Een HIPAA-compatibel back-up- en herstelplan is een mandaat voor uw organisatie. Als je een ... hebt plan voor gegevensback-up en noodherstel voor uw meest kritieke infrastructuur en gegevens, dan helpt dit om de activiteiten van uw organisatie soepel te laten verlopen in elke kritieke situatie.Health Insurance Portability and Accountability (HIPAA) en zijn Privacy- en beveiligingsregels spelen een cruciale rol bij het afschermen van de persoonlijke gezondheidsgegevens van patiënten. Het Department of Health and Human Services (HHS) reguleert de HIPAA-naleving, en Office for Civil Rights handhaaft deze.
Wat is HIPPA-naleving?
De Health Insurance Portability and Accountability Act van 1996, genaamd HIPAA, is een reeks regelgevende normen die het rechtmatige gebruik en de openbaring van beschermde gezondheidsinformatie (PHI) plannen. PHI is nu een stuk demografische informatie (naam, adressen, financiële informatie, medische rapporten en burgerservicenummers) van een HIPAA-entiteit.
Elke vorm van informatie, of het nu een medisch dossier, een financiële verklaring of essentiële gegevens van een organisatie is, de basisvereiste voor al deze gegevens is een robuuste back-up en noodherstel oplossing. Bovendien, als de organisatie of zorginstelling HIPAA-compatibel is, hoeft u zich geen zorgen te maken over essentiële informatie. Laten we eens kijken welk soort organisaties HIPAA-compatibel moeten zijn.
Welk type organisatie moet voldoen aan HIPAA?
Overdekte entiteiten:
Volgens de HIPAA-regelgeving is een gedekte entiteit elke organisatie die PHI elektronisch verzamelt, maakt of verzendt. Zorgorganisaties zijn bijvoorbeeld gedekte entiteiten die zorgverleners, zorgverzekeraars en verrekenkantoren voor gezondheidszorg omvatten.
Zakenpartners:
Een zakenpartner is een organisatie die PHI in welke vorm dan ook tegenkomt tijdens haar werk, dat wordt uitgevoerd in of namens de gedekte entiteit, en dit valt onder de HIPAA-regelgeving.
Er zijn veel voorbeelden van zakenpartners, maar degenen die onder de HIPAA-regels vallen. Deze omvatten leveranciers van fysieke opslag, IT-providers, Cloud Storage providers, praktijkmanagementfirma's, externe consultants, EPD-platforms, faxbedrijven, factureringsbedrijven, vernietigingsbedrijven, e-mailhostingservices, advocaten, accountants en nog veel meer.
Vereisten voor HIPAA-naleving
Laten we eens kijken naar een reeks nationale normen die de HIPAA-regelgeving beschrijft voor de gedekte entiteiten en zakenpartners:
Zelfaudits
Gedekte entiteiten en zakenpartners moeten jaarlijkse audits van hun organisatie uitvoeren om technische, fysieke en administratieve hiaten te beoordelen in overeenstemming met de HIPAA-privacy- en beveiligingsnormen. Een Security Risk Assessment is niet alleen een vereiste om compliant te zijn; het is slechts een van de essentiële audits voor HIPAA-verplichte entiteiten.
Implementatie van saneringsplannen
Na het identificeren van de hiaten in de naleving door middel van zelfaudits, moeten de betrokken entiteiten en zakenpartners herstelplannen implementeren om nalevingsschendingen ongedaan te maken. Ze moeten deze sanering documenteren en kalenderdata opnemen waarop hiaten zullen worden verholpen.
Beleid, procedures, opleiding van personeel
De gedekte entiteiten en zakenpartners moeten beleid en procedures ontwikkelen die voldoen aan de HIPAA-regelgevingsnormen zoals uiteengezet in de HIPAA-regels. Ze moeten dit beleid en deze procedures regelmatig bijwerken. Ze moeten ook jaarlijkse personeelstraining geven om ervoor te zorgen dat ze alle beleidsregels en procedures correct begrijpen.
Documentatie om HIPAA-compatibel te worden
De HIPAA-erkende organisaties moeten al hun inspanningen documenteren om HIPAA-compliant te worden, aangezien het van cruciaal belang is om tijdens een HIPAA-onderzoek met HHS OCR strikte HIPAA-audits te doorstaan.
