar stellen onbedoeld dezelfde patiëntgegevens bloot door deze te laten doorstromen naar bestandopslagomgevingen, integratieplatforms en door leveranciers beheerde systemen die niet over gelijkwaardige beveiligingscontroles beschikken. De gegevens in rust in die downstream-omgevingen missen vaak de encryptie die wordt toegepast in de kernklinische systemen, zijn onderworpen aan veel minder grondige op attributen gebaseerde toegangscontrole (ABAC: Attribute Based Access Control), en worden gemonitord door leveranciers waarvan de HIPAA Business Associate Agreement-verplichtingen mogelijk niet recent of grondig zijn geverifieerd.

Het Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report wees op blootstelling van gegevens door derden in de zorg als een van de categorieën met het hoogste risico voor dit jaar. Daarbij werd opgemerkt dat de combinatie van toegenomen gegevensdeling binnen zorgcoördinatienetwerken, agressieve winstbejag door dreigingsactoren met zorgdata, en hardnekkige onderinvestering in beveiliging van niet-EPD-gegevensomgevingen precies de omstandigheden creëert voor dit soort datalekken. Het incident bij Amazon One Medical is tot nu toe het meest prominente voorbeeld van dat risicoprofiel in 2026.

Dit artikel onderzoekt wat bekend is over het datalek, wat de blootstelling betekent voor getroffen patiënten en voor de wettelijke verplichtingen van Amazon One Medical, en wat zorgorganisaties uit dit incident kunnen halen als aanleiding om hun eigen blootstelling te herzien.

Belangrijkste inzichten

1. Een verkeerde configuratie bij bestandopslag door derden, geen compromis van het klinisch systeem, was het toegangspunt

Het datalek ontstond niet binnen de elektronische patiëntendossiers of klinische systemen van Amazon One Medical – het ontstond in een door een derde partij beheerde bestandopslagomgeving. Dit illustreert het hardnekkige risico dat door leveranciers beheerde infrastructuur vormt voor zorgorganisaties, zelfs wanneer interne systemen goed zijn beveiligd.

2. De claim van ShinyHunters van 8,8 TB blijft onbevestigd, maar gedeeltelijke verificatie is erger

De bewering van ShinyHunters dat ze 8,8 terabyte aan patiëntgegevens hebben geëxfiltreerd, is niet volledig onafhankelijk bevestigd. Maar voorbeelden van patiëntendossiers die op darkwebforums zijn geplaatst, zijn wel geverifieerd als authentiek – wat betekent dat zelfs een fractie van de geclaimde hoeveelheid een aanzienlijk HIPAA-datalek vertegenwoordigt.

3. Blootstelling van PHI beslaat negen Amerikaanse grootstedelijke gebieden

Patiëntendossiers die als onderdeel van de blootgestelde dataset zijn bevestigd, omvatten personen uit negen Amerikaanse grootstedelijke gebieden waar Amazon One Medical actief is. Dit vergroot het potentiële aantal mensen dat een datalekmelding moet ontvangen aanzienlijk en verhoogt de nalevings- en juridische blootstelling evenredig.

4. Zorgorganisaties beschermen systematisch onvoldoende gegevens in transit en in rust buiten klinische systemen

Het patroon van het datalek – gevoelige patiëntgegevens die zich bevinden in een bestandopslagsysteem dat niet onderworpen was aan dezelfde beveiligingscontroles als de kernklinische infrastructuur – weerspiegelt een structurele lacune in de zorgsector en is geen uniek falen van Amazon One Medical.

5. HIPAA’s Business Associate Agreement-vereisten creëren directe organisatorische aansprakelijkheid, ongeacht waar het datalek plaatsvond

De relatie van Amazon One Medical met de opslagleverancier van derden activeert HIPAA Business Associate Agreement-verplichtingen; een datalek in die omgeving creëert dezelfde meldings- en aansprakelijkheidsblootstelling als een datalek in de eigen systemen van de covered entity. Veel zorgorganisaties onderschatten dit nog steeds bij het beoordelen van TPRM.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het ook verifiëren?

Lees nu

Wat is er gebeurd: de tijdlijn en toewijzing van het datalek

Het datalek kwam aan het licht toen ShinyHunters een voorbeeld-dataset plaatste op een darkweb-marktplaats, met de bewering dat deze afkomstig was uit 8,8 terabyte aan Amazon One Medical-patiëntgegevens, verkregen door misbruik van een verkeerde configuratie in een door derden beheerde bestandopslagomgeving. De groep leverde voorbeeldgegevens als bewijs van bezit, en onafhankelijke beveiligingsonderzoekers bevestigden vervolgens dat een deel van die gegevens overeenkwam met het formaat en de inhoud van Amazon One Medical-patiëntendossiers, inclusief zorgcoördinatienotities en verzekeringsfacturatiegegevens.

