Verplichte vaccinatie van werknemers benadrukt de noodzaak van HIPAA-conforme bestandsoverdracht voor HR-professionals
Als je net als ik bent, hoopte je rond deze tijd vorig jaar dat alles weer min of meer normaal zou zijn tegen de tijd dat we in de zomer van 2021 op vakantie zouden gaan—zo niet eerder. We waren toen allemaal al moe van COVID-19! Toen diverse landen in december vorig jaar vaccins tegen SARS-CoV-2 begonnen goed te keuren, hoopten velen dat deze een relatief snel einde aan de pandemie zouden maken, in ieder geval in rijkere landen zoals de Verenigde Staten en Canada.
Maar hoewel het voor gevaccineerde mensen veel veiliger is, zorgt de combinatie van een besmettelijkere variant en een lager dan verwachte vaccinatiegraad ervoor dat het coronavirus nog steeds veel schade aanricht, bijna twee jaar nadat het werd ontdekt—zowel in ontwikkelde als minder ontwikkelde landen. Dit heeft niet alleen gevolgen voor mensen die ervoor kiezen zich niet te laten vaccineren, maar ook voor mensen die zich niet kunnen laten vaccineren—om gezondheids- of religieuze redenen of vanwege hun leeftijd—en voor mensen met een verzwakt immuunsysteem waardoor vaccins minder effectief zijn.
Om het vaccinatietempo te verhogen en een terugkeer naar normaal te versnellen, voeren zowel de Verenigde Staten als Canada waar wettelijk mogelijk vaccinatieverplichtingen voor werknemers in. De hoop is dat de vaccinatiegraad zal stijgen voordat er nieuwe varianten ontstaan die beter bestand zijn tegen het huidige vaccinregime. Maar voor HR-professionals brengt dit unieke uitdagingen met zich mee op het gebied van naleving van de Health Insurance Portability and Accountability Act (HIPAA) in de VS en de Personal Information Protection and Electronic Documents Act (PIPEDA) in Canada, als het gaat om beschermde gezondheidsinformatie (PHI).
Federale vaccinatieverplichtingen in de VS
Het nieuws over federale verplichtingen in de VS begon met een aankondiging van het Witte Huis in juli van dit jaar dat vaccinatie of wekelijkse tests verplicht zouden worden voor burgerlijke werknemers van de federale overheid en op locatie werkende federale aannemers. Het leger volgde kort daarna, met minister van Defensie Lloyd Austin die in augustus aankondigde dat coronavaccinaties aan de verplichte vaccinaties van het Pentagon zouden worden toegevoegd zodra een vaccin volledig was goedgekeurd door de Food and Drug Administration (FDA). De volledige goedkeuring voor het Pfizer-BioNTech-vaccin werd verleend op 23 augustus.
Op 9 september 2021 bracht het Witte Huis een nieuw, uitgebreid plan uit om COVID-19 aan te pakken, genaamd “Path Out of the Pandemic.” Het instrueert de Occupational Safety and Health Administration (OSHA) en de Centers for Medicare and Medicaid Services (CMS) om vereisten op te stellen voor volledige vaccinatie of wekelijkse tests voor werknemers bij veel private organisaties. Dit geldt voor organisaties in elke sector met 100 of meer werknemers, en zorginstellingen die Medicare- of Medicaid-vergoedingen ontvangen, ongeacht het aantal werknemers. Deze organisaties moeten ook betaald verlof bieden aan werknemers om zich te laten vaccineren en te herstellen van eventuele bijwerkingen.
De richtlijn van september breidde de federale vaccinatieverplichting ook uit naar alle werknemers van federale aannemers (niet alleen degenen die op locatie werken) en schrapt wekelijkse tests als alternatief voor federale werknemers. De Safer Federal Workforce Task Force stelde een deadline vast van 22 november voor volledige vaccinatie. Omdat iemand pas als volledig gevaccineerd wordt beschouwd twee weken na de laatste prik, moeten werknemers hun vaccinaties uiterlijk op 8 november hebben afgerond.
Ondanks recente tegenslagen voor sommige federale vaccinatieverplichtingen, worden veel vaccinatievereisten in de VS vrijwillig door individuele bedrijven ingevoerd. Voor andere organisaties kan deelname verplicht zijn op basis van staats- of lokale regelgeving. Sommige rechtsgebieden staan regelmatige tests toe als alternatief voor vaccinatie, andere niet.
