Was ist HIPAA-Compliance?
HIPAA-Compliance-Definition
Der Health ?wurde 1996 gegründet und zielt darauf ab, die Privatsph?re und Sicherheit sensibler Gesundheitsinformationen zu schützen.? ?
Mehr als in jeder anderen Branche ist Compliance?für Organisationen im Gesundheitswesen von entscheidender Bedeutung. Die Erfassung und Verarbeitung geschützter Gesundheitsinformationen (Protected Health Information, PHI), einschlie?lich personenbezogener und medizinischer Daten, ist notwendig, um Patienten optimierte Behandlungsoptionen zu bieten. Die Folgen einer Verletzung?von PHI k?nnen jedoch verheerend sein. Dies kann nicht nur zu Reputationssch?den, finanziellen Verlusten und gesetzlicher Haftung führen, sondern Verst??e haben auch zu Sch?den für Patienten geführt.
HIPPA Compliance-Sicherheitsregel
Die HIPAA-Sicherheitsregel schützt eine Teilmenge von Informationen, die von der HIPAA-Datenschutzregel erfasst werden. Im Wesentlichen geht es darum, was Unternehmen tun müssen, um elektronisch geschützte Gesundheitsinformationen (e-PHI) zu schützen.
Die Sicherheitsregel bestimmt nicht, welche Sicherheitsma?nahmen verwendet werden, wenn sie wirksam sind. Sie erfordern jedoch , die auch als Sicherheitsma?nahmen bezeichnet werden:?
- Verwaltung: Eine Risikoanalyse ist erforderlich, um festzustellen, welche Sicherheitsma?nahmen für Ihr Unternehmen erforderlich sind. Dies sollte ein laufender Prozess sein.?
- Physisch: Dies bezieht sich auf die Sicherheit der Büros, in denen e-PHI gespeichert werden k?nnen. Die Sicherheitsma?nahmen müssen Ma?nahmen für den Zugang und die Kontrolle von Einrichtungen sowie die Sicherheit von Arbeitspl?tzen und Ger?ten umfassen.?
- Technisch: Ma?nahmen wie Firewalls, Verschlüsselung und Datensicherung werden verwendet, um e-PHI sicher zu halten, und die Schutzma?nahmen müssen aus Zugriffskontrollen, Auditkontrollen, Integrit?tskontrollen und ?bertragungssicherheit bestehen.
Jüngste Datenschutzverletzungen im Gesundheitswesen
Laut einem ?von 2022 setzte das Gesundheitswesen 2021 einen gro?en Anstieg an Malware mit 121 % fort. W?hrend der gr??te Anstieg bei IoT-Malware-Angriffen dem Gesundheitswesen geh?rte, was im Jahresvergleich einen Anstieg um 71 % verzeichnete.?
Um Aufschluss über die Bedeutung zu geben, die Malware haben kann, ist es wichtig, sich einige Verst??e in den letzten Jahren anzusehen, die durch die Einhaltung der HIPAA-Regeln und -Sicherheitsma?nahmen h?tten umgehen k?nnen.
Rehoboth McKinley Christian Health Care Services (RMCHCS)
?wurden mehr als 205.000 Patienten mit RMCHCS über versuchte Datenerpressung informiert, die das Krankenhaus zu Ausfallzeiten bei elektronischen Patientenakten (HER) zwingte. RMCHCS wurde Opfer eines Angriffs von Conti, einer Ransomware-Hackinggruppe, die sich im Laufe des Jahres 2020 aktiv gegen die Gesundheitsbranche richtete.
Sp?ter wurde festgestellt, dass , einschlie?lich Sozialversicherungsnummern, P?sse und geschützte Gesundheitsinformationen (PHI) von Patienten, für etwa zwei Wochen vom 21. Januar bis zum 5. Februar aus dem System exfiltrierten. RMCHCS meldete, dass sie die Strafverfolgungsbeh?rden sofort benachrichtigten, aber sie begannen erst Ende April mit dem Versenden von Mitteilungen, was Anlass zur Sorge darstellte.?
Da es sich um einen Ransomware-Angriff?handelte, fehlt es deutlich an technischen Schutzma?nahmen und regelm??igen Risikobewertungen. W?hrend RMCHCS die Patienten über die Verletzung informiert hat, beeintr?chtigt die mangelnde Pünktlichkeit die pers?nliche Sicherheit und die Integrit?t der e-PHI weiter. Patienten sollten rechtzeitig benachrichtigt worden sein, damit sie ihre Krankenakten schlie?en oder ?ndern, Online-Portal- oder Bankinformationen aktualisieren oder einen neuen Reisepass anfordern k?nnen.
Ein Berührungspunkt
Dieser Anbieter von Hartland, Wisconsin, Mailing und Drucken wurde am 28. April 2022 Opfer eines Ransomware-Angriffs. ?waren von der Verletzung betroffen.?