ShinyHunters is een goed gedocumenteerde dreigingsactor met een geschiedenis van grootschalige datadiefstal uit cloud- en SaaS-omgevingen. Eerdere operaties waren gericht op verkeerd geconfigureerde cloudopslag, gecompromitteerde SaaS-leveranciersomgevingen en diefstal van inloggegevens bij integratieplatformleveranciers. De claim van Amazon One Medical volgt dezelfde algemene methode: in plaats van direct geharde klinische systemen aan te vallen, identificeerde de groep een minder gecontroleerde opslagomgeving in de toeleveringsketen en exfiltreerde daar gegevens uit. De geclaimde hoeveelheid van 8,8 TB – als deze klopt – zou een van de grootste individuele datalekken in de zorg zijn qua hoeveelheid gegevens in 2026.

Amazon bevestigde dat het “ongeautoriseerde toegang tot een door derden beheerde bestandopslagomgeving” onderzocht die verband houdt met de activiteiten van Amazon One Medical en dat het getroffen patiënten had geïnformeerd in overeenstemming met de HIPAA-vereisten. Het bedrijf verklaarde dat de kernklinische systemen niet waren gecompromitteerd en dat de toegang beperkt bleef tot de omgeving van de derde partij. De politie is op de hoogte gebracht, in lijn met het standaard incident response-protocol voor een datalek van deze omvang.

Het onderscheid tussen “kernklinische systemen niet gecompromitteerd” en “bestandopslag door derden gecompromitteerd” is juridisch en operationeel significant – maar biedt patiënten en toezichthouders weinig troost. Volgens HIPAA blijft de covered entity (Amazon One Medical) verantwoordelijk voor de bescherming van PHI, ongeacht of deze zich in hun eigen systemen of in de omgeving van een Business Associate bevindt. De meldingsverplichtingen, het onderzoek van het Office for Civil Rights en de mogelijke civiele aansprakelijkheid zijn in beide gevallen hetzelfde.

De PHI-categorieën die risico lopen

De door onafhankelijke onderzoekers geverifieerde voorbeeldgegevens geven aan dat de gecompromitteerde dataset combinaties van PHI bevatte die meerdere door HIPAA gedefinieerde identificatiecategorieën beslaan. De meest gevoelige categorieën die zijn bevestigd, omvatten volledige namen in combinatie met geboortedata, lidmaatschapsnummers van de zorgverzekering en verzekeringsinformatie, diagnosecodes en klinische notities, medicatiegegevens en berichten over zorgcoördinatie tussen zorgverleners. In combinatie vormen deze elementen wat HIPAA-experts beschouwen als “hoog-risico” PHI – het soort gegevens waarmee identiteitsdiefstal, verzekeringsfraude en gerichte social engineering tegen patiënten mogelijk wordt.

De geografische reikwijdte vergroot de ernst. Amazon One Medical is actief in negen grote Amerikaanse steden, en het datalek lijkt gegevens van patiënten uit al deze regio’s te bevatten. Multistate meldingsvereisten betekenen dat Amazon One Medical niet alleen aan de federale HIPAA-verplichtingen moet voldoen, maar mogelijk ook aan uiteenlopende meldingswetten per staat, waarvan sommige – zoals de CCPA/CPRA van Californië – aanvullende verplichtingen en termijnen opleggen bovenop het HIPAA-venster van 60 dagen voor melding. Organisaties die onder de CCPA vallen, moeten in sommige gevallen binnen 30 dagen na ontdekking melding doen, waardoor de reactietijd aanzienlijk wordt verkort.

De HIPAA Minimum Necessary Rule is in deze context het onderzoeken waard. Deze regel vereist dat covered entities en hun business associates alleen de minimale hoeveelheid PHI raadplegen en gebruiken die nodig is voor het specifieke doel. Als de gecompromitteerde bestandopslagomgeving dossiers bevatte die verder gingen dan wat daadwerkelijk nodig was voor de betreffende operatie – een veelvoorkomende bevinding wanneer zorgorganisaties gegevens migreren naar door leveranciers beheerde omgevingen zonder een systematische beoordeling van dataminimalisatie – dan levert dat zowel een complianceprobleem als een verzwarende factor op bij de beoordeling van de ernst van het datalek.

