Naleving van de HIPAA-wetgeving voor MSP’s: wat verandert er en wat moet u nu doen?

De HIPAA (Health Insurance Portability and Accountability Act) is een van de bekendste regelgevingskaders in de VS en een van de meest ingrijpende voor MSP’s die klanten in de gezondheidszorg bedienen. Als uw MSP de IT beheert voor ziekenhuizen, klinieken, tandartspraktijken, zorgverleners op het gebied van geestelijke gezondheidszorg, zorgverzekeraars of andere organisaties die met beschermde gezondheidsinformatie (PHI) werken, is naleving van de HIPAA geen keuze. Het is een wettelijke verplichting die rechtstreeks voortvloeit uit de dienstverleningsovereenkomst.

Volgens het Kaseya State of the MSP-rapport van 2026 meldde 71% van de MSP’s een omzetgroei op het gebied van cyberbeveiliging ten opzichte van vorig jaar, en leveren HIPAA-nalevingsdiensten een belangrijke bijdrage voor MSP’s die klanten in de gezondheidszorg bedienen. Download het volledige rapport.

Maar wat nog belangrijker is: de HIPAA-wetgeving verandert. Op 27 december 2024 heeft het HHS Office for Civil Rights een kennisgeving van een voorgestelde regelwijziging gepubliceerd die, indien deze definitief wordt vastgesteld, de belangrijkste aanpassing van de HIPAA-beveiligingsregel sinds 2003 zal inhouden. MSP’s en IT-teams in de gezondheidszorg die weten wat er op komst is, kunnen zich proactief voorbereiden in plaats van in de laatste momenten in de stress te raken wanneer de definitieve regel van kracht wordt.

Wat HIPAA is

De HIPAA is een Amerikaanse federale wet die in 1996 van kracht werd en wordt beheerd door het Office for Civil Rights (OCR) van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS). De wet stelt privacy- en beveiligingsnormen vast voor beschermde gezondheidsinformatie (PHI), dat wil zeggen persoonlijk identificeerbare gezondheidsinformatie die betrekking heeft op iemands vroegere, huidige of toekomstige gezondheidstoestand, medische behandeling of betaling voor gezondheidszorg.

De wet is van toepassing op „betrokken entiteiten“ (zorgverleners, zorgverzekeraars en clearinghouses in de gezondheidszorg) en, wat cruciaal is, op hun „zakenpartners“ — elke organisatie die namens een betrokken entiteit PHI aanmaakt, ontvangt, bewaart of doorgeeft.

Voor IT-professionals is de beveiligingsregel van de HIPAA, die betrekking heeft op elektronische PHI (ePHI), het onderdeel dat in de praktijk het meest relevant is. Deze regel verplicht betrokken entiteiten en zakelijke partners om administratieve, fysieke en technische beveiligingsmaatregelen te nemen om de vertrouwelijkheid, integriteit en beschikbaarheid van ePHI te waarborgen.

Op wie de HIPAA van toepassing is, met inbegrip van MSP’s

Onder deze regeling vallen zorgverleners die standaard elektronische transacties uitvoeren (facturering, doorverwijzingen, controles op verzekeringsdekking), zorgverzekeraars en clearinginstellingen in de gezondheidszorg.

Zakelijke partners zijn alle personen of organisaties die namens een betrokken entiteit taken uitvoeren waarbij PHI betrokken is. Hieronder vallen IT-dienstverleners, clouddiensten die PHI hosten, factureringsbedrijven, advocatenkantoren die zich bezighouden met gezondheidszaken en managed service providers.

Een MSP die IT-diensten levert aan een onder de wet vallende entiteit – of het nu gaat om het beheer van systemen die PHI bevatten, het verzorgen van back-ups waarin PHI is opgenomen, het bieden van toegang op afstand tot klinische systemen of het beheren van netwerkbeveiliging – is een zakelijke partner en valt rechtstreeks onder de vereisten van de HIPAA-beveiligingsregel.

Ook onderaannemers van zakelijke partners worden als zakelijke partners beschouwd. Als een MSP een cloudback-upleverancier inschakelt om back-ups van PHI op te slaan, is die leverancier eveneens een zakelijke partner van de betrokken entiteit. De HIPAA-verplichtingen gelden voor de hele toeleveringsketen.