Es wurde festgestellt, dass die Server von OneTouchPoint nur einen Tag zuvor kompromittiert wurden, wodurch vertrauliche Daten gef?hrdet wurden. Mehr als sechs Wochen sp?ter legte OneTouchPoint offen, dass die Dateien Kundendaten zusammen mit vertraulichen Informationen aktueller und ehemaliger Mitarbeiter enthielten. Dies umfasste Namen und Adressen von Kunden und Mitarbeitern, Abonnenten und Gesundheitsmitglieder-IDs sowie Diagnosen und Medikamente von Kunden. Dies hat viele Kunden von OneTouchPoint dazu veranlasst, ihren Mitgliedern auf eigene Kosten Kreditüberwachungs- und Identit?tsdiebstahlschutzdienste anzubieten.?
Es wurde mindestens eine ?gegen OneTouchPoint wegen der Datenschutzverletzung eingereicht.
So bleiben Sie HIPAA-konform
Im Rahmen gr??erer Bemühungen zur Unterstützung der HIPAA-Compliance im Bereich Cybersicherheit hat das OCR HIPAA an das National Institute of Standards and Technology Framework (NIST) angepasst. Als einer der gr??ten Standards in der Branche, der anerkannt werden muss, ist es einfacher, HIPAA-konform zu sein, wenn Sie bereits NIST-konform sind.?
Um sicherzustellen, dass hohe Standards und ein hohes Bewusstsein gewahrt werden, bieten viele Unternehmen HIPAA-Compliance-Schulungen und Referenzen an. Es gibt viele Beratungsunternehmen, die Schulungen anbieten, darunter das OCR, das verschiedene Schulungsmodule anbietet, um die Vielzahl von Entit?ten zu berücksichtigen, die HIPAA einhalten müssen.
HIPPA Compliance – Best Practices
Die folgenden Best Practices k?nnen Ihnen dabei helfen, Compliance zu erreichen:
Die HIPAA-Regeln verstehen
?legt fest, wie PHI im Gesundheitssektor verwendet und offengelegt werden k?nnen. Ein ?berblick über die Regel gibt Ihnen Einblick in die Rechte der Patienten, einschlie?lich des Rechts, auf ihre Krankenakte zuzugreifen und Korrekturen zu verlangen.
?bietet Ihnen die technischen, physischen und administrativen Sicherheitsvorkehrungen, die zum Schutz der PHI von Kunden erforderlich sind.
?verlangt, dass Patienten, die Medien und das US Department of Health and Human Services (HHS) benachrichtigt werden, wenn eine Datenschutzverletzung auftritt.
Durchführung einer Risikobewertung
Dies umfasst die Identifizierung aller PHI, die Ihre Organisation erfasst, verarbeitet und speichert. Ihre Risikobewertung sollte auch die Schwachstellen Ihres Unternehmens identifizieren, die PHI gef?hrden k?nnten. Dazu geh?ren bekannte interne oder externe Cyberbedrohungen, Diebstahl oder Verlust physischer Ger?te und die Wahrscheinlichkeit eines Angriffs auf Grundlage Ihres Cyber Risk Index.
Richtlinien und Verfahren implementieren
Entwickeln und implementieren Sie basierend auf Ihren Ergebnissen der Risikobewertung Richtlinien und Verfahren, die sich mit jedem identifizierten Risiko befassen. Dazu geh?ren Bereiche wie Zugriffskontrolle, Datensicherung und -wiederherstellung, Reaktion auf Vorf?lle und Schulungen zum Sicherheitsbewusstsein für Mitarbeiter. ?berprüfen und aktualisieren Sie diese Richtlinien und Verfahren regelm??ig, um sicherzustellen, dass sie relevant bleiben.
Mitarbeiter schulen
Stellen Sie sicher, dass Ihre Mitarbeiter über die Richtlinien und Verfahren Ihres Unternehmens auf dem Laufenden sind. Alle Mitarbeiter, die mit PHI umgehen, müssen wissen, wie sie PHI schützen und die Konsequenzen von Nichteinhaltung erkennen k?nnen. Regelm??ige Schulungen zum Sicherheitsbewusstsein sind notwendig, um sicherzustellen, dass Mitarbeiter stets über die neuesten Bedrohungen auf dem Laufenden sind und mit bew?hrten Verfahren zum Schutz von PHI vertraut sind.
?berwachung und Audit
?berprüfen Sie regelm??ig die Sicherheitsma?nahmen Ihres Unternehmens, durchlaufen Sie Penetrationstests?und erfüllen Sie Schwachstellenbewertungen. Dadurch sind Sie und Ihre Teams auf dem neuesten Stand über aufkommende Risiken oder Bedrohungen für PHI und wie Sie mit einer Verletzung richtig umgehen k?nnen. Regelm??ige Audits sind der Schlüssel, um konform und vorbereitet zu bleiben.