De combinatie van breedte (negen steden), diepte (meerdere PHI-categorieën per patiënt) en actualiteit (gegevens van actieve patiëntrelaties) maakt dit een ernstig datalek vanuit het oogpunt van melding en aansprakelijkheid, ongeacht of het volledige cijfer van 8,8 TB wordt geverifieerd. Het risicobeoordelingskader van HIPAA vereist dat covered entities de kans evalueren dat PHI is gecompromitteerd op basis van het beschikbare bewijs, en geverifieerde authentieke voorbeeldgegevens overschrijden die drempel duidelijk.

Waarom bestandopslag door derden een hardnekkige kwetsbaarheid is in de zorg

De beveiligingsinvesteringen in de zorgsector zijn sterk geconcentreerd in systemen die clinici direct gebruiken – EPD-platforms, systemen voor klinische beeldvorming, netwerken van medische apparatuur, telezorginfrastructuur. Die investering is terecht; deze systemen zijn waardevolle doelwitten en hun compromis kan directe gevolgen hebben voor de patiëntveiligheid. Maar de concentratie van investeringen in klinische systemen laat een structurele lacune achter in de omgevingen waar PHI zich ophoopt als bijproduct van normale operaties: bestandsoverdracht-workflows tussen zorgverleners en verzekeraars, door leveranciers beheerde facturerings- en coderingsplatforms, tools voor zorgcoördinatie die dossiers uit verschillende netwerken samenbrengen, en de diverse bestandopslagomgevingen die met al deze systemen integreren.

Risicobeheer door derden in de zorg is vaak meer een streven dan een operationele realiteit. Organisaties sluiten doorgaans een Business Associate Agreement af bij het inschakelen van een leverancier, voeren bij aanvang een beveiligingsbeoordeling uit en herhalen die beoordeling vervolgens zelden – soms alleen bij contractverlenging. In de tussentijd kan de beveiligingsstatus van de leverancier zijn veranderd, kunnen de gegevens die zij beheren aanzienlijk zijn toegenomen en kunnen de integratiepunten waardoor gegevens naar hen stromen zijn uitgebreid. Geen van deze veranderingen vereist een verplichte beveiligingsreview onder de meeste zorgprogramma’s voor risicobeheer voor verkopers.

De bestandopslagomgeving die het toegangspunt was in het datalek bij Amazon One Medical vertegenwoordigt een categorie infrastructuur die zorgorganisaties vaak als laag risico beschouwen: het is geen klinisch systeem, het verwerkt geen real-time patiëntenzorg en het heeft geen directe patiëntgerichte interfaces. Maar de gegevens erin zijn net zo gevoelig als die in de kernklinische systemen – en in veel gevallen staan ze er langer, met minder controle, en verzamelen ze dossiers die onderworpen hadden moeten zijn aan dataminimalisatie en bewaarbeleid die nooit zijn toegepast.

Zorgorganisaties die hun eigen leverancierslandschap herzien naar aanleiding van dit datalek, zullen vaak een vergelijkbaar patroon ontdekken: PHI die aanwezig is in bestandopslag, archieven van factureringsplatforms en integratiemiddleware die niet onderworpen zijn aan dezelfde encryptie, toegangscontrole of audit logging-vereisten als hun EPD-omgevingen. Die lacune is niet het falen van één leverancier – het is een structureel kenmerk van hoe zorggegevens door complexe ecosystemen van zorgverleners en verzekeraars stromen. Het aanpakken ervan vereist een systematische benadering van gegevensbeheer die de gegevens volgt in plaats van te stoppen bij de perimeter van de primaire systemen van de covered entity. Organisaties die serieus werk willen maken van het dichten van deze lacune, moeten ook hun praktijken voor risicobeheer in de toeleveringsketen evalueren om ervoor te zorgen dat downstream-leveranciers aan dezelfde beveiligingsnormen worden gehouden als directe business associates.

De wettelijke gevolgen: HIPAA, OCR en verplichtingen onder staatsrecht

De wettelijke gevolgen van een datalek op deze schaal zijn aanzienlijk en veelzijdig. Volgens de HIPAA Breach Notification Rule moet Amazon One Medical getroffen personen binnen 60 dagen na ontdekking informeren, het Department of Health and Human Services op de hoogte stellen en – aangezien het datalek meer dan 500 personen in meerdere staten betreft – prominente media in elke getroffen staat informeren. Het HHS Office for Civil Rights zal een onderzoek uitvoeren, waarbij Amazon One Medical moet aantonen dat het HIPAA-naleving-programma, inclusief het beheer van Business Associates, voldeed aan de vereiste zorgstandaard.

