
Verzend HIPAA-conforme e-mail
Hoe verstuur je HIPAA-conforme e-mails? Aannemen dat alle e-mails voldoen aan de regelgeving kan kostbaar zijn; lees verder om te ontdekken wat conforme e-mails zijn en hoe je ze veilig verstuurt.
Wat is een HIPAA-conforme e-mail?
Een HIPAA-conforme e-mail is een e-maildienst die voldoet aan de minimale HIPAA-vereiste voor de beveiliging en privacy van elektronische Persoonlijke Gezondheidsinformatie (ePHI). HIPAA-naleving voor e-mails omvat alle vereiste die andere technologieën ook hebben voor deze gegevens, zoals:
- Toegang tot ePHI beperken, zowel in rust als tijdens verzending
- ePHI monitoren en beschermen, zowel in rust als tijdens verzending
- Zorgdragen voor de integriteit en verantwoordelijkheid van ePHI, zowel in rust als tijdens verzending
E-mail is een unieke technologie op het gebied van beveiliging omdat e-mails, door hun aard, betrokken zijn bij zowel opslag als verzending. Mensen versturen e-mails, en servers en applicaties slaan e-mails op.
Daarbij zijn er diverse partijen betrokken bij het beheer van e-mails die rekening moeten houden met regels en wetgeving: verzenders en ontvangers, en externe e-mailleveranciers.
Datalekken in de zorg en e-mailbeveiliging
Onbeveiligde e-mail kan leiden tot datalekken en een HIPAA-overtreding, omdat e-mails en de beschermde gezondheidsinformatie (PHI) die ze bevatten eenvoudig onderschept kunnen worden door onbevoegden. Hierdoor kan elke privé- en vertrouwelijke informatie die via onbeveiligde e-mails wordt verzonden, zonder toestemming van de verzender worden ingezien. Dit kan leiden tot HIPAA-overtredingen, omdat de gegevens kunnen worden gebruikt voor kwaadaardige doeleinden en onwettige activiteiten. Bijvoorbeeld: PHI die via onbeveiligde e-mail wordt verzonden, kan worden gebruikt voor identiteitsdiefstal of medische fraude.
De gevolgen van een HIPAA-overtreding kunnen ernstig zijn en kunnen zowel civiele als strafrechtelijke sancties omvatten. HIPAA-plichtige entiteiten, zoals zorgverleners, zorgverzekeraars en clearinghouses, kunnen tot $50.000 per overtreding worden beboet, met een maximale boete van $1,5 miljoen per jaar. Personen die de HIPAA-regels overtreden, kunnen tot $50.000 boete krijgen en tot één jaar gevangenisstraf riskeren. Daarnaast kunnen personen die HIPAA overtreden ook civielrechtelijk worden aangeklaagd, wat kan resulteren in forse financiële schikkingen.
Voor patiënten van wie de privacy is geschonden, kunnen de gevolgen bestaan uit identiteitsdiefstal, medische fraude, financiële diefstal en schaamte. Het kan ook emotionele stress en gevoelens van schending veroorzaken, omdat de blootgestelde informatie bedoeld was om privé te blijven. Afhankelijk van de ernst van het datalek kan de patiënt ook financieel aansprakelijk zijn voor kosten die voortvloeien uit het lek.
Wat zegt HIPAA over e-mail?
De definitie van “beveiligde e-mail” van het Department of Health and Human Services (HHS) is elke vorm van elektronische berichtuitwisseling die encryptie en andere beveiligingsmaatregelen gebruikt om de vertrouwelijkheid, integriteit en beschikbaarheid van het bericht te beschermen. Beveiligde e-mail encryptie is een proces waarbij de inhoud van een bericht wordt versleuteld, zodat deze onleesbaar is voor iedereen behalve de beoogde ontvanger. Ook worden authenticatieprocessen gebruikt om de identiteit van de verzender en ontvanger te bevestigen. Dit zorgt ervoor dat het bericht alleen door de bedoelde ontvanger kan worden bekeken en niet op enige wijze kan worden gewijzigd.
HHS raadt zorgorganisaties en zakelijke entiteiten aan om beveiligde e-mail te gebruiken om de veiligheid van gevoelige informatie die via internet wordt verzonden te waarborgen. Zorgorganisaties en zakelijke entiteiten moeten robuuste encryptie en authenticatie gebruiken voor beveiligde e-mailcommunicatie en dit integreren in de algemene beveiligingsstatus van de organisatie. HHS adviseert ook om regelmatig beveiligingsbeoordelingen en audits uit te voeren, evenals alle gegevens te versleutelen in rust, tijdens verzending en in gebruik. Daarnaast raden ze aan om passende beveiligingsmaatregelen te nemen tegen malware en andere bedreigingen, zoals firewalls, antivirussoftware en patchbeheer. Tot slot moeten organisaties beleid en procedures ontwikkelen en implementeren om het gebruik van beveiligde e-mail te reguleren.
