Sicherheit und IT im Gesundheitswesen: Ein Fragebogen zur HIPAA-Konformität

August 26, 2014
Amy Newman
HIPAA

Als MSP dem modernen Markt haben Sie wahrscheinlich schon einmal das Akronym „HIPAA“ gehört. Wenn Sie Kunden haben, die Gesundheitsdienstleister, Clearingstellen oder Unternehmen sind, die mit elektronisch geschützten Gesundheitsdaten (ePHI) umgehen, dann haben Sie mit ziemlicher Sicherheit schon von HIPAA-Compliance gehört.

HIPAA( Health Insurance Portability and Accountability Act) ist eine Reihe von Vorschriften in den Vereinigten Staaten, die für alle Personen gelten, die Zugang zu Daten und/oder Netzwerken haben, die ePHI enthalten. Auch wenn Sie nur ein Netzwerk für einen Kunden verwalten, der mit ePHI umgeht, und selbst wenn Sie nie auf die Informationen zugreifen, gelten Sie als "Geschäftspartner" im Sinne des Gesetzes, sind gesetzlich verpflichtet, das Gesetz einzuhalten, und können im Falle einer Datenschutzverletzung haftbar gemacht werden.

Das bedeutet, dass Sie HIPAA-konform sein müssen, wenn Sie support im Gesundheitswesen support oder dies beabsichtigen. Auch wenn HIPAA ein US-amerikanisches Gesetz ist, gibt es in vielen Ländern ähnliche Gesetze mit ähnlichen Anforderungen.

Damit bleibt eine wichtige Frage offen: Was erfordert die HIPAA-Konformität in Bezug auf IT-Sicherheit, Identitäts- und Zugriffsmanagement?

Zum Glück habe ich die Antworten auf diese Frage in einer Liste einfacher Ja- oder Nein-Fragen zusammengefasst, die Sie Ihrem Kunden stellen können. Wenn die Antwort nein lautet, ist das ein schlechtes Zeichen.

Sicherheitsrichtlinien und -verfahren

Es müssen Richtlinien für den Umgang mit und die Verwaltung von allen Sicherheitsverstößen festgelegt werden. Sie können Ihren Kunden Fragen stellen wie:

  • Sind sich Ihre Mitarbeiter der Strafen bewusst, die bei Verstößen gegen die Sicherheitsvorschriften drohen?
  • Gibt es interne Strafen für Mitarbeiter, die gegen Sicherheitsvorschriften verstoßen?
  • users alle Ihre users , was im Falle von Sicherheitsvorfällen oder -problemen zu tun ist?
  • Gibt es einen Prozess zur Dokumentation, Verfolgung und Behebung von Sicherheitsproblemen oder -vorfällen?
  • Gibt es jemanden, der für die Überprüfung aller Sicherheitsprotokolle, Berichte und Aufzeichnungen zuständig ist?
  • Haben Sie einen Sicherheitsbeauftragten, der für Passwörter und intelligente Sicherheitsrichtlinien zuständig ist?
  • Haben Sie schon einmal eine Risikoanalyse durchgeführt?

Zugangsverwaltung

Der Zugang zu ePHI muss auf die Personen beschränkt werden, die die Erlaubnis haben, darauf zuzugreifen. Sie können Ihren Kunden Fragen stellen wie:

  • Haben Sie Maßnahmen ergriffen, um den Zugang zu ePHI zu genehmigen oder zu überwachen?
  • Gibt es Verfahren zur Feststellung der Gültigkeit des Zugangs zu ePHI?
  • Wird im Falle der Beendigung des Arbeitsverhältnisses der Zugang zu ePHI gesperrt?

Sicherheitsbewusstseinstraining

HIPAA schreibt vor, dass für alle Mitarbeiter ein Schulungsprogramm zum Thema Sicherheitsbewusstsein eingerichtet werden muss. Sie können Ihren Kunden Fragen stellen wie:

  • Werden die Mitarbeiter regelmäßig an Sicherheitsaspekte erinnert?
  • Halten Sie Besprechungen über die Bedeutung von Passwörtern, Software und IT-Sicherheit ab?
  • Kennen Ihre Mitarbeiter die Abläufe rund um bösartige Software?
  • Gibt es Verfahren zur regelmäßigen Überprüfung von Anmeldeversuchen?
  • Wird bei diesen Verfahren auf Unstimmigkeiten oder Probleme geachtet?
  • Haben Sie Verfahren zur Überwachung, Verwaltung und zum Schutz von Passwörtern eingeführt?

