Was ist HIPAA-Compliance?
HIPAA-Compliance-Definition
Der Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 gegründet und zielt darauf ab, die Privatsphäre und Sicherheit sensibler Gesundheitsinformationen zu schützen.
Mehr als in jeder anderen Branche ist Compliance für Organisationen im Gesundheitswesen von entscheidender Bedeutung. Die Erfassung und Verarbeitung geschützter Gesundheitsinformationen (Protected Health Information, PHI), einschließlich personenbezogener und medizinischer Daten, ist notwendig, um Patienten optimierte Behandlungsoptionen zu bieten. Die Folgen einer Verletzung von PHI können jedoch verheerend sein. Dies kann nicht nur zu Reputationsschäden, finanziellen Verlusten und gesetzlicher Haftung führen, sondern Verstöße haben auch zu Schäden für Patienten geführt.
HIPPA Compliance-Sicherheitsregel
Die HIPAA-Sicherheitsregel schützt eine Teilmenge von Informationen, die von der HIPAA-Datenschutzregel erfasst werden. Im Wesentlichen geht es darum, was Unternehmen tun müssen, um elektronisch geschützte Gesundheitsinformationen (e-PHI) zu schützen.
Die Sicherheitsregel bestimmt nicht, welche Sicherheitsmaßnahmen verwendet werden, wenn sie wirksam sind. Sie erfordern jedoch drei Implementierungsstandards, die auch als Sicherheitsmaßnahmen bezeichnet werden:
- Verwaltung: Eine Risikoanalyse ist erforderlich, um festzustellen, welche Sicherheitsmaßnahmen für Ihr Unternehmen erforderlich sind. Dies sollte ein laufender Prozess sein.
- Physisch: Dies bezieht sich auf die Sicherheit der Büros, in denen e-PHI gespeichert werden können. Die Sicherheitsmaßnahmen müssen Maßnahmen für den Zugang und die Kontrolle von Einrichtungen sowie die Sicherheit von Arbeitsplätzen und Geräten umfassen.
- Technisch: Maßnahmen wie Firewalls, Verschlüsselung und Datensicherung werden verwendet, um e-PHI sicher zu halten, und die Schutzmaßnahmen müssen aus Zugriffskontrollen, Auditkontrollen, Integritätskontrollen und Übertragungssicherheit bestehen.
Jüngste Datenschutzverletzungen im Gesundheitswesen
Laut einem SonicWall Cyber Threat Report von 2022 setzte das Gesundheitswesen 2021 einen großen Anstieg an Malware mit 121 % fort. Während der größte Anstieg bei IoT-Malware-Angriffen dem Gesundheitswesen gehörte, was im Jahresvergleich einen Anstieg um 71 % verzeichnete.
Um Aufschluss über die Bedeutung zu geben, die Malware haben kann, ist es wichtig, sich einige Verstöße in den letzten Jahren anzusehen, die durch die Einhaltung der HIPAA-Regeln und -Sicherheitsmaßnahmen hätten umgehen können.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
Im Mai 2021 wurden mehr als 205.000 Patienten mit RMCHCS über versuchte Datenerpressung informiert, die das Krankenhaus zu Ausfallzeiten bei elektronischen Patientenakten (HER) zwingte. RMCHCS wurde Opfer eines Angriffs von Conti, einer Ransomware-Hackinggruppe, die sich im Laufe des Jahres 2020 aktiv gegen die Gesundheitsbranche richtete.
Später wurde festgestellt, dass Conti-Akteure Daten, einschließlich Sozialversicherungsnummern, Pässe und geschützte Gesundheitsinformationen (PHI) von Patienten, für etwa zwei Wochen vom 21. Januar bis zum 5. Februar aus dem System exfiltrierten. RMCHCS meldete, dass sie die Strafverfolgungsbehörden sofort benachrichtigten, aber sie begannen erst Ende April mit dem Versenden von Mitteilungen, was Anlass zur Sorge darstellte.
Da es sich um einen Ransomware-Angriff handelte, fehlt es deutlich an technischen Schutzmaßnahmen und regelmäßigen Risikobewertungen. Während RMCHCS die Patienten über die Verletzung informiert hat, beeinträchtigt die mangelnde Pünktlichkeit die persönliche Sicherheit und die Integrität der e-PHI weiter. Patienten sollten rechtzeitig benachrichtigt worden sein, damit sie ihre Krankenakten schließen oder ändern, Online-Portal- oder Bankinformationen aktualisieren oder einen neuen Reisepass anfordern können.
Ein Berührungspunkt
Dieser Anbieter von Hartland, Wisconsin, Mailing und Drucken wurde am 28. April 2022 Opfer eines Ransomware-Angriffs. Über 2,6 Millionen Personen in mindestens 34 Organisationen waren von der Verletzung betroffen.
