So stellen Sie sicher, dass Ihre Remote-Mitarbeiter HIPAA-konform sind

Die Einhaltung der HIPAA-Bestimmungen für entfernte Mitarbeiter kann eine entmutigende Aufgabe sein, muss es aber nicht. Lesen Sie weiter, um zu erfahren, wie Fernzugriff und -support dies vereinfachen können.

Die meisten Organisationen des Gesundheitswesens haben sich seit Jahren mit ihren Prozessen zur Einhaltung des HIPAA vertraut gemacht. In den letzten zwei Jahren hat sich die Landschaft jedoch mit dem Aufkommen von Telearbeit, Telemedizin und den zunehmenden Cyber-Bedrohungen für geschützte Gesundheitsinformationen (PHI) erheblich verändert.

Gartner schätzte kürzlich , dass Anfang 2022 51 Prozent der Wissensarbeiter ihre Arbeit aus der Ferne verrichten werden. Diese Verlagerung zur Telearbeit hat erhebliche Auswirkungen auf Unternehmen, die die Vorschriften des Health Insurance Portability and Accountability Act (HIPAA) einhalten müssen.

Sind Remote-Mitarbeiter ein Risiko für die Einhaltung des HIPAA?

Nein, Telearbeiter selbst sind nicht per se ein Risiko. IT-Teams, die nicht darauf vorbereitet sind, Remote-Mitarbeiter mit den erforderlichen Ressourcen auszustatten, um die Datenschutzbestimmungen einzuhalten, stellen jedoch ein Risiko dar. In einem Artikel der Healthcare IT News aus dem Jahr 2021 wurde darauf hingewiesen, dass nur 2 von 10 IT-Teams angaben, angemessene Tools und Ressourcen zur Verfügung zu stellen, um Mitarbeiter zu unterstützen, die langfristig an entfernten Standorten arbeiten. Aufgrund dieser mangelnden Vorbereitung laufen Organisationen Gefahr, gegen die HIPAA-Bestimmungen zum Schutz von Daten und elektronischen Patientenakten (EMR) zu verstoßen.

Das U.S. Department of Health and Human Services (HHS) wies ausdrücklich darauf hin, dass das Risiko der Einhaltung des HIPAA besteht, wenn Mitarbeiter Fernzugriffssysteme verwenden, die keine HIPAA-Konformitätsfunktionen aufweisen. Bei der Beschreibung der Notwendigkeit, die Sicherheitsrichtlinien regelmäßig zu überprüfen und zu ändern, um sie mit dem HIPAA in Einklang zu bringen, erklärte das HHS: "Dies ist besonders wichtig für Organisationen, die den Fernzugriff auf EPHI (Electronic Protected Health Information) über tragbare Geräte oder externe Systeme oder Hardware erlauben, die sich nicht im Besitz der betroffenen Einrichtung befinden oder von dieser verwaltet werden."

HIPAA-Verstöße sind eine teure Überwachung

Die Strafen für HIPAA-Verstöße können schnell eskalieren und bis zu 1,8 Millionen Dollar pro Verstoß erreichen. Darüber hinaus wird empfohlen, einen kostspieligen Plan für Abhilfemaßnahmen (CAP) zu befolgen, um zukünftige Verstöße zu verhindern. Die Strafen und GAP-Anforderungen wurden durch den Health Information Technology for Economic and Clinical Health Act (HITECH) eingeführt, der im März 2013 in Kraft trat. Sie gelten nicht nur für Leistungserbringer im Gesundheitswesen, sondern auch für Gesundheitspläne, Clearingstellen im Gesundheitswesen, alle betroffenen Einrichtungen und Geschäftspartner von betroffenen Einrichtungen.

In einem kürzlich erschienenen Artikel der National Law Review wurde beispielsweise beschrieben, wie Peachstate Health Management, Inc. die Strafe für den Verstoß gegen den HIPAA auf 25.000 Dollar herunterhandelte. Die GAP, die sie umsetzen mussten, war jedoch mit weitaus höheren Kosten verbunden, da Peachstate Folgendes tun musste:

  • Durchführen einer unternehmensweiten Risikoanalyse
  • Entwicklung und Umsetzung eines Risikomanagementplans
  • Entwicklung von Richtlinien und Verfahren für die Einhaltung der HIPAA-Sicherheitsrichtlinien
  • Verteilen Sie die Richtlinien und Verfahren
  • Entwicklung von Schulungsmaterial für die Belegschaft
  • Benennen Sie einen unabhängigen Monitor
  • Vorlage von Durchführungsberichten, Berichten über die Nichteinhaltung von Vorschriften und Jahresberichten

Die Beauftragung eines unabhängigen Experten würde das Bußgeld von 25.000 Dollar bei weitem übersteigen, zumal die Beauftragung von OCR (Office for Civil Rights im US-Gesundheitsministerium) genehmigt werden muss.