- Private sector VS. Meer dan de helft (57%) van de Amerikaanse werkgevers heeft vaccinatieverplichtingen ingevoerd of is van plan dit te doen voor hun werknemers.
- Staatswerknemers. Overheidsmedewerkers in 19 staten zijn verplicht zich te laten vaccineren.
- Zorgmedewerkers. Op dit moment zijn ziekenhuis- en zorginstellingspersoneel in 23 staten verplicht volledig gevaccineerd te zijn.
- Scholen (K-12). Tot nu toe hebben schoolmedewerkers in 11 staten vaccinatievereisten. Scholen in minstens 14 staten vereisen nu dat in aanmerking komende leerlingen een COVID-vaccinatie krijgen.
- Hoger onderwijs. Meer dan 1.000 private en publieke Amerikaanse hoger onderwijsinstellingen vereisen het COVID-19-vaccin voor studenten die op de campus wonen.
- New York City. New York heeft onlangs zijn COVID-19-verplichtingen uitgebreid door alle 184.000 bedrijven in de private sector binnen de stadsgrenzen te verplichten dat werknemers uiterlijk op 27 december 2021 een vaccinatiebewijs tonen. Veel bedrijven in New York, waaronder verschillende Wall Street-banken zoals Goldman Sachs, Morgan Stanley en Citigroup, vereisen al vaccinaties voor iedereen die hun kantoren binnenkomt.
Vaccinatievereisten in Canada
In Canada heeft het kantoor van de premier onlangs tijdlijnen aangekondigd voor eerder aangekondigde vaccinatieverplichtingen. Federale overheidsmedewerkers in de Core Public Administration moeten uiterlijk 29 oktober gevaccineerd zijn. De Canadese strijdkrachten en andere federale instanties zijn opgedragen richtlijnen te implementeren die aansluiten bij die voor de kernmedewerkers, en deze vereisten worden binnenkort uitgevaardigd.
Naast de verplichting voor overheidsmedewerkers is volledige vaccinatie verplicht voor alle werknemers en reizigers in de federaal gereguleerde transportsector vanaf 30 oktober. Dit betekent dat vaccinatie verplicht is voor alle passagiers die per vliegtuig, nationale passagierstrein of cruiseschip reizen in Canada—en voor de medewerkers die hen bedienen.
De noodzaak van veilige PHI-bestandsoverdracht
Voor HR-professionals vormen deze nieuwe vereisten een nieuw, complex en extreem kort van tevoren aangekondigd nalevingsregime. Terwijl ze haastig een systeem opzetten om aan de vaccinatieplicht te voldoen nu de deadlines snel naderen, denken sommigen misschien niet direct aan de beveiligingsgevolgen—hoe ze het beheer over de verzamelde gegevens kunnen waarborgen en tegelijk kunnen voldoen aan HIPAA en PIPEDA. Dit kan hun organisatie blootstellen aan het risico van dure boetes wegens niet-naleving en hun werknemers aan het risico van een lek van beschermde informatie. De unieke aard van de nieuwe vereisten onderstreept de noodzaak van veilige PHI-bestandsoverdracht in de HR-context.
Het probleem wordt gecompliceerd door diverse factoren. Allereerst vallen vaccinatie- en testbewijzen onder bestaande PHI-regelgeving—waaronder HIPAA en PIPEDA. Dit betekent dat organisaties, wanneer ze vaccinatiebewijzen van werknemers verzamelen om aan de nieuwe verplichting te voldoen, deze moeten beschermen tegen verlies en diefstal om aan de bestaande normen te voldoen—om nog maar te zwijgen van andere risico’s die gepaard gaan met gegevensverlies.
Een andere complicatie is dat vaccinatiegegevens mogelijk anders worden verzameld dan andere gezondheidsinformatie van werknemers. In de VS is het enige universele bewijs van vaccinatie het door de FDA uitgegeven papieren kaartje, en de overgrote meerderheid van de werknemers zal hun informatie waarschijnlijk indienen door een foto van het kaartje te maken en deze te e-mailen of te uploaden. Voor degenen die regelmatig negatieve COVID-19-testen moeten indienen, wordt de documentatie nog complexer en zijn de systemen grotendeels ongetest. Canada heeft een nieuw federaal vaccinpaspoort voor internationale reizen, maar de provincies hanteren een lappendeken van methoden die per provincie verschillen voor verificatie. Het komt erop neer dat PHI moet worden verzonden via een veilige PHI-bestandsoverdrachtsoplossing.