De drie HIPAA-regels die IT-teams moeten kennen

De privacyregel bepaalt hoe medische gegevens mogen worden gebruikt en openbaar gemaakt. Het betreft in de eerste plaats een beleids- en administratieve aangelegenheid, maar IT-teams moeten deze regel begrijpen om de toegangscontroles en het loggen van openbaarmakingen correct in te stellen.

De beveiligingsregel (45 CFR delen 160 en 164) vormt de belangrijkste technische nalevingsvereiste. Deze regel verplicht betrokken entiteiten en zakelijke partners om drie categorieën beveiligingsmaatregelen te implementeren:

• Administratieve waarborgen: risicoanalyse, risicobeheer, opleiding van het personeel, procedures voor toegangsbeheer, procedures voor incidentafhandeling.
• Fysieke beveiligingsmaatregelen: toegangscontrole tot de faciliteiten, beleid inzake het gebruik van werkplekken en beveiliging, controle op apparaten en gegevensdragers.
• Technische beveiligingsmaatregelen: Toegangscontroles (unieke gebruikers-ID’s, noodtoegang, automatische afmelding, versleuteling), auditcontroles (activiteitslogboeken voor hardware en software), integriteitscontroles (waarbij wordt gecontroleerd of ePHI niet op ongeoorloofde wijze is gewijzigd) en beveiliging van de gegevensoverdracht (versleuteling van ePHI tijdens de overdracht).

De regel inzake melding van inbreuken schrijft voor dat betrokken entiteiten de getroffen personen, het HHS en in sommige gevallen de media binnen 60 dagen na de ontdekking van een inbreuk op onbeveiligde PHI op de hoogte moeten stellen. Zakelijke partners moeten de betrokken entiteit zonder onnodige vertraging en binnen 60 dagen na de ontdekking van een inbreuk die gevolgen heeft voor de PHI van de betrokken entiteit op de hoogte stellen.

De voorgestelde herziening van de beveiligingsregels: waar MSP’s op moeten letten

De in december 2024 gepubliceerde kennisgeving van een voorstel tot regelgeving (NPRM) vormt de belangrijkste voorgestelde wijziging van de HIPAA-beveiligingsregel in meer dan twintig jaar. Het HHS streefde naar mei 2026 voor de definitieve regel, maar aangezien de consultatieperiode bijna 5.000 reacties opleverde, kan het definitieve tijdschema nog verschuiven. De huidige regering zal beslissen of en hoe de regel definitief wordt vastgesteld.

De koers is duidelijk, ongeacht het uiteindelijke tijdschema, en de handhavingsactiviteiten van het OCR geven prioriteit aan deze gebieden, ongeacht of de formele herziening al dan niet is afgerond.

Het einde van de „aanpasbare“ specificaties. De belangrijkste structurele wijziging in de voorgestelde regelgeving is het afschaffen van het onderscheid tussen „verplichte“ en „aanpasbare“ implementatiespecificaties. Volgens de huidige regels bieden aanpasbare specificaties organisaties de mogelijkheid om te documenteren waarom een controlemaatregel niet geschikt is voor hun omgeving. De voorgestelde regelgeving schrapt die flexibiliteit voor vrijwel alle specificaties. Controlemaatregelen zoals MFA en versleuteling zouden verplicht worden, zonder mogelijkheid tot uitzondering.

Meervoudige authenticatie voor alle toegang tot systemen met ePHI. Het voorstel zou meervoudige authenticatie verplicht stellen voor alle toegang tot systemen die ePHI aanmaken, ontvangen, bewaren of verzenden, met inbegrip van toegang op afstand en toegang ter plaatse. Dit zou een veelvoorkomende lacune dichten waarbij kleinere betrokken entiteiten en zakelijke partners meervoudige authenticatie onder de aanpasbare norm als „niet geschikt“ hadden aangemerkt.