Beheer van zakenpartners
De gedekte entiteiten en zakenpartners moeten alle leveranciers met wie ze PHI delen, documenteren en Business Associate Agreements (BAA's) uitvoeren om ervoor te zorgen dat PHI veilig wordt afgehandeld en om aansprakelijkheid te beperken. Ze moeten de BAA's jaarlijks herzien om rekening te houden met veranderingen in de aard van de organisatorische relaties met leveranciers. Ze moeten BAA's uitvoeren voordat ELKE PHI wordt gedeeld.
Incident Management
Volgens de HIPAA-regel voor het melden van inbreuken moet de gedekte entiteit of zakenpartner in het geval van een datalek een proces hebben om de inbreuk te documenteren en de patiënten te informeren dat hun gegevens zijn gecompromitteerd.
De organisaties moeten de bovengenoemde HIPAA-beveiligingsregels volgen om de integriteit, beschikbaarheid en vertrouwelijkheid te waarborgen van alle PHI die wordt ontvangen, beheerd, gemaakt of overgedragen. Onder HIPAA is back-up verplicht en een essentieel middel ter bescherming tegen dergelijke risico's. In dit geval moeten zowel instellingen die gebruikersgegevens bewaren als zakenpartners voldoen aan wettelijke voorschriften. Als de instellingen bijvoorbeeld cloudopslag gebruiken, zijn cloudserviceproviders de partners en moeten ze ook HIPAA-compliant zijn.
De artsen die onder de HIPAA-wet vallen, moeten vertrouwen hebben in de beschikbaarheid en veiligheid van hun IT-systemen, aangezien hun levering van kritieke diensten ervan afhangt. De HIPAA-conformiteit is gebaseerd op een reeks vereisten, waaronder de beveiligingsregel, de meldingsregel voor inbreuken en de privacyregel. Als de HIPAA-naleving niet wordt nageleefd, kan dit resulteren in gevangenisstraf en vaker in boetes van duizenden of zelfs miljoenen dollars voor een gedekte entiteit (CE), zoals een verrekenkantoor voor gezondheidsgegevens of een zorgverlener. Laten we eens kijken naar een van dergelijke gevallen:
In april 2017, ontving het Department of Health and Human Services (HHS) een klacht over Sentara Hospital, een non-profitorganisatie die Virginia en North Carolina bedient. De klacht was dat Sentara een rekening had gestuurd naar een persoon met de beschermde gezondheidsinformatie (PHI) van een andere patiënt. Na een onderzoek door het Office for Civil Rights in de VS bleek dat het ziekenhuis PHI van 577 patiënten had gemaild. Sentara kreeg een boete van $ 2.175 miljoen voor de overtreding van de HIPAA Act Breach Notification and Privacy Rules.
Terwijl de technologie blijft evolueren, wordt de privacy van een patiënt een hot topic in de gezondheidszorg. Het merendeel van de patiëntinformatie die elektronisch wordt overgedragen, is onderhevig aan bepaalde risico's. Deze risico's omvatten onder meer een ramp die kan leiden tot fysieke schade aan computers en servers die de informatie over de patiënten opslaan. Het beste wat een organisatie kan doen, is hun systeem evalueren en vervolgens een veilige en robuuste back-up- en hersteloplossing om te voldoen aan de HIPAA-normen. De gedekte entiteiten moeten er ook voor zorgen dat ze een goed gedefinieerd noodplan hebben dat ervoor zorgt dat patiëntgegevens veilig zijn, zelfs na een eerste Data Loss. Kort gezegd, informatiebeveiliging heeft alles te maken met het waarborgen van drie kenmerken van informatie of gegevens: vertrouwelijkheid, integriteit en beschikbaarheid.
conclusien
Organisaties staan ​​meer onder de loep dan ooit tevoren. Met extra bedreigingen voor patiëntgegevens is het absoluut noodzakelijk dat bedrijven de juiste oplossingen kiezen. Houd rekening met al deze factoren bij het kiezen van een back-up- en hersteloplossing, aangezien dit een grote game-wisselaar kan zijn om ervoor te zorgen dat uw bedrijf voldoet aan de HIPPA-voorschriften.