Het probleem: gescheiden contentcommunicatiesystemen
In veel opzichten verschilt deze nieuwe nalevingsverplichting niet veel van eerdere verplichtingen. Bedrijven zijn vaak slecht voorbereid om nieuwe, beschermde typen persoonsgegevens te beveiligen—PHI of anderszins. En hoewel organisaties maanden de tijd hadden om zich voor te bereiden op de EU’s Algemene Verordening Gegevensbescherming (GDPR) en de California Consumer Privacy Act (CCPA), moesten velen op het laatste moment nog snel maatregelen nemen om te voldoen.
Hoe dan ook, deze spoedverplichting legt een lacune in risicobeheer bloot die bij bijna elke organisatie bestaat als het gaat om gevoelige contentcommunicatie. Er moet ineens een nieuw type PHI voor alle werknemers worden vastgelegd. Dit vereist dat organisaties op ondernemingsniveau—zelfs relatief kleine—een gestroomlijnd proces opzetten waarmee werknemers de gegevens kunnen aanleveren.
Maar deze beveiligde PHI moet door een applicatielaag bewegen die samenwerkingshulpmiddelen, oplossingen voor bestandsoverdracht, ERP-tools en meer omvat. Deze gescheiden contentcommunicatiesystemen sturen de informatie door naar systemen van record, zoals het HR-informatiesysteem (HRIS). Maar die content is vrijwel onmogelijk te volgen—onderweg of in rust—wat vereist is door HIPAA en PIPEDA, en essentieel is om nalevingsaudits te doorstaan. Nog erger is dat contentcommunicatietools doorgaans de bestanden niet versleutelen terwijl ze door het netwerk bewegen.
Kiteworks vereenvoudigt naleving
Zoals veel lezers van de Security and Compliance Blog weten, brengt Kiteworks orde in deze chaos. Voor deze nieuwe informatieverzamelingsverplichting stelt het organisaties in staat om snel een veilig, gestroomlijnd proces op te zetten voor het verzamelen en verifiëren van COVID-19-test- en vaccinatiegegevens van werknemers met een HIPAA- en PIPEDA-conform bestandsoverdrachtskader.
Geïntegreerde veilige contentcommunicatie
Kiteworks verenigt veilige contentcommunicatietechnologieën en standaardiseert meerdere content audittrails in één gecentraliseerd systeem. Het stelt organisaties in staat een gebruiksvriendelijke manier te ontwikkelen voor werknemers om vereiste COVID-19-vaccinatie- en/of testdocumentatie te versturen via mobiel, webinterface of zelfs als e-mailbijlage. De oplossing is schaalbaar voor alle organisaties, ongeacht sector of aantal werknemers. Door een complexe verzameling oplossingen te verenigen, geeft Kiteworks organisaties de mogelijkheid om naleving aan te tonen en tegelijkertijd de zekerheid dat de gegevens beschermd zijn.
Contenttracking
Kiteworks houdt bij wat er gebeurt met elk COVID-19-vaccinatie- en testbewijs door elke actie te loggen—downloads, uploads, weergaven, verzendingen en wijziging van rechten. Dit biedt volledige zichtbaarheid op activiteiten die met alleen bestandsoverdracht- en samenwerkingshulpmiddelen vrijwel niet te volgen zijn. Het helpt ook om naleving van HIPAA en PIPEDA aan te tonen door elk event dat een specifiek PHI-bestand raakt te registreren, en biedt de eenvoudige en uitgebreide rapportage die nodig is voor nalevingsaudits.
Beheerde contenttoegang
Het instellen van beleid op basis van rol in plaats van het handmatig configureren van elke gebruiker vermindert de beheertijd en verkleint uiteindelijk het risico op menselijke fouten, terwijl het het opstellen van nalevingsdocumentatie vereenvoudigt. Zonder dergelijke controles bestaat het risico dat personeelsdossiers per ongeluk worden blootgesteld aan collega’s door ontbrekende toegangscontroles, of dat niet-versleutelde bijlagen via e-mail worden verstuurd door ontbrekend encryptiebeleid.
Veilige vaccinatie- en testbewijzen
Kiteworks gebruikt een gelaagd verdedigingsmodel om content te beschermen, ongeacht de bron en of deze in rust is of onderweg. Werknemers kunnen hun vaccinatiebewijzen indienen vanaf hun telefoon, pc of per e-mail. Gegevens worden automatisch dubbel versleuteld bij elke verzending, upload, download en opslag. En encryptiesleutels worden opgeslagen in de private cloud van de organisatie in plaats van in de publieke cloud.