Es wurde festgestellt, dass die Server von OneTouchPoint nur einen Tag zuvor kompromittiert wurden, wodurch vertrauliche Daten gefährdet wurden. Mehr als sechs Wochen später legte OneTouchPoint offen, dass die Dateien Kundendaten zusammen mit vertraulichen Informationen aktueller und ehemaliger Mitarbeiter enthielten. Dies umfasste Namen und Adressen von Kunden und Mitarbeitern, Abonnenten und Gesundheitsmitglieder-IDs sowie Diagnosen und Medikamente von Kunden. Dies hat viele Kunden von OneTouchPoint dazu veranlasst, ihren Mitgliedern auf eigene Kosten Kreditüberwachungs- und Identitätsdiebstahlschutzdienste anzubieten.
Es wurde mindestens eine Sammelklage gegen OneTouchPoint wegen der Datenschutzverletzung eingereicht.
So bleiben Sie HIPAA-konform
Im Rahmen größerer Bemühungen zur Unterstützung der HIPAA-Compliance im Bereich Cybersicherheit hat das OCR HIPAA an das National Institute of Standards and Technology Framework (NIST) angepasst. Als einer der größten Standards in der Branche, der anerkannt werden muss, ist es einfacher, HIPAA-konform zu sein, wenn Sie bereits NIST-konform sind.
Um sicherzustellen, dass hohe Standards und ein hohes Bewusstsein gewahrt werden, bieten viele Unternehmen HIPAA-Compliance-Schulungen und Referenzen an. Es gibt viele Beratungsunternehmen, die Schulungen anbieten, darunter das OCR, das verschiedene Schulungsmodule anbietet, um die Vielzahl von Entitäten zu berücksichtigen, die HIPAA einhalten müssen.
HIPPA Compliance – Best Practices
Die folgenden Best Practices können Ihnen dabei helfen, Compliance zu erreichen:
Die HIPAA-Regeln verstehen
Die HIPAA-Datenschutzregel legt fest, wie PHI im Gesundheitssektor verwendet und offengelegt werden können. Ein Überblick über die Regel gibt Ihnen Einblick in die Rechte der Patienten, einschließlich des Rechts, auf ihre Krankenakte zuzugreifen und Korrekturen zu verlangen.
Die HIPAA-Sicherheitsregel bietet Ihnen die technischen, physischen und administrativen Sicherheitsvorkehrungen, die zum Schutz der PHI von Kunden erforderlich sind.
Die HIPAA Breach Notification Rule verlangt, dass Patienten, die Medien und das US Department of Health and Human Services (HHS) benachrichtigt werden, wenn eine Datenschutzverletzung auftritt.
Durchführung einer Risikobewertung
Dies umfasst die Identifizierung aller PHI, die Ihre Organisation erfasst, verarbeitet und speichert. Ihre Risikobewertung sollte auch die Schwachstellen Ihres Unternehmens identifizieren, die PHI gefährden könnten. Dazu gehören bekannte interne oder externe Cyberbedrohungen, Diebstahl oder Verlust physischer Geräte und die Wahrscheinlichkeit eines Angriffs auf Grundlage Ihres Cyber Risk Index.
Richtlinien und Verfahren implementieren
Entwickeln und implementieren Sie basierend auf Ihren Ergebnissen der Risikobewertung Richtlinien und Verfahren, die sich mit jedem identifizierten Risiko befassen. Dazu gehören Bereiche wie Zugriffskontrolle, Datensicherung und -wiederherstellung, Reaktion auf Vorfälle und Schulungen zum Sicherheitsbewusstsein für Mitarbeiter. Überprüfen und aktualisieren Sie diese Richtlinien und Verfahren regelmäßig, um sicherzustellen, dass sie relevant bleiben.
Mitarbeiter schulen
Stellen Sie sicher, dass Ihre Mitarbeiter über die Richtlinien und Verfahren Ihres Unternehmens auf dem Laufenden sind. Alle Mitarbeiter, die mit PHI umgehen, müssen wissen, wie sie PHI schützen und die Konsequenzen von Nichteinhaltung erkennen können. Regelmäßige Schulungen zum Sicherheitsbewusstsein sind notwendig, um sicherzustellen, dass Mitarbeiter stets über die neuesten Bedrohungen auf dem Laufenden sind und mit bewährten Verfahren zum Schutz von PHI vertraut sind.
Überwachung und Audit
Überprüfen Sie regelmäßig die Sicherheitsmaßnahmen Ihres Unternehmens, durchlaufen Sie Penetrationstests und erfüllen Sie Schwachstellenbewertungen. Dadurch sind Sie und Ihre Teams auf dem neuesten Stand über aufkommende Risiken oder Bedrohungen für PHI und wie Sie mit einer Verletzung richtig umgehen können. Regelmäßige Audits sind der Schlüssel, um konform und vorbereitet zu bleiben.