De HIPAA Security Rule vereist dat covered entities administratieve, fysieke en technische waarborgen implementeren voor elektronische PHI. In het geval van een datalek door derden zal het OCR-onderzoek zich richten op de vraag of de Business Associate Agreement van de covered entity de beveiligingsvereisten voldoende heeft gespecificeerd, of er voldoende zorgvuldigheid is betracht bij de selectie en monitoring van de leverancier, en of de specifieke verkeerde configuratie die het datalek mogelijk maakte, geïdentificeerd had kunnen worden onder een redelijk beveiligingsbeoordelingsprogramma.

Verplichtingen onder staatsrecht voegen extra complexiteit toe. De CPRA van Californië geeft consumenten het recht te weten of hun persoonlijke informatie is gecompromitteerd en stelt specifieke termijnen en inhoudsvereisten voor meldingen vast die verschillen van die van HIPAA. De Federal Trade Commission toont ook een groeiende bereidheid om handhavingsmaatregelen te nemen tegen zorgorganisaties vanwege tekortkomingen in gegevensbeveiliging onder haar algemene bevoegdheid, los van HIPAA, wat een tweede regulatoire route voor mogelijke sancties creëert.

De cumulatieve wettelijke blootstelling van een multistate-datalek van dit profiel – een federaal HIPAA-onderzoek, mogelijke civiele boetes van het OCR, onderzoeken van procureurs-generaal van staten en toezicht van de FTC – kan gemakkelijk meer dan $10 miljoen bedragen, nog voordat privaatrechtelijke procedures worden meegerekend. De civiele boetetarieven van HIPAA lopen op tot $1,9 miljoen per overtredingscategorie per jaar, en het OCR heeft laten zien bereid te zijn maximale boetes op te leggen aan covered entities die volgens hen onvoldoende risicobeoordelingen hebben uitgevoerd of onvoldoende toezicht hebben gehouden op Business Associate Agreements.

Voor zorgorganisaties die hun eigen blootstelling herzien naar aanleiding van dit datalek, zijn de praktische vragen: Specificeren je Business Associate Agreements beveiligingsvereisten voor de gegevens die je leveranciers beheren? Wanneer heb je voor het laatst een beveiligingsbeoordeling uitgevoerd van de bestandopslag- en integratieomgevingen van je belangrijkste leveranciers? Zijn de PHI in die omgevingen onderworpen aan dezelfde AES-256 Encryptie, toegangscontrole en audit logging-standaarden als je klinische systemen? Als het antwoord onzeker is, is die onzekerheid op zichzelf al een compliance-risico.

Een data security-architectuur in de zorg die aansluit op het werkelijke dreigingsmodel

Het datalek bij Amazon One Medical wijst op een architectuurvraagstuk dat beveiligingsprogramma’s in de zorg direct moeten adresseren: hoe pas je consistente beveiligingscontroles toe op PHI, ongeacht waar deze zich in je ecosysteem bevindt?

Het antwoord vereist een verschuiving van een perimeter-en-kernmodel – waarbij beveiligingscontroles geconcentreerd zijn rond klinische systemen en de rest van de omgeving als lager risico wordt beschouwd – naar een datacentrisch model waarbij encryptie, toegangscontrole en audit logging de gegevens volgen, waar deze ook naartoe gaan. Dat omvat door leveranciers beheerde bestandopslagomgevingen, integratieplatforms, factureringssystemen en de diverse gegevensstromen die deze systemen verbinden.

End-to-end encryptie voor PHI in transit en in rust zou standaard moeten zijn, niet een geavanceerde beveiligingsmaatregel. Gegevens in door leveranciers beheerde omgevingen moeten worden versleuteld met FIPS 140-3 Level 1 gevalideerde encryptie en de encryptiesleutels moeten zo worden beheerd dat de leverancier geen toegang heeft tot de onversleutelde gegevens – waarmee het aanvalsoppervlak dat opslagmisconfiguraties creëren, wordt geëlimineerd. Wanneer de opslagomgeving verkeerd is geconfigureerd en gegevens worden blootgesteld, biedt versleutelde data met extern beheerde, klantgecontroleerde encryptiesleutels een betekenisvolle bescherming die onversleutelde data niet biedt.