Belangrijkste punten over PHI en vaccinatieverplichtingen
Het laatste waar HR-professionals op zitten te wachten, is een nieuwe, last-minute nalevingsverplichting! Maar ik weet zeker dat ze begrijpen waarom het tijdgevoelig en van kritiek belang is voor hun organisatie. Nu is het moment om alles op orde te krijgen, want de verplichting gaat zeer binnenkort in—als dat al niet het geval is. Organisaties die niet snel handelen, lopen het risico op boetes wegens niet-naleving, zowel voor de vaccinatieverplichting als voor HIPAA/PIPEDA.
Handmatige benaderingen zijn simpelweg niet werkbaar voor een grootschalige nieuwe verplichting die alle werknemers betreft. Een ad-hoc of minder geautomatiseerde aanpak kan operationele knelpunten veroorzaken en beveiligde PHI blootstellen aan potentiële diefstal door cybercriminelen. Kiteworks biedt een geautomatiseerde, allesomvattende aanpak voor het delen van PHI-content die eenvoudig is voor werknemers, IT-beheerders en HR-professionals, terwijl de persoonlijke informatie van medewerkers veilig blijft.
Bob Ertl is Head of Product Marketing bij Kiteworks
Veelgestelde vragen
HIPAA-naleving betekent voldoen aan de federale normen die zijn vastgelegd in de Health Insurance Portability and Accountability Act (HIPAA) van 1996. Dit omvat vereisten voor het omgaan met en beschermen van patiëntgegevens, evenals patiëntprivacy.
Beschermde gezondheidsinformatie (PHI) is alle individueel identificeerbare informatie met betrekking tot de fysieke of mentale gezondheidstoestand van een patiënt, de levering van zorg of betaling voor zorg. Dit omvat namen, adressen, burgerservicenummers, medische dossiers en alle andere vertrouwelijke informatie die verband houdt met de gezondheid van een patiënt.
Het niet naleven van HIPAA-regelgeving kan leiden tot civielrechtelijke of strafrechtelijke sancties. Civiele boetes variëren van $100 tot $50.000 per incident. In gevallen van opzettelijke nalatigheid kunnen strafrechtelijke sancties oplopen tot 10 jaar gevangenisstraf.
Om aan de HIPAA-vereisten te voldoen, moet je technologie veilige gegevensopslag, toegangscontrole, gebruikersauthenticatie, encryptie, audit logging en activiteitsmonitoring bieden. Ook moet het mogelijk zijn om de toegang tot gegevens te beperken op basis van de rol van de gebruiker en mogen alleen geautoriseerde personen toegang hebben tot de gegevens die ze nodig hebben.
Het naleven van HIPAA-regelgeving helpt patiëntgegevens te beschermen, vergroot het vertrouwen in het zorgsysteem, verlaagt de zorgkosten en verbetert de patiëntveiligheid. Het beschermt je organisatie ook tegen juridische en financiële gevolgen.
Om te zorgen dat je organisatie HIPAA-conform is, werk je samen met een gekwalificeerde externe partij die je kan helpen je gegevens en processen te auditen, een uitgebreid informatiebeveiligingsplan te ontwikkelen en je personeel op te leiden in beste practices voor gegevensbeveiliging en patiëntprivacy.
Kiteworks biedt organisaties de tools en functies die nodig zijn om hun gegevens veilig en privé te houden en te voldoen aan HIPAA. Het Kiteworks Private Content Network stelt organisaties in staat om HIPAA-naleving aan te tonen door het unificeren, controleren, traceren en beveiligen van gevoelige PHI-gegevensuitwisselingen—e-mail, bestandsoverdracht, beheerde bestandsoverdracht, webformulieren en API’s. Kiteworks biedt rolgebaseerde toegangscontrole, zodat gebruikers alleen toegang krijgen tot de gegevens die ze nodig hebben voor hun werk, en helpt organisaties om gegevensgebruik te monitoren en te controleren volgens HIPAA. Ook blijft je organisatie HIPAA-conform dankzij de geautomatiseerde audit logging, mogelijkheden voor directe gegevensvernietiging en uitgebreide rapportagemogelijkheden. Deze functies helpen organisaties een duidelijk beeld te houden van hun beveiligingsstatus en zorgen ervoor dat patiëntgegevens alleen worden geraadpleegd door geautoriseerde personen en veilig en permanent worden verwijderd wanneer ze niet langer nodig zijn.