Wie können die Splashtop-Lösungen für Fernzugriff und -support Sie bei der Einhaltung der Vorschriften unterstützen?

Erstens, und das ist das Wichtigste, hat Splashtop keinen Zugriff auf Patienteninformationen oder -akten (EMR, PACS, etc.). Splashtop-Lösungen verarbeiten das Desktop-Streaming in einer verschlüsselten Remote Access- oder Support-Sitzung. Dabei hat Splashtop niemals Zugriff auf die Sitzungsdaten.

Der Nicht-Zugriff auf Sitzungsdaten ist ein wichtiger Unterschied. Er bedeutet, dass Splashtop Fernzugriffs- und Supportdienste im Rahmen der HIPAA Conduit Exception Rule anbieten kann. Die Conduit-Ausnahme ist auf Übermittlungsdienste (digital oder in Papierform) beschränkt, einschließlich der vorübergehenden Speicherung der übermittelten Daten im Zusammenhang mit einer solchen Übermittlung. Dies schließt Dienste wie Splashtop davon aus, Geschäftspartnerschaftsvereinbarungen mit betroffenen Einrichtungen abschließen zu müssen.

Dies ermöglicht unseren Kunden eine schnelle Implementierung von Splashtop-Lösungen, ohne dass sie umfangreiche Verträge im Zusammenhang mit HIPAA abschließen müssen. Darüber hinaus wissen sie, dass ihre Patientendaten und -datensätze in ihrem System verbleiben und niemals die Grenzen ihres Unternehmens überschreiten.

Zusätzliche Sicherheitsmaßnahmen von Splashtop, die die Sicherheit Ihrer Daten gewährleisten

Splashtop hat "Sicherheitsrichtlinien" als Untergruppe unserer technischen und organisatorischen Maßnahmen (TOMs) entwickelt. Diese beschreiben die Sicherheitsmaßnahmen und -kontrollen, die Splashtop zum Schutz und zur Sicherung der von uns gespeicherten und verarbeiteten Daten einführt und aufrechterhält. Unsere IT-Sicherheitsrichtlinien werden regelmäßig von unseren IT-Sicherheitsexperten überprüft und geändert.

Darüber hinaus absolvieren die Mitarbeiter von Splashtop zweimal im Jahr eine Schulung zur Informationssicherheit. Im Rahmen dieser Schulung verpflichten sie sich zur Einhaltung von ethischem Geschäftsverhalten, Vertraulichkeit und Sicherheitsrichtlinien, wie sie in unserem "Code of Conduct" festgelegt sind.

Die Sicherheitsrichtlinien von Splashtop werden durch eine robuste Datensicherheitsarchitektur mit vielen Funktionen unterstützt. Verschlüsselung und Zugriffskontrolle sind die beiden wichtigsten Faktoren für den Datenschutz, wenn Ihre Mitarbeiter aus der Ferne arbeiten.

  • Verschlüsselung: Splashtop verschlüsselt alle Benutzerdaten bei der Übertragung und im Ruhezustand, und alle Benutzersitzungen werden sicher mit TLS aufgebaut. Der Inhalt, auf den innerhalb jeder Sitzung zugegriffen wird, wird immer mit 256-Bit-AES verschlüsselt.
  • Zugangskontrolle: Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Autoritätsebenen, Need-to-know-Ebenen und der Trennung der Aufgaben derjenigen, die auf das System zugreifen. Wir verfolgen den rollenbasierten Zugang mit regelmäßigen Kontoüberprüfungen, Zugangsüberwachung und Protokollierung.

Der Fernzugriff von Splashtop bietet noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. Wenn Sie mehr erfahren möchten, haben wir eine vollständige Liste der HIPAA-unterstützenden Sicherheitsfunktionen von Splashtop zusammengestellt.

Halten Sie Ihr Unternehmen HIPAA-konform mit Fernzugriff und Support

Da die Arbeit aus der Ferne nicht mehr wegzudenken ist, nutzen viele Unternehmen Lösungen für den Fernzugriff und -support, um EMRs und andere Patientendaten sicher zu verwalten. Um die HIPAA-Konformität Ihres Unternehmens zu gewährleisten, müssen Sie einen sicheren Fernzugriff und -support einführen.

Splashtop bietet Hunderten von Organisationen im Gesundheitswesen einen sicheren Fernzugriff und -Support - in Übereinstimmung mit dem HIPAA und anderen Datenschutzbestimmungen für Verbraucher. Um herauszufinden, wie Splashtop Ihre Organisation in die Lage versetzen kann, Remote-Mitarbeiter in Übereinstimmung mit dem HIPAA zu halten, kontaktieren Sie noch heute einen Splashtop-Experten.

Bleiben Sie auf dem Laufenden über die neuesten Sicherheitsnachrichten, indem Sie unseren Security Feed abonnieren.

Verwandter Inhalt

Banner zur kostenlosen Testversion auf dem Blog unten