HIPAA-e-mailencryptievereiste
E-mailencryptie is een belangrijk onderdeel van HIPAA-naleving, omdat het helpt om vertrouwelijke patiëntinformatie te beschermen. Veel organisaties die PHI verwerken, moeten e-mails met PHI versleutelen als onderdeel van hun HIPAA-nalevingsstrategie.
Om HIPAA-conform te zijn, moeten organisaties en zakelijke entiteiten de volgende encryptievereiste toepassen:
- Er moeten veilige transmissieprotocollen worden gebruikt, zoals TLS en IPsec.
- De gebruikte encryptiemethode moet veilig zijn en een sleutel gebruiken die uniek is voor de ontvanger.
- Het encryptie-algoritme moet voldoen aan de HIPAA-normen.
- Alle e-mailinhoud, inclusief bijlagen, moet worden versleuteld.
- Elke e-mail die buiten de organisatie wordt verzonden, moet worden versleuteld.
- Organisaties moeten procedures hebben om te waarborgen dat alle verzonden of ontvangen e-mails worden versleuteld.
- Organisaties moeten processen hebben om de encryptiesleutels die voor e-mails worden gebruikt te beschermen.
Verantwoordelijkheden van verzenders en ontvangers
Zowel verzenders als ontvangers werken met applicaties op werkstations of mobiele apparaten om e-mails te schrijven, op te slaan en te versturen. Alle accounts met gevoelige ePHI moeten voldoen aan de HIPAA-encryptieregels. Daarnaast moeten deze accounts worden beschermd tegen onbevoegde toegang met wachtwoorden (bij voorkeur multi-factor authentication). Het beheer van alle gegevens die via e-mail worden gebruikt, ligt dan ook bij deze partijen, en zij kunnen aansprakelijk worden gesteld voor overtredingen als zij de volgende praktijken niet in acht nemen:
- Voor e-mails die intern of van arts tot arts binnen een intern e-mailnetwerk en intranet worden verstuurd, is encryptie niet nodig zolang er geen externe toegang is en het netwerk zelf voldoende beveiligd is (firewallbescherming, anti-malwaresoftware, enz.).
- Elk bericht dat buiten het beveiligde netwerk wordt verstuurd (naar het privé e-mailadres van een arts, e-mails tussen professionals van verschillende organisaties en e-mails met zakelijke partners) moet door de verzender worden versleuteld ter bescherming tijdens verzending.
- E-mails aan patiënten over ePHI zijn toegestaan, maar moeten een waarschuwing bevatten over het risico van communicatie en de mogelijkheid om te kiezen of men HIPAA-conforme e-mailcommunicatie wil blijven ontvangen. Zorgverleners moeten altijd alternatieve en veilige methoden van gegevensdeling voor ePHI aanbieden.
Met deze praktijken zijn er diverse HIPAA-nalevingsfuncties voor e-mail die verwarrend kunnen zijn onder de regelgeving. Als je een versleutelde e-mail met ePHI naar een plichtige entiteit of zakelijke partner stuurt, dan is het hun verantwoordelijkheid om die gegevens te beschermen volgens HIPAA, ook bij eventuele antwoorden. Massamailings moeten worden vermeden, maar als ze toch worden gebruikt, mogen verzenders alleen massamailingen versturen via mailmerge-functies in HIPAA-conforme software.
Verantwoordelijkheden van externe e-mailleveranciers
Samenwerken met externe conforme e-mailleveranciers lijkt sterk op werken met een cloudprovider of andere beheerde dienst: zij moeten, voor zover van toepassing op de geleverde dienst, voldoen aan de regelgeving via een Business Associate Agreement (BAA) waarin hun verantwoordelijkheden en aansprakelijkheden zijn vastgelegd.
Dit betekent voor hen, en voor jou, dat de e-mailprovider HIPAA-conforme opslag moet bieden voor alle e-mails op hun servers. HIPAA vereist dat organisaties documenten voor naleving minimaal 6 jaar bewaren.
Zij zijn echter niet verantwoordelijk voor wat er buiten die servers gebeurt. Een externe leverancier is niet verantwoordelijk voor het feit of jij de juiste e-mailbeveiliging en encryptie gebruikt via hun diensten, noch voor de beveiligingsmaatregelen buiten hun diensten of servers.