Das Worst-Case-Szenario

Es sollte ein Plan für den Schutz und die Verwendung von ePHI im Falle eines Notfalls oder einer Katastrophe vorhanden sein. Sie sollten Ihren Kunden Fragen stellen wie:

  • Gibt es getestete und überarbeitete Pläne für den Ernstfall?
  • Wurden die für diese Notfallpläne erforderlichen Anwendungen und Daten analysiert?
  • Können im Falle einer Katastrophe (I.T.E.O.A.D.) Kopien von ePHI erstellt oder abgerufen werden?
  • I.T.E.O.A.D... Können alle ePHI wiederhergestellt oder wiedergewonnen werden?
  • I.T.E.O.A.D... Werden Ihre ePHI geschützt sein?
  • I.T.E.O.A.D... Können kritische ePHI-bezogene Geschäftsfunktionen ausgeführt werden?

Verträge für Business Associate

Verträge mit Geschäftspartnern sind sowohl für ITSPs als auch für MSPs, die im Gesundheitswesen tätig sind, von entscheidender Bedeutung. Während die Nichtunterzeichnung einer Vereinbarung einen geringen Schutz vor der gesetzlichen Haftung bieten kann, kann die detaillierte Beschreibung und Unterzeichnung der vereinbarten Pflichten und Haftungen im Falle einer Untersuchung, eines Audits oder eines Verstoßes wesentlich mehr Schutz bieten. Dokumentation ist das A und O, wenn es darum geht, sich zu schützen.

Technologischer und physischer Schutz

Es müssen Verfahren vorhanden sein, die den physischen Zugang zu Einrichtungen und Geräten, die ePHI-Daten enthalten, beschränken. Darüber hinaus ist es ebenso wichtig, dass die Verfahren sicherstellen, dass alle ePHI nur Mitarbeitern zugänglich sind, die eine entsprechende Genehmigung haben.

Als jemand, der in einer IT-Position arbeitet, liegt es in Ihrer Verantwortung, sicherzustellen, dass der Zugriff auf Anwendungen und Daten, die ePHI enthalten, nur autorisierten users vorbehalten ist. Hier kommt der Authentifizierung eine entscheidende Bedeutung zu.

Eine Methode, die Sie mit Ihrem Kunden besprechen können, ist die sogenannte Multi-Faktor-Authentifizierung (MFA). Bei der MFA users mit einem Passwort sowie einem zusätzlichen Sicherheitsfaktor wie einem Fingerabdruckscan oder einem Einmalcode aus einer sicheren mobilen App an. Dank des hohen Sicherheitsniveaus der MFA können Unternehmen auch andere Produktivitäts- und Sicherheitslösungen wie Single Sign-On (SSO) in Betracht ziehen, bei denen eine einzige Anmeldeinformation den Zugriff auf andere ermöglicht. Für viele Unternehmen, die die HIPAA-Vorschriften einhalten müssen, sind Multi-Faktor-Authentifizierung und Single Sign-On bequeme und praktische Lösungen für viele ihrer Compliance-Probleme.

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

VSA von Kaseya sorgt für die Einhaltung der HIPAA-Vorschriften bei Methodist Healthcare Ministries

Viele Branchen haben Compliance-Regeln, aber nur wenige sind so streng wie der Health Insurance Portability and Accountability Act von 1996.Mehr lesen

Blogbeitrag lesen

13 Dinge, die jeder MSP über HIPAA wissen MSP

Die Kenntnis der HIPAA-Vorschriften ist nicht nur für die Arbeit im Gesundheitswesen wichtig, sondern eine absolute Voraussetzung. Sie müssen nachweislich HIPAA-konform sein. EineMehr lesen

Blogbeitrag lesen