De Health Insurance Portability and Accountability Act (HIPAA) biedt een reeks normen om de gevoelige gegevens van patiënten te beschermen. Bedrijven die omgaan met beschermde gezondheidsinformatie (PHI) moeten administratieve, fysieke en technische beveiligingsmaatregelen nemen om aan de HIPAA-wetgeving te voldoen.
Wat is PHI?
PHI staat voor Public Health Information.
De HIPAA-privacyregel biedt federale bescherming voor PHI die in het bezit is van betrokken entiteiten. De privacyregel staat ook openbaarmaking toe van PHI die nodig is voor patiëntenzorg en andere belangrijke doeleinden.
Gedekte entiteiten
Betrokken entiteiten zijn iedereen die behandelingen verleent, betalingen accepteert of actief is in de gezondheidszorg, of zakenpartners. Dit omvat iedereen die patiëntgegevens heeft en ondersteuning biedt bij behandelingen, betalingen of operaties. Alle betrokken entiteiten moeten HIPAA-conform zijn. Onderaannemers en andere zakenpartners moeten ook HIPAA-conform zijn.
Om te bepalen of u gedekt bent, volgt u deze stappen: dit link.
Algemene regels
Volgens de algemene beveiligingsregels zijn betrokken entiteiten verplicht om redelijke en passende administratieve, technische en fysieke beveiligingsmaatregelen te treffen ter bescherming van PHI.
- Zorgt voor de vertrouwelijkheid, integriteit en beschikbaarheid van alle PHI die entiteiten creëren, ontvangen, onderhouden of verzenden.
- Identificeer en bescherm uzelf tegen redelijkerwijs te verwachten bedreigingen voor de beveiliging of integriteit van de informatie.
- Bescherming tegen redelijkerwijs te verwachten, ontoelaatbaar gebruik of openbaarmaking.
- Zorg ervoor dat het personeel van de betrokken entiteiten zich aan de regels houdt.
Fysieke veiligheidsmaatregelen
- Toegang tot en controle over faciliteiten
Een entiteit die onder deze regeling valt, moet de fysieke toegang tot haar faciliteiten beperken en er tegelijkertijd voor zorgen dat geautoriseerde toegang is toegestaan. - Beveiliging van werkstations en apparaten
Een entiteit die onder de overeenkomst valt, moet beleid en procedures implementeren om het juiste gebruik van en de toegang tot werkstations en elektronische media te specificeren. Een entiteit die onder de overeenkomst valt, moet ook beleid en procedures implementeren met betrekking tot de overdracht, verwijdering, vernietiging en hergebruik van elektronische media om passende bescherming van PHI te waarborgen.
Administratieve waarborgen
- Beveiligingsbeheerproces
Een betrokken entiteit moet potentiële risico's voor PHI identificeren en analyseren. Ook moet zij beveiligingsmaatregelen implementeren die de risico's en kwetsbaarheden beperken tot een redelijk en passend niveau.
- Beveiligingspersoneel
Een betrokken entiteit moet een beveiligingsfunctionaris aanwijzen die verantwoordelijk is voor het ontwikkelen en implementeren van het beveiligingsbeleid en de beveiligingsprocedures.
- Informatietoegangsbeheer
Een betrokken entiteit moet beleid en procedures implementeren om toegang tot PHI te autoriseren, maar alleen als die toegang passend is op basis van de rol van de gebruiker of ontvanger.
- Opleiding en management van de beroepsbevolking
Een betrokken entiteit moet zorgen voor de juiste autorisatie en toezicht op werknemers die met PHI werken. - Evaluatie
Een betrokken entiteit moet periodiek beoordelen in hoeverre haar beveiligingsbeleid en -procedures voldoen aan de vereisten van de beveiligingsregelgeving.
Technische waarborgen
- Access Controle
Een gedekte entiteit moet technische beleidsregels en procedures implementeren die ervoor zorgen dat alleen geautoriseerde personen toegang hebben tot elektronische beschermde gezondheidsinformatie (e-PHI).
- Controles op de audit
Een betrokken entiteit moet hardware, software en/of procedurele mechanismen implementeren om toegang en andere activiteiten in informatiesystemen die e-PHI bevatten of gebruiken, vast te leggen en te onderzoeken.
- Integriteitscontroles
Een betrokken entiteit moet beleid en procedures implementeren om ervoor te zorgen dat e-PHI niet onrechtmatig wordt gewijzigd of vernietigd. Er moeten elektronische maatregelen worden genomen om te bevestigen dat e-PHI niet onrechtmatig is gewijzigd of vernietigd. - Transmissiebedieningen
Een betrokken entiteit moet technische beveiligingsmaatregelen implementeren die bescherming bieden tegen ongeautoriseerde toegang tot e-PHI die via een elektronisch netwerk wordt verzonden.