Op attributen gebaseerde toegangscontrole (ABAC: Attribute Based Access Control) toegepast op bestands­toegang – ook in door leveranciers beheerde omgevingen – beperkt wat een gecompromitteerd leveranciersaccount of verkeerd ingestelde permissie kan benaderen. In plaats van brede toegang tot een bestandopslagomgeving te verlenen en te vertrouwen op perimetercontroles om exfiltratie te voorkomen, dwingen ABAC-benaderingen fijnmazige toegangscontrole af op basis van gebruikersattributen, gevoeligheid van de gegevens en context. Wanneer een aanvaller een account in een opslagomgeving compromitteert, krijgt hij toegang tot wat dat account kan benaderen – niet meer.

Een uniforme audittrail over alle omgevingen waar PHI zich bevindt, geeft beveiligings- en compliance-teams de zichtbaarheid die ze nodig hebben om afwijkende toegang te detecteren, incidenten te onderzoeken en compliance aan OCR-onderzoekers aan te tonen. De CISO Dashboard-functie in het Kiteworks Private Data Network biedt deze uniforme zichtbaarheid over alle communicatiekanalen voor content – inclusief beheerde bestandsoverdracht, beveiligde e-mail, beveiligd delen van bestanden en bedrijfsintegraties – met één overzicht van wie wat, wanneer en van waar heeft benaderd.

Zorgorganisaties die de structurele lacune willen aanpakken die het datalek bij Amazon One Medical blootlegt, moeten ook hun beveiligingsarchitectuur herzien op DSPM voor de zorg-overwegingen – specifiek of ze zicht hebben op waar PHI zich in hun hele ecosysteem bevindt, niet alleen in hun kernklinische systemen. Het toepassen van gegevensclassificatie op content die is opgeslagen in door leveranciers beheerde omgevingen is een vereiste om te weten wat gevoelig is, waar het zich bevindt en of het voldoende is beschermd.

Wil je meer weten over hoe Kiteworks zorgorganisaties helpt PHI te beschermen in hun volledige data-ecosysteem? Plan vandaag nog een persoonlijke demo.

Veelgestelde vragen

Gecontroleerde voorbeelden uit het datalek omvatten patiëntnamen, geboortedata, lidmaatschapsnummers van de zorgverzekering, diagnosecodes, klinische notities en medicatiegegevens – categorieën die door HIPAA worden geclassificeerd als beschermde gezondheidsinformatie. Het datalek betreft patiënten uit negen Amerikaanse grootstedelijke gebieden waar Amazon One Medical actief is, waardoor dit een multistate-incident is met zowel federale HIPAA-meldingsverplichtingen als specifieke vereisten onder staatswetten zoals de CCPA en CPRA van Californië. De door ShinyHunters geclaimde totale hoeveelheid van 8,8 terabyte aan gegevens is niet volledig onafhankelijk geverifieerd, maar de bevestiging van authentieke voorbeeldgegevens betekent dat getroffen patiënten ervan uit moeten gaan dat hun PHI mogelijk is gecompromitteerd en hun verzekeringsaccounts en medische dossiers moeten monitoren op tekenen van ongeautoriseerde activiteit. Patiënten in Californië hebben mogelijk extra rechten om informatie over het datalek op te vragen onder de meldingsbepalingen van de CPRA.

Volgens HIPAA blijft een covered entity verantwoordelijk voor de bescherming van PHI, ongeacht of deze zich in de eigen systemen van de covered entity of in de omgeving van een Business Associate bevindt. Wanneer een BA een datalek ervaart, moet de covered entity nog steeds voldoen aan de HIPAA Breach Notification Rule – inclusief melding aan patiënten binnen 60 dagen, rapportage aan HHS en melding aan de media bij datalekken die meer dan 500 personen in een staat treffen. Het OCR-onderzoek zal beoordelen of de Business Associate Agreement van Amazon One Medical met de opslagleverancier de beveiligingsvereisten voldoende heeft gespecificeerd, of er voldoende zorgvuldigheid is betracht en of aan de technische beveiligingsvereisten van de HIPAA Security Rule is voldaan in de leveranciersomgeving. De aansprakelijkheidsblootstelling omvat civiele boetes en mogelijke schikkingen die kunnen leiden tot doorlopende compliance-monitoring die jaren na het incident kan voortduren. Zorgorganisaties met vergelijkbare leveranciersstructuren moeten hun incident response-plannen herzien om te zorgen dat BA-datalekscenario’s expliciet zijn opgenomen.

