Security IT in de gezondheidszorg: een vragenlijst over HIPAA-naleving

Augustus 26, 2014
Amy Newman
HIPAA

Als MSP de moderne markt heeft u waarschijnlijk wel eens de afkorting 'HIPAA' horen vallen. Als u klanten heeft die zorgverleners, clearinghouses of bedrijven zijn die werken met elektronische beschermde gezondheidsinformatie (ePHI), dan heeft u vrijwel zeker wel eens gehoord van HIPAA-compliance.

HIPAA, of de Health Insurance Portability and Accountability Act, is een verzameling regels in de Verenigde Staten die van toepassing zijn op iedereen die toegang heeft tot gegevens en/of netwerken die ePHI bevatten. Als je alleen een netwerk beheert voor een klant die ePHI verwerkt, en zelfs als je nooit toegang hebt tot de informatie, word je nog steeds beschouwd als een "business associate" onder de wet, ben je wettelijk verplicht om aan de wet te voldoen en kun je aansprakelijk worden gesteld in het geval van een datalek.

Dit betekent dat als u support in de gezondheidszorg support of van plan bent dit te doen, u moet voldoen aan de HIPAA-normen. Hoewel HIPAA een Amerikaanse wet is, hebben veel landen vergelijkbare wetgeving met vergelijkbare vereisten.

Dit roept een belangrijke vraag op: wat vereist HIPAA-compliance op het gebied van security, identiteits- en toegangsbeheer?

Gelukkig heb ik de antwoorden op deze vraag samengevat in een lijst met eenvoudige ja- of nee-vragen die je aan je klant kunt stellen. Als het antwoord nee is, beschouw dat dan als een slecht teken.

Security en -procedures

Er moet beleid worden opgesteld om alle security aan te pakken en te beheren. U kunt uw klanten vragen stellen zoals:

  • Zijn uw werknemers op de hoogte van de sancties die volgen op security ?
  • Zijn er interne sancties voor werknemers die security overtreden?
  • users al uw users wat ze moeten doen in geval van security of -problemen?
  • Is er een proces om security of -incidenten te documenteren, op te volgen en aan te pakken?
  • Is er iemand die alle security , rapporten en gegevens moet controleren?
  • Heeft u een security die verantwoordelijk is voor een wachtwoord- en smart security ?
  • Heb je ooit een risicoanalyse uitgevoerd?

Toegangsbeheer

Toegang tot ePHI moet worden beperkt tot degenen die toestemming hebben om toegang te krijgen. U kunt uw klanten vragen stellen als:

  • Zijn er maatregelen getroffen om toegang tot ePHI te autoriseren of te controleren?
  • Zijn er processen voor het bepalen van de geldigheid van toegang tot ePHI?
  • Wordt bij ontslag van een werknemer de toegang tot ePHI geblokkeerd?

Security Awareness Training

HIPAA vereist dat er voor alle medewerkers een trainingsprogramma security wordt opgezet. U kunt uw klanten vragen stellen zoals:

  • Worden werknemers regelmatig gewezen op security ?
  • Houdt u vergaderingen over het belang van wachtwoorden, software en security?
  • Zijn uw werknemers op de hoogte van het proces rond kwaadaardige software?
  • Bestaan er procedures voor regelmatige controle van aanmeldingspogingen?
  • Wordt er in deze procedures gecontroleerd op afwijkingen of problemen?
  • Heb je procedures ingesteld om wachtwoorden te controleren, beheren en beschermen?

Het ergste scenario

Er moet een plan zijn voor de bescherming en het gebruik van ePHI in het geval van een noodsituatie of ramp. Stel uw klanten vragen als:

  • Zijn er geteste en herziene plannen voor noodgevallen?
  • Zijn de toepassingen en gegevens die nodig zijn voor deze noodplannen geanalyseerd?
  • Kunnen er in het geval van een ramp (I.T.E.O.A.D.) kopieën van ePHI worden gemaakt of teruggehaald?
  • I.T.E.O.A.D... Kan alle ePHI worden hersteld?
  • I.T.E.O.A.D... Wordt uw ePHI beschermd?
  • I.T.E.O.A.D... Kunnen kritieke ePHI-gerelateerde bedrijfsfuncties worden voltooid?

Contracten voor zakenpartners

Business associate contracten zijn van cruciaal belang voor zowel ITSP's als MSP's die werkzaam zijn in de gezondheidszorg. Hoewel het niet ondertekenen van een overeenkomst een kleine mate van bescherming kan bieden tegen aansprakelijkheid volgens de wet, kan het gedetailleerd vastleggen en ondertekenen van je overeengekomen plichten en aansprakelijkheden aanzienlijk meer bescherming bieden in het geval van een onderzoek, audit of inbreuk. Documentatie is de sleutel om jezelf te beschermen.

Technologische en fysieke bescherming

Er moeten procedures zijn die de fysieke toegang beperken tot faciliteiten en apparatuur die ePHI-gegevens bevatten. Daarnaast is het net zo belangrijk dat procedures ervoor zorgen dat alle ePHI alleen toegankelijk is voor werknemers die daar toestemming voor hebben.

Als iemand die vanuit een IT-functie werkt, is het uw verantwoordelijkheid om ervoor te zorgen dat de toegang tot applicaties en gegevens die ePHI bevatten, beperkt blijft tot geautoriseerde users. Hierbij is authenticatie van cruciaal belang.

Een methode die u met uw klant kunt bespreken, staat bekend als multi-factor authenticatie (MFA). Bij MFA users in met een wachtwoord en een extra security , zoals een vingerafdrukscan of een eenmalige code uit een beveiligde mobiele app. Dankzij security geavanceerde security MFA kunnen bedrijven security andere productiviteits- en security verkennen, zoals single sign-on (SSO), waarmee met één set inloggegevens toegang tot andere accounts kan worden verkregen. Voor veel bedrijven die moeten voldoen aan de HIPAA-voorschriften, zijn multi-factor authenticatie en single sign-on zowel handige als praktische oplossingen voor veel van hun complianceproblemen.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Eén platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

VSA van Kaseya zorgt ervoor dat Methodist Healthcare Ministries voldoet aan de HIPAA-normen

Veel sectoren hebben nalevingsregels, maar weinig zijn zo streng als de Health Insurance Portability and Accountability Act van 1996.Meer lezen

Lees blogbericht

13 dingen die elke MSP weten over HIPAA

Kennis van HIPAA is niet alleen belangrijk voor werk in de gezondheidszorg, het is een absolute vereiste. U moet aantoonbaar HIPAA-compliant zijn. EenMeer lezen

Lees blogbericht