Versleuteling van gegevens in opslag en tijdens verzending. De versleuteling van ePHI zou niet langer een aanbeveling zijn, maar een verplichting worden, zonder uitzonderingen. Versleutelde ePHI die verloren is gegaan of gestolen is, komt volgens de huidige regels al in aanmerking voor de ‘safe harbor’-uitzondering op de meldingsplicht bij inbreuken. Door versleuteling verplicht te stellen, wordt vastgelegd wat in de praktijk al als verdedigbare werkwijze wordt beschouwd.

Netwerksegmentatie. Voorgestelde eis om systemen die ePHI verwerken af te schermen van de rest van het netwerk, inclusief scheiding van IoT-apparaten, gebouwsystemen en aangesloten medische apparatuur. Dit is van belang voor MSP’s die zorgomgevingen beheren die organisch zijn gegroeid en een niet-gesegmenteerde infrastructuur hebben opgebouwd.

Kwetsbaarheidsscans en penetratietests. Het voorstel schrijft voor dat er ten minste om de zes maanden geautomatiseerde kwetsbaarheidsscans moeten worden uitgevoerd en dat er jaarlijks penetratietests moeten plaatsvinden op ePHI-systemen, uitgevoerd door gekwalificeerde cyberbeveiligingsdeskundigen, waarbij de bevindingen en corrigerende maatregelen schriftelijk worden vastgelegd.

Vereisten voor back-up en herstel. Er gelden nu duidelijkere vereisten voor het maken van back-ups van ePHI, waaronder offline back-upkopieën, vastgelegde hersteltijddoelstellingen en speciale aandacht voor back-upsystemen die het doelwit zijn van ransomware. Voor MSP’s die zich bezighouden met BCDR in de gezondheidszorg betekent dit dat de back-uparchitectuur en het testen van herstelprocedures niet langer alleen als operationele best practice gelden, maar ook als gedocumenteerd bewijs van naleving.

Inventarisatie van bedrijfsmiddelen en netwerkkaart. Een gedocumenteerde inventaris van alle technologische bedrijfsmiddelen die ePHI genereren, ontvangen, beheren of verzenden, die jaarlijks en na ingrijpende veranderingen in de omgeving wordt bijgewerkt. De resultaten van tools voor het in kaart brengen van bedrijfsmiddelen en netwerkkaarten, die al standaard zijn in RMM-gebaseerd IT-beheer, worden onder de voorgestelde regelgeving formeel bewijsmateriaal voor naleving.

Aangescherpte eisen voor BAA’s. De voorgestelde regel zou vereisen dat in BAA’s wordt gespecificeerd welke technische beveiligingsmaatregelen de zakelijke partner implementeert, en dat jaarlijks wordt gecontroleerd of deze maatregelen daadwerkelijk zijn getroffen. Een ondertekende BAA alleen zou niet langer volstaan — betrokken entiteiten zouden gedocumenteerd bewijs nodig hebben dat hun zakelijke partners aan hun verplichtingen voldoen.

Meldingsplicht bij inbreuken door zakelijke partners: melding binnen 24 uur. De voorgestelde regel zou zakelijke partners verplichten om betrokken entiteiten binnen 24 uur na het in werking treden van een incidentrespons- of noodplan op de hoogte te stellen, waarmee de huidige norm van „zonder onredelijke vertraging binnen 60 dagen“ aanzienlijk wordt aangescherpt. Een MSP die op vrijdag om 23.00 uur een beveiligingsincident ontdekt dat gevolgen heeft voor een klant in de gezondheidszorg, zou de betrokken entiteit vóór zaterdag middernacht op de hoogte moeten stellen.

Voor MSP’s die klanten in de gezondheidszorg bedienen, geven zelfs de voorgestelde wijzigingen al aan waar de investeringen naartoe moeten gaan. Of de definitieve regel nu precies overeenkomt met het voorstel of niet, de handhavingspraktijk gaat nu al deze kant op.

Samenwerkingsovereenkomsten: de basis voor MSP-compliance

Een Business Associate Agreement (BAA) is een contract dat krachtens de HIPAA verplicht is tussen een onder de wet vallende entiteit en haar zakelijke partners. Zonder een BAA mag de onder de wet vallende entiteit geen PHI rechtmatig delen met de MSP. Het optreden als zakelijke partner zonder dat er een BAA is gesloten, vormt voor beide partijen een schending van de HIPAA.

Een conform BAA moet het volgende vermelden:

• Welke medische gegevens de zakenpartner namens de betrokken entiteit verwerkt
• Toegestane vormen van gebruik en openbaarmaking van PHI
• Vereiste beveiligingsmaatregelen, onder verwijzing naar de HIPAA-beveiligingsregel
• Meldingsplicht bij datalekken en termijnen
• Verplichtingen jegens onderaannemers in de toeleveringsketen, met inbegrip van vereisten uit hoofde van de sub-BAA
• Verplichtingen bij beëindiging van de overeenkomst: teruggave of vernietiging van PHI

MSP’s die niet met elke zorgklant die PHI verwerkt een BAA hebben gesloten, handelen in strijd met de wet. Dit is een van de meest voorkomende tekortkomingen bij de handhaving van de HIPAA en een van de meest volledig te voorkomen. In de handhavingsmaatregelen van het OCR uit 2025 werden het ontbreken van risicoanalyses en BAA’s expliciet genoemd als centrale bevindingen in meerdere schikkingen met zakelijke partners.

Volgens de voorgestelde regel zouden BAA’s aanzienlijk gedetailleerder moeten zijn. In plaats van algemene bepalingen over beveiligingsverplichtingen zouden BAA’s de specifieke technische beveiligingsmaatregelen moeten vermelden en een jaarlijkse controle op de naleving moeten omvatten. MSP’s zouden hun bestaande BAA-sjablonen nu moeten toetsen aan de voorgestelde vereisten.

Compliance Manager GRC Kaseya ondersteunt de documentatie van BAA’s en de beoordeling van tekortkomingen in de HIPAA-beveiligingsregels, waardoor MSP’s op een gestructureerde manier kunnen bijhouden welke klanten een BAA nodig hebben, welke afspraken er zijn gemaakt en welk technisch bewijsmateriaal nodig is om deze te onderbouwen. Ontdek Compliance Manager GRC.

Handhaving van de HIPAA: hoe de sancties eruitzien

De civielrechtelijke boetes op grond van de HIPAA zijn ingedeeld naar mate van schuld en worden jaarlijks aangepast aan de inflatie:

– Niveau 1, Niet op de hoogte: $100 tot $50.000 per overtreding, jaarlijks maximum $25.000

– Niveau 2, gegronde reden: $ 1.000 tot $ 50.000 per overtreding, jaarlijks maximum $ 100.000

– Niveau 3, Opzettelijke nalatigheid, aangepast: $10.000 tot $50.000 per overtreding, jaarlijks maximum $250.000

– Niveau 4, Opzettelijke nalatigheid, niet verholpen: $ 50.000 per overtreding, jaarlijks maximum $ 1,5 miljoen

De strafrechtelijke sancties op grond van de HIPAA kunnen oplopen tot 250.000 dollar en tien jaar gevangenisstraf bij opzettelijke overtredingen. Procureurs-generaal van de afzonderlijke staten kunnen bovendien parallelle handhavingsmaatregelen nemen op grond van staatswetgeving, die kunnen leiden tot aanvullende sancties en herstelmaatregelen.

De handhaving door het OCR bereikte in 2024 een belangrijke mijlpaal: 22 onderzoeken leidden tot civielrechtelijke boetes of schikkingen — een van de meest actieve handhavingsjaren ooit. Alleen al in de eerste vijf maanden van 2025 maakte het OCR tien schikkingsovereenkomsten bekend met betrokken instellingen en zakelijke partners.

De rode draad in recente handhavingsmaatregelen: het nalaten van een grondige en gedocumenteerde risicoanalyse. Onder de handhavingsmaatregelen van het OCR in 2025 viel een schikking van 3 miljoen dollar met een bedrijf voor medische facturering dat geen risicoanalyse had uitgevoerd voordat een ransomware-aanval de gegevens van 585.000 personen in gevaar bracht. Het bedrijf was een zakelijke partner, geen onder de wet vallende entiteit. Directe aansprakelijkheid van zakelijke partners is een vaststaand feit in de handhaving, geen theoretisch risico.

Het opzetten van een MSP-praktijk die voldoet aan de HIPAA-normen

De volgende stappen gelden zowel voor de verplichtingen van een MSP als zakelijke partner als voor de nalevingsprogramma’s die deze namens klanten in de gezondheidszorg uitvoert.

Stap 1: Breng alle klanten in de gezondheidszorg in kaart die met PHI werken. Weet wie uw klanten zijn en welke gegevens er in hun systemen circuleren. Dit bepaalt de reikwijdte van uw BAA-verplichtingen en uw eigen nalevingsprogramma.

Stap 2: Sluit BAA’s af met alle klanten die onder de regeling vallen. Als er nog niet met elke zorgklant die met PHI werkt een ondertekende BAA is afgesloten, is dit de hoogste prioriteit.

Stap 3: Voer een gedocumenteerde risicoanalyse uit. De HIPAA schrijft een nauwkeurige en grondige beveiligingsrisicoanalyse voor, waarbij de risico’s voor ePHI in de systemen die u beheert in kaart moeten worden gebracht, de waarschijnlijkheid en impact moeten worden beoordeeld en beslissingen op het gebied van risicobeheer moeten worden gedocumenteerd. Dit vormt de administratieve basis voor naleving. Zonder een gedocumenteerde risicoanalyse kunnen geen enkele andere technische maatregelen als aantoonbaar conform worden beschouwd. Gezien de handhavingspraktijk van het OCR in 2024 en 2025 is het nalaten van een risicoanalyse de meest voor de hand liggende weg naar een schikking.

Stap 4: Stel MFA verplicht voor alle toegang tot systemen met ePHI. Gezien zowel de huidige beschikbare richtlijnen als de voorgestelde verplichte norm is MFA bij alle toegang tot systemen die PHI bevatten noodzakelijk om aantoonbaar aan de voorschriften te voldoen. Dit omvat toegang op afstand, beheerdersaccounts en alle portalen die toegang bieden tot klinische systemen.

Stap 5: Implementeer versleuteling. Versleutel ePHI die op alle beheerde apparaten is opgeslagen en die via alle netwerken wordt verzonden. Versleutelde ePHI die verloren is gegaan of gestolen is, komt in aanmerking voor de ‘safe harbor’-uitzondering op de meldingsplicht bij inbreuken volgens de Breach Notification Rule — versleuteling is zowel een nalevingsmaatregel als een hulpmiddel om de risico’s bij incidentrespons te beperken.

Stap 6: Zorg voor een HIPAA-conforme back-up. Maak een back-up van ePHI met gedocumenteerde herstelprocedures, geteste herstelmogelijkheden en offline of onveranderlijke kopieën die bestand zijn tegen ransomware. Datto BCDR biedt de technische mogelijkheden voor MSP’s die zorgomgevingen beheren; de operationele procedures moeten worden gedocumenteerd en getest aan de hand van vastgestelde hersteltijddoelstellingen.

Stap 7: Implementeer auditlogging. Registreer alle toegang tot systemen die ePHI bevatten. Controleer de logbestanden regelmatig. Bewaar de logbestanden minimaal zes jaar, conform de HIPAA-norm voor het bewaren van gegevens.

Stap 8: Leg de incidentrespons vast en test deze. De voorgestelde regel zou jaarlijkse tests van formele incidentresponsplannen verplicht stellen. Door de incidentresponsprocedures nu vast te leggen en te testen, loopt u voor op deze verplichting en dicht u een lacune die de OCR bij haar handhavingsactiviteiten herhaaldelijk aan de kaak heeft gesteld.

Compliance Manager GRC een module voor de beoordeling van de HIPAA-beveiligingsvoorschriften, waarmee MSP’s de nalevingsstatus ten opzichte van de huidige vereisten kunnen bijhouden, risicoanalyses kunnen uitvoeren en documenteren, beheersmaatregelen kunnen koppelen aan de beveiligingsvoorschriften en bewijsmateriaal kunnen genereren voor OCR-audits of beveiligingsbeoordelingen door klanten. Bekijk het hier.