13 Dinge, die jeder MSP über HIPAA wissen MSP

Juni 1, 2017
Doug Barney
HIPAA, Managed Service Provider (MSP)

HIPAA-Kenntnisse sind nicht nur für die Arbeit im Gesundheitswesen wichtig - sie sind eine absolute Voraussetzung.

Sie müssen nachweislich HIPAA-konform sein. Ein MSP keine HIPAA-bezogenen Arbeiten ausführen, ohne HIPAA-konform zu sein. Die gute Nachricht ist, dass Sie nach der Zertifizierung um HIPAA-Verträge konkurrieren können und aufgrund Ihrer Qualifikation und Ihres Fachwissens einen Aufschlag für Ihre Dienstleistungen verlangen können.

1. Die Sanktionen sind schwerwiegend.

Große Gesundheitsdienstleister kennen alle die HIPAA-Vorschriften. Das müssen sie auch. Sie sind am stärksten von den Vorschriften betroffen und werden am ehesten häufigen Audits unterzogen. Kleinere Unternehmen sind nicht immer auf die Risiken vorbereitet. Die Strafen sind jedoch mehr als ernst zu nehmen.

Hier sind nur einige der Geldstrafen, die in den letzten Jahren in den Vereinigten Staaten verhängt wurden:

  • Affinity Health Plan zahlte 1,2 Millionen Dollar, weil es die Festplatten seiner modernen Kopierer nicht gelöscht hatte, bevor es sie an das Leasingunternehmen zurückgab.
  • WellPoint sicherte keine Online-Gesundheitsdatenbank und zahlte 1,7 Millionen Dollar.
  • Das Massachusetts Eye and Ear Infirmary hat es versäumt, die Laptops von Ärzten zu verschlüsseln und wurde zu einer Geldstrafe von 1,5 Millionen Dollar verurteilt.
  • Phoenix Cardiac Surgery veröffentlichte Patiententermine in einem Online-Kalender und zahlte 100.000 Dollar.
  • Ein Walgreens in Indiana hat die Privatsphäre einer einzigen Patientin verletzt und ihr 1,44 Millionen Dollar gezahlt.
  • Ein Hospiz in Idaho verlor einen Laptop durch Diebstahl. Die Geldstrafe betrug 50.000 Dollar.
  • Eine Arztpraxis in Phoenix verschickte Patientendaten über unsichere E-Mails und wurde mit einer Geldstrafe von 100.000 Dollar belegt.
  • Eine pädiatrische Praxis in Massachusetts verlor ein Flash-Laufwerk und zahlte eine Geldstrafe von 150.000 Dollar
  • Für einen anderen gestohlenen Laptop in Boston musste der Arzt 1 Million Dollar bezahlen.
  • Ein verlorenes Backup kostete das Gesundheitsministerium des Bundesstaates Alaska 1,7 Millionen Dollar.

Dies ist nur ein kleiner Ausschnitt. Die HSS führt eine umfangreiche Liste von Verstößen.

2. Verschlüsselung ist Ihr Freund.

HIPAA verlangt, dass alle elektronisch übermittelten PHI-Daten geschützt werden, was am besten durch eine starke Verschlüsselung erreicht wird. Wenn die Daten stark verschlüsselt sind, sind der MSP der Kunde praktisch immun gegen Strafen, falls diese Daten irgendwie kompromittiert werden oder ein verlorenes Gerät bereits verschlüsselt ist.

3. MSPs sind verantwortlich, wenn Kunden gegen den HIPAA verstoßen.

Kunden werden als "Covered Entities" bezeichnet und sind per Definition für die Einhaltung aller Aspekte des HIPAA verantwortlich. MSPs, die mit dem Gesundheitswesen zusammenarbeiten, werden Business Associates genannt und sind genauso verantwortlich wie der Kunde selbst.

4. Ihre potenziellen Kunden kümmern sich wahrscheinlich nicht annähernd so sehr um den HIPAA wie Sie.

Sehr große Krankenhäuser und andere große Gesundheitsorganisationen legen Wert auf HIPAA. Und sie können es sich am ehesten leisten, HIPAA ernst zu nehmen, in die Technologie zur support zu investieren und ihre Mitarbeiter zu schulen. Leider kümmern sich die meisten kleinen Praxen nicht sonderlich um HIPAA – sie wurden noch nicht geprüft und rechnen auch nicht damit.

