HIPAA-compatibele cloudopslagoplossingen:zorg voor naleving van de gezondheidszorg

Ziekenhuizen, klinieken en andere gezondheidsorganisaties hebben de afgelopen jaren een hobbelige weg doorgemaakt naar cloudadoptie. De impliciete beveiligingsrisico's van het gebruik van de openbare cloud of het werken met een externe serviceprovider hebben de acceptatie van de cloud in de zorgsector aanzienlijk vertraagd.

Zelfs vandaag de dag, wanneer 84% van de zorgorganisaties clouddiensten gebruikt, kan het lastig zijn om de juiste HIPAA-compatibele cloudprovider te kiezen.

Alle zorgverleners van wie de gegevens van klanten zijn opgeslagen in de VS, zijn onderworpen aan een reeks regels die bekend staan ​​als HIPAA-compliance

Tegenwoordig moet elke organisatie die vertrouwelijke patiëntgegevens verwerkt, zich houden aan de HIPAA-opslagvereisten.

Wat is HIPAA-conformiteit?

HIPAA-normen bieden bescherming van gezondheidsgegevens. Elke leverancier die werkt met een zorgorganisatie of een bedrijf dat gezondheidsdossiers verwerkt, moet zich houden aan de HIPAA-privacyregels. Er zijn ook veel ondersteunende industrieën die zich aan de richtlijnen moeten houden als ze toegang hebben tot medische en patiëntgegevens. Dit is waar HIPPA-compatibele cloudopslag een belangrijke rol speelt.

In 1996 heeft "het Amerikaanse ministerie van Volksgezondheid en Human Services ("HHS") de privacyregel uitgevaardigd om de vereisten van de Health Insurance Portability and Accountability Act (HIPAA) van 1996 te implementeren." De privacyregel behandelt de "elektronisch beschermde gezondheidsinformatie" van patiënten en hoe organisaties, of "HIPAA-gedekte entiteiten" die onderworpen zijn aan de privacyregels, moeten voldoen.

De meeste zorginstellingen gebruiken een of andere vorm van elektronische apparaten om medische zorg te verlenen. Dit betekent dat informatie niet langer op een papieren kaart staat, maar op een computer of in de cloud. In tegenstelling tot algemene bedrijven of de meeste commerciële entiteiten, zijn zorginstellingen wettelijk verplicht om de meest betrouwbare gegevensback-uppraktijken toe te passen.

Dus, hoe beïnvloedt dit hun keuze voor een cloudprovider?

Bij het plannen van hun overstap naar cloud computing moeten zorginstellingen ervoor zorgen dat hun leverancier aan specifieke beveiligingscriteria voldoet.

Deze criteria vertalen zich in vereisten en drempels waaraan een bedrijf moet voldoen en die moet worden gehandhaafd om HIPAA-ready te worden. Deze komen neer op een reeks certificeringen, SOC-controle en -rapportage, versleutelingsniveaus en fysieke beveiligingsfuncties.

HIPAA-cloudopslagoplossingen zouden moeten werken om compliant te worden, eenvoudig en duidelijk. Zo hebben zorgorganisaties een zorg minder en kunnen zij zich richten op het verbeteren van hun kritieke processen.

 HIPAA-vereisten voor cloudopslag en gegevensback-up

Een cloudserviceprovider die zaken doet met een bedrijf dat opereert volgens de regels van de HIPAA-HITECH-wet, wordt beschouwd als een zakenpartner. Als zodanig moet het aantonen dat het binnen de cloud-compliance-normen valt en alle relevante normen volgt. Hoewel de leverancier niet rechtstreeks met patiëntgegevens omgaat, ontvangt, beheert en bewaart hij wel beschermde gezondheidsinformatie (PHI). Dit feit alleen al maakt hen verantwoordelijk voor de bescherming ervan volgens de richtlijnen van de HIPAA-HITECH-wet.

HIPAA-compatibel zijn betekent het implementeren van alle regels en voorschriften die de wet voorstelt. Elke verkoper die diensten aanbiedt die onder de wet vallen, moet documentatie overleggen als bewijs van hun conformiteit. Deze documentatie moet niet alleen naar hun klanten worden gestuurd, maar ook naar het Office for Civil Rights (OCR). De OCR is een onderafdeling van het Amerikaanse ministerie van Onderwijs, die gelijke toegang tot gezondheidszorg en human services-programma's bevordert.

Organisaties in de gezondheidszorg die willen werken met een HIPAA-compatibele cloudopslag  provider moet om een ​​bewijs van naleving vragen om zichzelf te beschermen. Als de provider alle normen volgt, zou hij er geen moeite mee moeten hebben om de juiste documentatie met u te delen.

De HIPAA-vereisten voor cloudhostingorganisaties zijn dezelfde als de vereisten voor zakenpartners. Ze vallen in drie verschillende categorieën:administratieve, fysieke en technische beveiligingen.