Dit betekent dat zelfs als je een conforme externe e-maildienst gebruikt (zoals Gmail of Office 365) met een BAA, dit geen dekking biedt voor andere vereiste aan jouw kant met betrekking tot verzending of opslag.
Is Gmail HIPAA-conform?
Nee, Gmail op zichzelf is geen HIPAA-conforme e-mail. Om te voldoen, moet een organisatie een Business Associate Agreement met Google ondertekenen. Deze overeenkomst bevestigt dat er beveiligingsmaatregelen zijn om gegevens op Google-servers te beschermen.
Bij het werken met externe e-mailproviders zoals Google of Microsoft 365 moet je een enterprise-product gebruiken dat specifiek is ontworpen voor naleving. Daarnaast moeten deze organisaties standaard Business Associate Agreements (BAA’s) aangaan met zorgverleners als onderdeel van hun aanbod. Bedrijven als Google of Microsoft hebben deze al en zullen zo’n overeenkomst eisen van elke organisatie.
Is Office 365 HIPAA-conform?
Nee, Office 365 is volgens Microsoft niet HIPAA-conform. Hoewel bepaalde Office 365-producten klanten kunnen helpen om aan HIPAA-naleving te werken, verklaart, garandeert of waarborgt Microsoft niet dat Office 365-producten of -diensten aan HIPAA-vereiste voldoen.
Zorgorganisaties en zakelijke entiteiten die Office 365 gebruiken, moeten passende en relevante beleidsmaatregelen en procedures hebben, gedocumenteerde overeenkomsten met alle betrokken organisaties en/of gebruikers, en passende beveiligingsmaatregelen om gezondheidsinformatie te beschermen in overeenstemming met de HIPAA-vereiste. Daarnaast moeten ze specifieke functies implementeren, zoals data-encryptie, monitoring van gegevensoverdracht en toegangscontrole. Tot slot moeten ze verifiëren dat hun procedures consequent worden gevolgd en gedocumenteerd.
Hoe maak ik mijn huidige e-mailprovider conform?
Een HIPAA-conforme e-mail realiseren betekent dat alle technologieën, van servers tot clients tot processen, worden afgestemd op de regelgeving uit de Privacy- en Security Rules.
Samengevat beschrijven deze twee regels het volgende:
- De Privacy Rule beschrijft de aard van ePHI en de vereiste rondom bescherming, beheer en privacy. Alle PHI is privé, tenzij anders aangegeven door de patiënt, en alle Covered Entities en Business Associates moeten de privacy waarborgen.
- De Security Rule definieert de beveiligingsmaatregelen, technologieën en verantwoordelijkheden van Covered Entities en Business Associates bij het waarborgen van de privacy van PHI.
Niet alle e-mailproviders zijn echter conform, en het gebruik van een niet-conforme provider brengt de Covered Entity ook in overtreding.
Afhankelijk van de gebruikte e-mail zijn er diverse stappen om te zorgen dat je HIPAA-conforme e-mail gebruikt.
Interne e-maildiensten
Als je een intern intranet hebt met on-premises of interne cloud-e-mail, dan is het de verantwoordelijkheid van jouw organisatie om die e-mail op serverniveau en via alle gebruikte applicaties te beschermen.
Dit omvat de volgende acties:
- Gebruik software met end-to-end encryptie. Dit versleutelt gegevens tijdens verzending en wanneer deze op een server staan, om een HIPAA-datalek te voorkomen. Gebruik qua encryptie standaarden die maximaal aan de vereiste voldoen, zoals encryptiestandaarden als AES-256 en TLS-1.1 of hoger.
- Gebruik software met aanvullende encryptie zoals S/MIME. MIME-gegevens maken het mogelijk dat e-mails uitgebreide tekenreeksen en headerinformatie ondersteunen voor robuustere e-mails die media en HTML kunnen bevatten. Door MIME te beveiligen, zorg je ervoor dat als je geavanceerde opmaak gebruikt, de daarin opgenomen gegevens ook beschermd zijn.
- Houd berichtenverkeer en gegevensdeling gescheiden van e-maildiensten. Je moet je e-mail altijd beveiligen, maar bied altijd een beveiligd berichtenplatform en patiëntenportaal aan voor patiënten om kritieke medische gegevens en communicatie van hun zorgverleners te ontvangen. Dit kan het risico op HIPAA-overtredingen via e-mail verkleinen, zelfs als je notificaties koppelt aan patiëntberichten (zolang deze geen ePHI bevatten).
- Automatiseer databack-up en retentie. Richtlijnen schrijven geen specifieke vereiste voor gegevensbewaring voor, maar patiënten kunnen op elk moment informatie opvragen en zorgorganisaties kunnen onwijzigbare audittrails nodig hebben bij juridische procedures over hun naleving. Daarnaast vereisen de regels duidelijk dat organisaties minimaal 6 jaar lang documentatie over hun beveiligingsnaleving bewaren.