Ihre Aufgabe ist es, sie vom Gegenteil zu überzeugen. Sie müssen wissen, dass eine HIPAA-Geldstrafe finanziell verheerend sein und das Vertrauen zwischen ihnen und ihren Patienten zerstören kann – ein echter Geschäftsbrecher. Kleinere Gesundheitsorganisationen benötigen MSP am dringendsten, da sie nicht eng mit großen Versicherungsgesellschaften und Krankenhäusern verbunden sind.

5. Die Sicherheitsbewertung ist der erste wichtige Schritt bei einem MSP -Auftrag.

In einigen Fällen MSP ein MSP eine grundlegende Sicherheitsbewertung MSP , um einen potenziellen Kunden aus dem Gesundheitswesen davon zu überzeugen, dass die Einhaltung der HIPAA-Vorschriften tatsächlich wichtig ist und dass er externe Hilfe benötigt, um diese zu erreichen. Sobald ein Kunde überzeugt ist, wird im Rahmen einer eingehenden Sicherheitsbewertung festgelegt, was sofort geändert werden muss, welche neuen Technologien eingeführt werden sollten und wie MSP wie RMM sowie Authentifizierungs- und Zugriffsmanagement zur Einhaltung der HIPAA-Vorschriften beitragen können. Mit einem ausreichend umfangreichen Angebot können Sie Compliance-as-a-Service an Unternehmen im Gesundheitswesen verkaufen – und hoffentlich auch darüber hinaus.

6. Es lohnt sich zu dokumentieren.

Die HIPAA-Vorschriften verlangen, dass MSPs als Geschäftspartner die Schutzmaßnahmen für ePHI dokumentieren müssen. Diese Dokumente müssen allen Mitarbeitern ausgehändigt werden, und sie sollten verstehen, was sie bedeuten.

7. Sie benötigen ein HIPAA Business Associate Agreement (BAA).

Die HIPAA Omnibus Final Rule verlangt, dass Business Associates BAAs mit ihren Kunden, den betroffenen Unternehmen, abschließen. Darin verpflichtet sich der Geschäftspartner, alle HIPAA-Vorschriften einzuhalten und die ePHI zu schützen.

8. Die Verschlüsselung ist ein verwirrender Aspekt der Vorschriften, der aber ohnehin zur Vorsicht mahnt.

Die Verschlüsselung ist ein Bereich, in dem der HIPAA nicht ganz eindeutig ist. Stattdessen spricht das HHS davon, "das zu tun, was vernünftig und angemessen ist", um ePHI zu schützen, und sagt dann:

Bei der Erfüllung von Normen, die adressierbare Umsetzungsspezifikationen enthalten, wird eine erfasste Einrichtung für jede adressierbare Spezifikation eine der folgenden Maßnahmen ergreifen:

  • Umsetzung der adressierbaren Implementierungsspezifikationen
  • Implementieren Sie eine oder mehrere alternative Sicherheitsmaßnahmen, um denselben Zweck zu erreichen.
  • Weder eine adressierbare Implementierungsspezifikation noch eine Alternative implementieren

Dies bedeutet im Grunde, dass der Akteur im Gesundheitswesen oder die BA einen wirksamen Weg finden muss, um Daten zu sichern. Eines der größten Probleme ist die Datenübertragung. Hier ist die einzige Möglichkeit, um sicher zu sein, dass die Daten geschützt sind, eine starke Verschlüsselung. Auch wenn HIPAA nicht ausdrücklich Verschlüsselung vorschreibt, ist Verschlüsselung der einzige vernünftige und praktikable Weg, um die HIPAA-Anforderungen zu erfüllen, dass ePHI immer geschützt sind.

9. Warum Sie trotzdem Verschlüsselung wollen.

Die Wahrscheinlichkeit ist groß, dass Ihre Risikobewertung, selbst in einem frühen Stadium, eine Verschlüsselung erfordert. Das macht sie zu einer Notwendigkeit. Verschlüsselung kann Sie vor Ärger bewahren. Viele HIPAA-Bußgelder sind auf verlorene oder gestohlene Geräte mit ePHI zurückzuführen. Die gute Nachricht ist, dass es keine Geldstrafen für verlorene oder gestohlene Geräte gibt, wenn das Gerät verschlüsselt ist - Sie müssen es nicht einmal melden.

10. Die Risikobewertung ist Ihr Freund.

Dies ist eine weitere großartige Idee, die in der HIPAA Omnibus Ruling kodifiziert ist. Die Bewertung ist für betroffene Unternehmen und Geschäftspartner erforderlich.