• Administratieve veiligheidsmaatregelen:  Dit soort waarborgen zijn transparante beleidslijnen die aangeven hoe het bedrijf zal voldoen vanuit operationeel oogpunt. De bewerkingen kunnen het beheren van beveiligingsrisicobeoordelingen, passende procedures, rampen- en noodhulpmaatregelen en het beheren van wachtwoorden omvatten.
• Fysieke bescherming: Fysieke beveiligingen zijn meestal systemen die zijn ingesteld om klantgegevens te beschermen. Ze kunnen onder meer de juiste opslag, gegevensback-up en de juiste verwijdering van media in een datacenter omvatten. Belangrijke veiligheidsmaatregelen voor faciliteiten waar hardware- of softwareopslagapparaten zich bevinden, maken ook deel uit van deze categorie.
• Technische voorzorgsmaatregelen: Deze groep waarborgen verwijst naar technische kenmerken die zijn geïmplementeerd om het gegevensrisico te minimaliseren en de bescherming te maximaliseren. Het vereisen van unieke inloggegevens, auto-logoff-beleid en authenticatie voor PHI-toegang zijn slechts enkele van de technische voorzorgsmaatregelen die moeten worden getroffen.

Wat maakt een HIPAA-gecertificeerde cloudprovider compliant?

Het leveren van HIPAA-compatibele hardware of software voor bestandsopslag is niet zo eenvoudig als een schakelaar omdraaien. Het kost een bedrijf enorm veel tijd en moeite om compliant te worden.

Het cruciale element waarnaar moet worden gezocht in een HIPAA-gecertificeerde cloudopslagprovider is de bereidheid om een ​​overeenkomst voor zakenpartners te sluiten. Deze overeenkomst, ook wel BAA genoemd, wordt gesloten tussen twee partijen die PHI willen verzenden, verwerken of ontvangen. Het primaire doel is om beide partijen te beschermen tegen eventuele juridische gevolgen die leiden tot misbruik van beschermde gezondheidsinformatie.

Een Business Associate Agreement BAA mag de algemene normen van de HIPAA niet optellen, aftrekken of tegenspreken. Als beide partijen het erover eens zijn, is het echter acceptabel om specifieke terminologie aan te vullen. Er zijn ook enkele kernvoorwaarden die de basis vormen voor een conforme overeenkomst met zakenpartners en die moeten blijven om het contract als juridisch bindend te beschouwen.

Het niveau van codering dat door de cloudprovider wordt ingeschakeld, heeft de nodige aandacht nodig. Het bedrijf zou bestanden niet alleen onderweg maar ook in rust moeten versleutelen. Advanced Encryption Standard (AES) is het minimale coderingsniveau dat moet worden gebruikt voor het opslaan en delen van bestanden. AES is een opvolger van Data Encryption Standard (DES) en werd in 1997 ontwikkeld door het National Institute of Standards and Technology (NIST). Het is een geavanceerd coderingsalgoritme dat een betere verdediging biedt tegen verschillende beveiligingsincidenten.

Een compatibele leverancier van cloudopslag selecteren

Zoek bij het kiezen van een HIPAA-compatibele provider naar HIPAA-webhosting die voldoet aan de maatregelen die in het vorige gedeelte zijn beschreven. Zorg ervoor dat u hen vraagt ​​naar hun beveiligingspraktijken voor gegevensopslag en hoe veilig uw PHI-gegevens zullen zijn.

Biedt de potentiële leverancier een Service Level Agreement aan?

Een SLA-contract geeft gegarandeerde responstijden op bedreigingen aan, doorgaans binnen een tijdsbestek van vierentwintig uur. Als bedrijf dat PHI doorgeeft, moet u weten hoe snel de provider u kan waarschuwen bij een incident. Hoe sneller u een melding van een inbreuk ontvangt, hoe efficiënter u kunt reageren.

Vergeet niet dat de opslag van elektronische medische dossiers in de cloud in een beveiligd datacenter moet plaatsvinden.

Wat zijn de beveiligingsmaatregelen bij een incident? Hoe wordt de toegang tot de voorziening bepaald? Vraag om een ​​gedetailleerd overzicht van hoe ze fysieke beveiliging implementeren en afdwingen. Check hoe zij reageren bij een datalek. Zorg ervoor dat u alle relevante details krijgt voordat u uw gegevens in gevaar brengt.

De geselecteerde leverancier moet ook een noodherstel- en continuïteitsplan hebben.

Een continuïteitsplan anticipeert op verlies door natuurrampen, datalekken en andere onvoorziene incidenten. Het zal ook zorgen voor de nodige processen en procedures als en wanneer dergelijke gebeurtenissen zich voordoen. Wat betreft best practices voor het voorkomen van gegevensverlies, is het ook essentieel om te bepalen hoe vaak de voorgestelde methode grondig wordt getest.

Beveiliging van medische dossiers in de gezondheidszorg – hoe weet ik het zeker?

Cloudproviders die compliance serieus nemen, zorgen ervoor dat hun certificeringen actueel zijn. Er zijn verschillende manieren om te controleren of ze voldoen aan de normen en relevante regelgeving.

Een manier is om uw potentiële aanbieder te auditen met behulp van een onafhankelijke partij. Auditing brengt eventuele risico's onder uw aandacht en onthult de beveiligingstactieken van de leverancier. Cloudopslag voor aanbieders van medische dossiers moeten hun systemen en omgevingen regelmatig controleren om bedreigingen te beveiligen om compliant te blijven. Het begrip 'regelmatig' wordt niet gedefinieerd door de wet, dus het is essentieel om minimaal elk kwartaal documentatie en informatie op te vragen. Je moet er ook voor zorgen dat je constant toegang hebt tot rapporten en documentatie over de meest recente audit.

Een andere manier om te bepalen of het bedrijf compliant is, is door de kwalificaties van zijn werknemers te beoordelen. Al het personeel moet worden opgeleid in de meest actuele normen en vertrouwd raken met specifieke veiligheidsmaatregelen. Alleen als deze aanwezig zijn, kunnen organisaties naleving bereiken.

Stel uw potentiële leverancier lastige vragen. Iedereen met toegang tot PHI heeft passende training nodig over veilige methoden voor gegevensoverdracht. De training moet de mogelijkheid omvatten om patiëntgegevens veilig te versleutelen, ongeacht waar ze zijn opgeslagen.

Een HIPAA-compatibel bedrijf zal u niet om een ​​achterdeur vragen om toegang te krijgen tot uw gegevens of om toestemming om uw toegangsbeheerprotocollen te omzeilen. Dergelijke leveranciers erkennen het risico van het vereisen van extra authenticatie of toegangspunten. Het in gevaar brengen van toegang tot authenticatieprotocollen en wachtwoordvereisten is een ernstige overtreding en zou nooit mogen gebeuren.

Veelgestelde vragen over cloudback-up en -opslag

Vraag potentiële cloudleveranciers welke methode ze gebruiken om uw HIPAA-compliance te evalueren.

Is er een HIPAA-beleidssjabloon beschikbaar voor gebruik? Biedt de aanbieder begeleiding en feedback over naleving? Hoe zorgen zij ervoor dat u up-to-date en op de hoogte bent van beveiligingsregels en -voorschriften? Bieden ze HIPAA-compatibele e-mail aan?

Heeft het bedrijf fulltime medewerkers op locatie?

Aanwezig zijn op het terrein en de klok rond beschikbaar zijn, is een mechanisme om geavanceerde beveiliging te garanderen. Een beschikbare vertegenwoordiger maakt PHI-beveiliging betrouwbaarder en garandeert een snelle reactie indien nodig. Het geeft u ook gemoedsrust als u weet dat het bedrijf dat verantwoordelijk is voor uw gegevensbescherming grondig op de hoogte is van de vereiste normen.

De juiste provider moet zich ook snel aanpassen aan de veranderingen en u informeren over alles dat rechtstreeks van invloed is op uw PHI of uw toegang ertoe.

Het verwijderen van gegevens is een cruciaal onderdeel bij het kiezen van de juiste HIPAA-zakenpartner. Hoe lang wordt de informatie bewaard voordat deze wordt verwijderd? Hoe wordt datalekken voorkomen wanneer servers buiten gebruik worden gesteld of worden gewist? Worden de gegevens vóór verwijdering aan u verstrekt? De wet biedt geen richtlijnen over de benodigde tijdsduur, maar het is een afspraak die u en uw provider samen moeten maken.

Bepaal naast uw kennis hoe goed uw potentiële provider bekend is met de HIPAA-regelgeving. Cloudbedrijven volgen vaak de laatste wijzigingen in de regelgeving niet op, en u moet er met consistente toewijding naar zoeken.

Winkelen. Wees niet tevreden met het eerste citaat.

Veel bedrijven prijzen hun HIPAA-beveiliging aan, om er vervolgens achter te komen dat ze de maatstaf te kort schieten. Doe je onderzoek, stel vragen en bepaal welke leverancier het beste bij je behoeften past.

HIPAA-compatibel  Cloudopslag is van cruciaal belang

Als het gaat om het beschermen van medische dossiers in de cloud, ondersteunt phoenixNAP uw inspanningen met de hoogste servicekwaliteit, beveiliging en betrouwbaarheid.

Wij bieden een selectie van datacenters die state-of-the-art bescherming bieden voor uw medische dossiers. Met schaalbare cloudoplossingen, een 100% uptime-garantie en ongeëvenaard herstel na noodgevallen, kunt u erop vertrouwen dat uw infrastructuur compliant is.

HIPAA-certificeringen kunnen verwarrend, ingewikkeld en stressvol zijn.

U moet erop kunnen vertrouwen dat uw cloudprovider uw bestanden veilig houdt. PhoenixNap Global IT Services geeft u de vrijheid om uw aandacht te richten op andere gebieden van uw bedrijf en zorgt voor de bescherming van uw entiteiten en zakenpartners.