Samenwerken met externe leveranciers
Een on-premises of dedicated dienst is voor kleinere praktijken vaak niet haalbaar. Ze kosten geld, vereisen kennis en tijd voor ondersteuning, onderhoud en upgrades waar veel organisaties niet over beschikken of niet willen investeren. In dat geval kiezen veel zorginstellingen voor externe leveranciers voor e-mail en/of bijbehorende clouddiensten.
Om te zorgen dat jouw externe leverancier (en dus ook jij) conform is, let dan op het volgende:
-
Zorg dat je een BAA hebt afgesloten. De BAA is een overeenkomst tussen jouw organisatie en een derde partij die ePHI verwerkt, verzendt of opslaat. Deze overeenkomst beschermt niet alleen jouw organisatie als deze derde partij niet conform blijft, maar legt ook duidelijk de verantwoordelijkheden van die organisatie vast.
-
Zorg dat hun diensten aan de minimale HIPAA-beveiligingsvereiste voldoen. Sommige bedrijven adverteren zichzelf als “HIPAA-eligible” of “HIPAA-capable”. Deze termen kunnen verwarrend zijn voor niet-technische mensen. In het kort betekenen deze termen dat het bedrijf de tools en functies biedt die naleving mogelijk maken. Dat betekent niet dat ze standaard out-of-the-box voldoen.
Als jouw leverancier HIPAA-eligible is, zorg dan dat je precies weet wat er nodig is om met hen HIPAA-conform te zijn. Het kan zijn dat het behalen van naleving met hen niet de moeite waard is.
Of je nu interne of externe e-mail gebruikt, voor HIPAA-naleving is het noodzakelijk dat je je personeel goed opleidt in het juiste gebruik van de technologie. Dit betekent informeren en voortdurende training over HIPAA bij het delen en verzenden van gegevens.
Voor een complete HIPAA-conforme oplossing: Kies Kiteworks
Kiteworks biedt HIPAA-conforme encryptie, back-ups en beveiliging voor zijn e-mailproducten. Belangrijker nog: het ondersteunt een naadloze en veilige ervaring die bestandsoverdracht, beveiligde berichten, veilige opslag, firewall en andere beschermingen omvat die allemaal ook conform zijn. Dit betekent één platform, één oplossing en één interface voor al je behoeften.
Plan een aangepaste demo om meer te weten te komen over hoe Kiteworks HIPAA-conforme e-mail levert.
Veelgestelde vragen
Een beveiligde e-mail of beveiligde e-maildienst is een versleutelde communicatiemethode waarmee gebruikers berichten kunnen verzenden en ontvangen zonder de privacy van de inhoud in gevaar te brengen. Het beschermt berichten tegen inzage of onderschepping door onbevoegde derden.
Beveiligde e-mail en beveiligde e-maildiensten maken doorgaans gebruik van encryptie, authenticatie en toegangscontrole. Encryptie maakt het lastig voor hackers om de communicatie te benaderen door berichten te versleutelen en onleesbaar te maken voor onbevoegden. Authenticatie verifieert de identiteit van de verzender en toegangscontrole bepaalt wie het bericht mag bekijken.
Je kunt de veiligheid van je e-mails waarborgen door een beveiligde e-maildienst te gebruiken. Hiermee worden je berichten versleuteld en beschermd tegen onderschepping door onbevoegde derden. Daarnaast kun je multi-factor authentication gebruiken voor extra beveiliging.
Met een beveiligde e-maildienst houd je je e-mailcommunicatie privé en vertrouwelijk. Het helpt je ook te voldoen aan regelgeving rondom gegevensprivacy, zoals HIPAA en GDPR.
Je kunt controleren of beveiligde e-mail correct is geïmplementeerd door te bevestigen of het e-mailprogramma dat je gebruikt voldoet aan de beste practices en standaarden van de beveiligingsindustrie, zoals de S/MIME- of PGP-protocollen.
Kiteworks stelt gebruikers in staat om beveiligde e-mails te creëren door veilige encryptieprotocollen toe te passen op inhoud voordat deze wordt verzonden. Gebruikers kunnen ook e-mails die via Kiteworks worden verstuurd beveiligen door vervalregels in te stellen en te bepalen wie toegang heeft tot de e-mails. Daarnaast worden e-mails die vanuit Kiteworks worden verstuurd automatisch gescand op kwaadaardige inhoud, zodat alleen beveiligde e-mails worden verzonden.