Drie maatregelen, in combinatie toegepast, zouden de impact van het datalek aanzienlijk hebben verminderd. Ten eerste: encryptie van PHI in rust in de opslagomgeving met extern beheerde sleutels – zodat een verkeerde configuratie die de opslagomgeving blootstelt, geen leesbare gegevens blootstelt. Ten tweede: op attributen gebaseerde toegangscontrole (ABAC: Attribute Based Access Control) voor toegang tot individuele dossiers binnen de opslagomgeving, zodat een gecompromitteerde inlog of verkeerd ingestelde permissie slechts beperkte toegang geeft. Ten derde: een continue audittrail die toegang tot gegevens in de door leveranciers beheerde omgeving vastlegt en deze correleert met gedragsbaselines – zodat grootschalige exfiltratie-activiteiten anomalie-alerts zouden activeren. Zorgorganisaties moeten nagaan of hun Business Associate Agreements deze maatregelen als vereiste stellen voor het beheren van PHI, en niet slechts als aanbeveling van beste practices. Een framework voor risicobeheer van beveiliging dat expliciet doorgetrokken wordt naar BA-omgevingen is essentieel om deze lacune te dichten.

Zorgorganisaties moeten het datalek bij Amazon One Medical aangrijpen om hun eigen leverancierslandschap te auditen. De eerste stap is inventariseren welke leveranciers PHI beheren, in welke hoeveelheden en onder welke beveiligingsmaatregelen. De tweede stap is het herzien van Business Associate Agreements om te bevestigen dat deze encryptie, toegangscontrole en audit logging-vereisten specificeren die in lijn zijn met de huidige beste practices. De derde stap is het uitvoeren van beveiligingsbeoordelingen bij risicovolle leveranciers – vooral die grote hoeveelheden PHI beheren in bestandopslag- of integratieomgevingen – in plaats van te vertrouwen op beoordelingen die alleen bij aanvang van het contract zijn uitgevoerd. Organisaties die lacunes ontdekken, moeten TPRM-herstel als complianceprioriteit behandelen en hun beoordeling en herstelacties documenteren als bewijs van goede trouw in het kader van de risicobeheervereisten van de HIPAA Security Rule. Het toepassen van gegevensbeheerbeleid dat periodieke herziening van de bij leveranciers opgeslagen PHI-hoeveelheden vereist, helpt ongecontroleerde gegevensopbouw te voorkomen.

Kiteworks pakt de architecturale lacune aan die het datalek bij Amazon One Medical blootlegt – het ontbreken van consistente beveiligingsmaatregelen voor PHI buiten de kernklinische systemen – via het Private Data Network. Het platform past FIPS 140-3 Level 1 gevalideerde encryptie toe op alle content in transit en in rust, handhaaft op attributen gebaseerde toegangscontrole (ABAC: Attribute Based Access Control) die bepaalt wat gebruikers en systemen kunnen benaderen op basis van rol, gevoeligheid van gegevens en context, en logt elk toegangsevenement in een uniforme audittrail die alle communicatiekanalen voor content omvat. Voor compliance in de zorg ondersteunt Kiteworks HIPAA-naleving, inclusief de technische beveiligingsverplichtingen van de Security Rule, en biedt het de documentatie- en rapportagemogelijkheden die OCR-onderzoeken vereisen. De CISO Dashboard geeft beveiligings- en complianceleiders real-time inzicht in PHI-toegang binnen de organisatie, ook in door leveranciers beheerde integratieomgevingen – waarmee het blinde vlek wordt aangepakt die het datalek bij Amazon One Medical mogelijk maakte. Voor zorgorganisaties die ook te maken hebben met sectorspecifieke complianceverplichtingen buiten HIPAA, biedt Kiteworks een uniform platform dat beveiligingsmaatregelen voor alle gevoelige contentworkflows samenbrengt.

Aanvullende bronnen

  • Blog Post
    Hoe ontwerp je een veilige workflow voor bestandsoverdracht voor leveranciers en aannemers van derden
  • Blog Post
    Het belang van risicobeheer voor verkopers voor CISO’s
  • Blog Post
    Hoe bescherm je intellectueel eigendom bij samenwerking met externe partijen
  • Blog Post
    Bestrijd bedreigingen met supply chain-beveiliging & risicobeheer
  • Blog Post
    Datalekken bij partners: Je bent maar zo sterk als je zwakste partner

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks