13 dingen die elke MSP weten over HIPAA

Juni 1, 2017
Doug Barney
HIPAA, Managed Service Provider (MSP)

Kennis van HIPAA is niet alleen belangrijk voor werk in de gezondheidszorg - het is een absolute vereiste.

U moet aantoonbaar HIPAA-compliant zijn. Een MSP geen HIPAA-gerelateerd werk doen zonder HIPAA-compliant te zijn. Het goede nieuws is dat u, zodra u gecertificeerd bent, kunt meedingen naar HIPAA-contracten en dat u, omdat u gecertificeerd en deskundig bent, een premie kunt vragen voor uw diensten.

1. De straffen zijn ernstig.

Grote zorginstellingen kennen allemaal HIPAA. Dat moeten ze ook wel. Zij worden het meest beïnvloed door de regels en worden het vaakst gecontroleerd. Kleinere instellingen zijn niet altijd voorbereid op de risico's. Maar de straffen zijn meer dan ernstig.

Hier volgen enkele voorbeelden van boetes die de afgelopen jaren in de Verenigde Staten zijn opgelegd:

  • Affinity Health Plan betaalde 1,2 miljoen dollar omdat het de schijven van zijn geavanceerde kopieerapparaten niet had gewist voordat het ze terugstuurde naar het company ze had verhuurd.
  • WellPoint had een online gezondheidsdatabase niet beveiligd en betaalde 1,7 miljoen dollar.
  • De Massachusetts Eye and Ear Infirmary slaagde er niet in om de laptops van artsen te coderen en kreeg een boete van 1,5 miljoen dollar.
  • Phoenix Cardiac Surgery plaatste patiëntenafspraken op een online kalender en betaalde $ 100.000.
  • Een Walgreens in Indiana heeft de privacy van één patiënt geschonden en haar 1,44 miljoen dollar betaald.
  • Een hospice in Idaho verloor een laptop door diefstal. De boete bedroeg $50.000.
  • Een medische praktijk in Phoenix verstuurde patiëntgegevens via onveilige e-mail en kreeg een boete van $100.000.
  • Een kinderpraktijk in Massachusetts verloor een flashdrive en schikte voor een boete van $150.000
  • Bij een andere gestolen laptop in Boston moest de dokter $1 miljoen betalen.
  • Een verloren back-upschijf kostte het Alaska State Health Department 1,7 miljoen dollar.

Dit is nog maar het begin. De HSS houdt een uitgebreide lijst bij van overtredingen.

2. Encryptie is je vriend.

HIPAA vereist dat alle PHI-gegevens die elektronisch worden verzonden, worden beschermd, wat het beste kan worden gedaan door middel van sterke encryptie. Als de gegevens sterk versleuteld zijn, zijn de MSP de klant vrijwel immuun voor sancties als die gegevens op de een of andere manier worden geschonden of als een verloren apparaat al versleuteld is.

3. MSP's zijn verantwoordelijk wanneer klanten HIPAA overtreden.

Klanten staan bekend als gedekte entiteiten en zijn per definitie verantwoordelijk voor de naleving van alle aspecten van HIPAA. MSP's die met de gezondheidszorg werken worden Business Associates genoemd en zijn net zo verantwoordelijk als de klant zelf.

4. Uw potentiële klanten geven waarschijnlijk lang niet zoveel om HIPAA als u.

Zeer grote ziekenhuizen en andere grote zorginstellingen hechten veel belang aan HIPAA. Zij kunnen het zich ook het beste veroorloven om HIPAA serieus te nemen, te investeren in technologie om support en hun medewerkers op te leiden. Helaas hechten de meeste kleine praktijken niet veel belang aan HIPAA – ze zijn nog niet gecontroleerd en verwachten dat ook niet.

Het is uw taak om hen van het tegendeel te overtuigen. Ze moeten weten dat een HIPAA-boete financieel verwoestend kan zijn en het vertrouwen tussen hen en hun patiënten kan schaden – een echte bedrijfsbreker. Kleinere zorginstellingen hebben het meest behoefte aan MSP , omdat ze niet nauw samenwerken met grote verzekeringsmaatschappijen en ziekenhuizen.

5. De beveiligingsbeoordeling is de eerste belangrijke stap in een MSP -opdracht.

In sommige gevallen MSP een MSP een basisbeveiligingsbeoordeling uitvoeren om een potentiële klant in de gezondheidszorg ervan te overtuigen dat HIPAA-compliance echt belangrijk is en dat ze externe hulp nodig hebben om dit te bereiken. Zodra een klant geïnteresseerd is, zal een grondige beveiligingsbeoordeling uitwijzen wat er onmiddellijk moet worden veranderd, welke nieuwe technologieën moeten worden geïmplementeerd en hoe MSP zoals RMM en authenticatie- en toegangsbeheer kunnen helpen om HIPAA-compliance te bereiken. Met een voldoende uitgebreid aanbod kunt u Compliance-as-a-Service verkopen aan de gezondheidszorg – en hopelijk ook daarbuiten.

6. Het loont om te documenteren.

De HIPAA-regels vereisen dat MSP's, als business associates, de beschermende maatregelen voor ePHI moeten documenteren. Deze documenten moeten aan alle medewerkers worden gegeven en ze moeten begrijpen wat ze betekenen.

7. Je hebt een HIPAA Business Associate Agreement (BAA) nodig.

De HIPAA Omnibus Final Rule vereist dat Business Associates BAA's afsluiten met hun klanten, de covered entity. Hierin staat in feite dat de BA belooft alle HIPAA-voorschriften na te leven en ePHI veilig te houden.

8. Encryptie is een verwarrend aspect van de regels, maar kiest toch voor voorzichtigheid.

Encryptie is een gebied waar HIPAA niet volledig expliciet is. In plaats daarvan heeft de HHS het over "wat redelijk en gepast is" om ePHI te beschermen en zegt vervolgens:

Bij het voldoen aan standaarden die adresseerbare implementatiespecificaties bevatten, doet een betrokken entiteit een van de volgende dingen voor elke adresseerbare specificatie:

  • Implementeer de adresseerbare implementatiespecificaties
  • Implementeer een of meer alternatieve security om hetzelfde doel te bereiken.
  • Geen adresseerbare implementatiespecificatie of een alternatief implementeren

Dit komt erop neer dat de speler of BA in de gezondheidszorg een effectieve manier moet vinden om gegevens te beveiligen. Een van de grootste problemen is het transport van gegevens. De enige manier om te weten of de gegevens beschermd zijn, is door ze sterk te versleutelen. Dus hoewel HIPAA versleuteling niet specifiek vereist, is versleuteling de enige redelijke en haalbare manier om te voldoen aan de HIPAA-eisen dat ePHI altijd beschermd is.

9. Waarom je encryptie toch wilt.

De kans is groot dat je risicobeoordeling, zelfs een beoordeling in een vroeg stadium, encryptie vereist. Dat maakt het een noodzaak. Encryptie kan u uit de problemen houden. Veel HIPAA boetes zijn te wijten aan verloren of gestolen apparaten met ePHI. Het goede nieuws is dat er geen boetes zijn voor verloren of gestolen apparaten als het apparaat versleuteld is - u hoeft het niet eens te melden.

10. De risicobeoordeling is je vriend.

Ook dit is een geweldig idee dat is vastgelegd in de HIPAA Omnibus Ruling. De beoordeling is verplicht voor overkoepelende entiteiten en Business Associates.

De beoordeling omvat:

  • Security met betrekking tot HIPAA
  • Een analyse van kwetsbaarheden, risico's en systeembedreigingen
  • Een plan voor het beschermen en beveiligen van ePHI, ongeacht waar het zich bevindt

11. U moet beschikken over een plan voor het reageren op security (SIRP).

Ook een HIPAA-vereiste, SIRP-details en documenten over wat er zal gebeuren in geval van een security of andere security . Een onderdeel hiervan is het bijhouden security , hopelijk om aan te tonen dat er geen succesvolle aanvallen hebben plaatsgevonden. In het geval van een aanval of inbreuk (zelfs als het slechts een poging is) moet u documenteren wat er is gebeurd en hoe ernstig het incident was. Organisaties met meer dan 500 werknemers, patiënten of partners moeten het incident melden aan HHS.

12. Een MSP de beste verdediging in geval van een audit.

Bij een audit wordt een organisatie in de gezondheidszorg doorgelicht om er zeker van te zijn dat deze voldoet aan de regels. Het doel is om de staat van de organisatie te bepalen en te zien welke stappen nodig zijn om de prestaties te verbeteren. Deze audits worden jaarlijks uitgevoerd. De meeste organisaties in de gezondheidszorg, zelfs grote, zijn over het algemeen niet uitgerust om een audit, met al zijn complexiteit, uit te voeren.

Een MSP het best uitgerust voor een audit, omdat de MSP alle benodigde beveiligingsmaatregelen MSP getroffen. De MSP alle gebeurtenislogboeken en rapporten over wie wanneer toegang heeft gehad tot wat via Remote Monitoring and Management (RMM).

13. Toegangswaarborgen en -controles vereisen een nieuwe benadering van authenticatie en toegangsbeheer.

Een van de grootste problemen, in feite de kern van de HIPAA-kwestie, is ervoor te zorgen dat alleen degenen met de juiste bevoegdheid toegang hebben tot ePHI en de systemen die deze informatie bevatten. Beleid en procedures voor het beheer van informatietoegang zijn essentieel om onbevoegde toegang tot ePHI en andere gezondheidsgegevens te blokkeren.

Download het ebook "De gids voor IT-professionals om het risico op compliance in de gezondheidszorg tot een minimum te beperken" om te ontdekken welke functionaliteiten essentieel zijn voor een IT-managementsysteem dat ervoor zorgt dat aan uw compliancebehoeften wordt voldaan.

Over de auteur
Doug Barney was de oprichter van Redmond Magazine, Redmond Channel Partner, Redmond Developer News en Virtualization Review. Doug was ook Executive Editor van Network World, hoofdredacteur van AmigaWorld en hoofdredacteur van Network Computing.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Één platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Back-upcontrole is nu nog slimmer: maak kennis met AI-gestuurde screenshotcontrole

In een tijdperk van aanhoudende cyberaanvallen, complexe infrastructuren en steeds hogere verwachtingen van klanten is het niet langer voldoende om alleen maar back-ups te hebben. Back-upsMeer lezen

Lees blogbericht

Sjablonen voor QBR-rapporten: lever altijd professionele QBR’s af met gestandaardiseerde sjablonen

Als je ooit een Quarterly Business Review (QBR) helemaal zelf hebt opgesteld – keer op keer – dan weet je al hoeMeer lezen

Lees blogbericht

1 Minute Wednesday: Het verhaal achter het omzetten van community-inzichten in MSP

Ontdek het verhaal achter 1 Minute Wednesday en hoe gedeelde inzichten uit de gemeenschap MSP's helpen om hun operationele volwassenheid te vergroten, slimmer op te schalen en samen succesvol te zijn.

Lees blogbericht