Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

HIPAA-nalevingsgids voor zorgorganisaties

Startpagina Woordenlijst HIPAA-nalevingsgids voor zorgorganisaties

Bij het omgaan met beschermde gezondheidsinformatie (PHI) is HIPAA-naleving essentieel voor uw bedrijf en de privacy van uw patiënten.

Wat is HIPAA-naleving? HIPAA-naleving betekent dat u voldoet aan de Health Insurance Portability and Accountability Act (HIPAA), die de regelgeving specificeert waaraan personen en organisaties die werken met beschermde gezondheidsinformatie moeten voldoen.

Wat is HIPAA?

De Health Insurance Portability and Accountability Act is een wet uit 1996 die door het Amerikaanse Congres is aangenomen om nationale standaarden vast te stellen voor het beschermen van privégezondheidsinformatie. Voor deze wet bestonden er geen landelijke standaarden voor het beveiligen van patiëntgegevens. HIPAA kwam voort uit de zorg van het Congres dat dit soort informatie te belangrijk was om buiten toezicht en regulering te laten.

HIPAA-nalevingsgids voor zorgorganisaties

Op 21 augustus 1996 werd HIPAA ondertekend door president Bill Clinton en stelde het bepaalde vereisten en standaarden vast voor het gedrag van zorgverleners. Dit omvat enkele basisregels:

  • Zorgverleners mogen patiëntinformatie onder geen enkele omstandigheid aan derden verstrekken, tenzij er expliciete toestemming van de patiënt is.
  • Zorgverleners moeten ook passende beveiligingsmaatregelen implementeren om te waarborgen dat patiëntinformatie niet wordt gedeeld tijdens behandeling of bedrijfsvoering.
  • Traditionele papieren dossiers moeten volledig worden vervangen door digitale administratie (met passende beveiligingsmaatregelen) met de toevoeging van de HITECH-wet in 2009.

Om de zorgsector te reguleren, hanteert de overheid enkele basisdefinities:

  • Beschermde Gezondheidsinformatie Alle identificeerbare informatie over een patiënt met betrekking tot hun behandeling of betaling daarvan wordt beschouwd als PHI. Dit kan medische informatie, doktersnotities, apotheekgegevens en persoonlijke informatie omvatten, zoals adressen en betalingsgegevens die onderdeel zijn van de behandeling. PHI moet door zorgverleners worden beschermd via technische en administratieve maatregelen. Het mag nooit zonder directe toestemming van de patiënt worden gedeeld.
  • Gedekte entiteiten Gedekte entiteiten zijn de gereguleerde organisaties in de zorgsector, die onder toezicht en sancties van HIPAA vallen. Dit zijn onder andere ziekenhuizen, verzekeringsmaatschappijen, dokterspraktijken en privépraktijken.
  • Zakelijke partners De leveranciers en externe partners van gedekte entiteiten die diensten leveren zoals betalingsverwerking, cloudapplicaties en opslag van bestanden zijn zakelijke partners. Zij werken niet direct met patiënten, maar leveren wel diensten waarbij PHI wordt verwerkt. Volgens de huidige HIPAA-wetgeving zijn zakelijke partners net zo verantwoordelijk voor naleving als gedekte entiteiten. Deze aansprakelijkheid wordt vastgelegd in business associate agreements; verplichte contracten tussen gedekte entiteiten en zakelijke partners.

Wat zijn de HIPAA-nalevingsvereisten?

Net als andere kaders heeft HIPAA een reeks nalevingsvereisten waaraan gedekte entiteiten en zakelijke partners moeten voldoen. Deze vereisten zijn onderverdeeld in enkele hoofdregels, waaronder:

  • De Privacyregel: De privacy van patiënten staat centraal in de zorgregelgeving en verplicht gedekte entiteiten en zakelijke partners om de privacy van hun patiënten te beschermen. In principe mogen deze organisaties PHI alleen onder zeer specifieke omstandigheden delen.
  • De Beveiligingsregel: De beveiligingsvereisten voor gedekte entiteiten en zakelijke partners zijn vastgelegd in de HIPAA Security Rule. De Security Rule bevat richtlijnen voor de technische, administratieve en fysieke maatregelen die organisaties moeten nemen om PHI te beschermen.
  • De Meldplicht bij Datalekken: Als het systeem van een gedekte entiteit of zakelijke partner wordt getroffen door een datalek waarbij PHI wordt blootgesteld, hebben deze organisaties specifieke verplichtingen richting het publiek, hun patiënten en de overheid over hoe ze hierover moeten informeren en welke stappen ze nemen om het probleem te beperken.
  • De Omnibusregel: Toegevoegd aan HIPAA in 2013, heeft de Omnibusregel veel van de taal in HIPAA aangepast aan moderne uitdagingen. Met name werd ook de meldplicht bij datalekken herzien om meldingen beter te regelen. Daarnaast zijn de vereisten en verplichtingen voor zakelijke partners die met PHI werken uitgebreid.

Wat zijn de beveiligingsvereisten van de HIPAA Security Rule?