Die Bewertung umfasst:

  • Sicherheitsrichtlinien in Bezug auf HIPAA
  • Eine Analyse der Schwachstellen, Risiken und Systembedrohungen
  • Ein Plan zum Schutz und zur Sicherung von ePHI, egal wo sie sich befinden

11. Sie müssen über einen Plan für die Reaktion auf Sicherheitsvorfälle (SIRP) verfügen.

Außerdem enthält das SIRP, das gemäß HIPAA erforderlich ist, detaillierte Angaben und dokumentiert, was im Falle einer Sicherheitsverletzung oder anderer Sicherheitsvorfälle zu tun ist. Dazu gehört auch die Verfolgung von Sicherheitsvorfällen, um hoffentlich nachweisen zu können, dass keine erfolgreichen Angriffe stattgefunden haben. Im Falle eines Angriffs oder einer Sicherheitsverletzung (auch wenn es sich nur um einen Versuch handelt) sollten Sie dokumentieren, was passiert ist und wie schwerwiegend der Vorfall war. Angriffe auf Organisationen mit mehr als 500 Mitarbeitern, Patienten oder Partnern müssen dem HHS gemeldet werden.

12. Ein MSP die beste Verteidigung im Falle einer Prüfung.

Bei einem Audit wird eine Organisation des Gesundheitswesens daraufhin überprüft, ob sie die Vorschriften einhält. Ziel ist es, den Zustand der Organisation zu bestimmen und festzustellen, welche Schritte zur Verbesserung der Leistung erforderlich sind. Diese Audits sollten jährlich durchgeführt werden. Die meisten Organisationen des Gesundheitswesens, selbst große, sind in der Regel nicht in der Lage, ein Audit mit all seiner Komplexität zu bewältigen.

Ein MSP für ein Audit bestens gerüstet, da MSP alle erforderlichen Sicherheitsmaßnahmen getroffen MSP . Der MSP alle Ereignisprotokolle und Berichte darüber, wer wann über Remote Monitoring and Management (RMM) auf welche Daten zugegriffen hat.

13. Zugangsschutz und -kontrolle erfordern einen neuen Ansatz für die Authentifizierung und die Zugangsverwaltung.

Eines der größten Probleme, ja sogar der Kern der HIPAA-Angelegenheit, besteht darin, sicherzustellen, dass nur Personen mit den entsprechenden Befugnissen Zugang zu ePHI und den Systemen haben, die sie enthalten. Richtlinien und Verfahren zur Verwaltung des Informationszugriffs sind der Schlüssel, um den unbefugten Zugriff auf ePHI und andere Gesundheitsdaten zu unterbinden.

Laden Sie das ebook "The IT Pro's Guide to Minimizing Healthcare Compliance Risk" herunter, um die wesentlichen Funktionen eines IT-Managementsystems kennenzulernen, mit dem Sie Ihre Compliance-Anforderungen erfüllen können.

Über den Autor
Doug Barney war der Gründungsredakteur von Redmond Magazine, Redmond Channel Partner, Redmond Developer News und Virtualization Review. Doug war außerdem leitender Redakteur von Network World, Chefredakteur von AmigaWorld und Chefredakteur von Network Computing.

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Die Überprüfung von Backups ist jetzt noch intelligenter: Wir stellen die KI-gestützte Screenshot-Überprüfung vor

In einer Zeit, in der Cyberangriffe an der Tagesordnung sind, die Infrastruktur immer komplexer wird und die Erwartungen der Kunden steigen, reicht es nicht mehr aus, lediglich über Backups zu verfügen. BackupsMehr lesen

Blogbeitrag lesen

QBR-Berichtsvorlagen: Erstellen Sie mit standardisierten Vorlagen stets professionelle QBRs

Wenn Sie schon einmal – immer und immer wieder – eine vierteljährliche Geschäftsbesprechung (QBR) von Grund auf neu erstellt haben, wissen Sie bereits, wieMehr lesen

Blogbeitrag lesen

1 Minute Wednesday: Die Geschichte hinter der Umwandlung von Community-Erkenntnissen in MSP

Entdecken Sie die Geschichte hinter „1 Minute Wednesday“ und erfahren Sie, wie gemeinsame Community-Erkenntnisse MSPs dabei helfen, ihre operative Reife zu steigern, intelligenter zu skalieren und gemeinsam erfolgreich zu sein.

Blogbeitrag lesen