De Security Rule regelt de technische, administratieve en fysieke aspecten van de bescherming van PHI:

  1. Technische beveiliging: Betreft beveiligingsmaatregelen zoals encryptie, firewalls, antivirus, netwerkconfiguraties, e-mail, applicatiebeveiliging, HIPAA-conforme bestandsoverdracht, enzovoorts.
  2. Administratieve beveiliging: Betreft het beleid, de procedures en programma’s die zijn opgezet om de beveiliging te waarborgen en te verbeteren, waaronder risicobeheer, training en permanente educatie, en gegevensbeheer.
  3. Fysieke beveiliging: Betreft locatie- en apparaatbeveiliging zoals camera’s en sloten op datacenters en kantoren, en beveiliging van werkplekken en mobiele apparaten.

Centraal in deze regels staan richtlijnen, geen blauwdrukken. Zo worden technische beveiligingsvereisten niet op software- of versieniveau gespecificeerd. In plaats daarvan worden vereisten gesteld op basis van de best beschikbare en daadwerkelijk veilige technologieën.

Administratieve beveiliging is vaak het minst concreet van deze vereisten. Organisaties moeten het Security Management Process van administratieve maatregelen begrijpen:

  1. Risicoanalyse: Gedekte entiteiten en zakelijke partners moeten nauwkeurige en grondige beoordelingen uitvoeren van potentiële risico’s en kwetsbaarheden voor PHI.
  2. Risicobeheer: Organisaties moeten risicoanalyses gebruiken om beleid op te stellen waarmee risico’s en kwetsbaarheden voor PHI worden beheerd, beperkt en verminderd.
  3. Sanctiebeleid: Organisaties moeten specifiek beleid hebben voor sancties voor medewerkers die niet aan de naleving voldoen.
  4. Informatie­systeemactiviteit beoordelen: Organisaties moeten regelmatig audit logs, rapportages, toegangsrapporten en beveiligingsincidentrapporten beoordelen om risicobeoordeling en optimalisatie te ondersteunen. Risicobeoordeling is het meten en aanpakken van potentiële risico’s in de IT-infrastructuur en het opstellen van beleid op basis van die beoordelingen.

Dit beleid omvat ook het implementeren van regels om gegevens van patiënten gedurende een bepaalde periode te bewaren, afhankelijk van de informatie en het gebruik ervan.

Daarnaast worden fysieke maatregelen vaak over het hoofd gezien door de moderne mobiele wereld. Zo betaalde Concentra Health Services in 2017 ongeveer $1,7 miljoen om schikkingen te treffen na schendingen rond een gestolen laptop die niet beveiligd was, waardoor PHI werd blootgesteld. Volgens HIPAA moeten medewerkers apparaten beheren en beveiligen tegen fysieke toegang, en moeten alle datacenters met PHI voorzien zijn van fysieke sloten en monitoring. Tot slot moet elk fysiek medium met PHI correct worden vernietigd, zodat achtergebleven PHI niet kan worden teruggehaald.

Wat zijn de vereisten onder de Meldplicht bij Datalekken?

Naleving omvat hoe een gedekte entiteit of zakelijke partner moet reageren op een HIPAA-datalek. Deze organisaties moeten een plan hebben waarmee ze alle betrokkenen breed kunnen informeren.

Vereisten voor naleving onder de Meldplicht bij Datalekken zijn onder andere:

  • Getroffen personen informeren: Organisaties moeten individuen informeren die zijn getroffen door datalekken. Deze melding moet per post (First-Class) of per e-mail (indien geautoriseerd door de patiënt) plaatsvinden. Als de organisatie verouderde contactgegevens heeft van tien of meer getroffen patiënten, moet zij ook gedurende minimaal 90 dagen een melding op haar website plaatsen, inclusief een gratis informatienummer.
  • Media informeren: Bij datalekken die 500 patiënten binnen één rechtsbevoegdheid treffen, moeten prominente media worden geïnformeerd via een persbericht, uiterlijk 60 dagen na ontdekking van het datalek.
  • HHS informeren: In alle gevallen moet de organisatie het kantoor van de Secretary of Health and Human Services (HHS) informeren. Als het datalek meer dan 500 patiënten betreft, moet dit binnen 60 dagen gebeuren. Bij minder dan 500 patiënten mag de organisatie jaarlijks melding doen van datalekken. 
  • Gedekte entiteiten informeren: Zakelijke partners moeten partner-gedekte entiteiten binnen 60 dagen na ontdekking van een datalek informeren.
  • Bewijs van meldingen tonen: Zowel gedekte entiteiten als zakelijke partners moeten kunnen aantonen dat ze aan deze vereisten hebben voldaan.

Behoud HIPAA-naleving met Kiteworks

HIPAA-naleving is een van de strengste nalevingsregels in de Verenigde Staten. Organisaties die in de zorg werken als gedekte entiteit of zakelijke partner moeten zonder uitzondering aan deze vereisten voldoen. Deze regelgeving geldt voor alle technologie en werkwijzen—het is cruciaal dat organisaties technologie gebruiken die aan de eisen voldoet.

Voor gevoelige inhoud die wordt verstuurd via e-mail, bestandsoverdracht, beheerde bestandsoverdracht, application programming interfaces (API’s) en webformulieren, biedt Kiteworks uitgebreide governance, naleving en beveiliging. Plan een op maat gemaakte demo om meer te ontdekken.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks