So stellen Sie sicher, dass Ihre Remote-Mitarbeiter HIPAA-konform agieren
Teilen
Die Einhaltung der HIPAA-Bestimmungen für Remote-Mitarbeiter kann eine Herausforderung sein, muss es aber nicht. Lesen Sie weiter, um zu erfahren, wie Fernzugriff und -support die Arbeit erleichtern können.
Die meisten Organisationen des Gesundheitswesens haben sich schon seit Jahren an ihre Prozesse zur Einhaltung des HIPAA gewöhnt. In den letzten zwei Jahren hat sich die Landschaft jedoch mit der Zunahme der Telearbeit, der Telemedizin und den zunehmenden Cyberbedrohungen gegenüber geschützten Gesundheitsinformationen (PHI) erheblich verändert.
Gartner hat kürzlich geschätzt, dass 51 Prozent der Wissensarbeiter Anfang 2022 ihre Arbeit aus der Ferne erledigen werden. Diese Umstellung auf Remote-Arbeit hat erhebliche Auswirkungen auf Unternehmen, die die Vorschriften des Health Insurance Portability and Accountability Act (HIPAA) einhalten müssen.
Sind Remote-Mitarbeiter ein HIPAA-Compliance-Risiko?
Nein, Remote-Mitarbeitende stellen an sich kein Risiko dar.IT-Teams, die nicht bereit sind, Remote-Mitarbeitende mit den erforderlichen Ressourcen auszustatten, um die Datenschutzbestimmungen einzuhalten, sind jedoch ein Risiko.In einem Artikel der Healthcare IT News aus dem Jahr 2021 wurde darauf hingewiesen, dass nur 2 von 10 IT-Teams angaben, angemessene Tools und Ressourcen bereitgestellt zu haben, um Mitarbeitende, die langfristig von zu Hause aus arbeiten, zu unterstützen.Diese mangelnde Vorbereitung setzt Unternehmen dem Risiko aus, die Datenschutzbestimmungen von HIPAA für Daten und elektronische Krankenakten (EMR) zu verletzen.
Tatsächlich weist das US-Gesundheitsministerium (HHS) ausdrücklich auf das HIPAA-Compliance-Risiko hin, wenn Mitarbeitende Fernzugriffssysteme verwenden, denen HIPAA-Compliance-Funktionen fehlen.Bei der Beschreibung der Notwendigkeit, Sicherheitsrichtlinien regelmäßig zu überprüfen und zu ändern, um sie an HIPAA anzupassen, erklärte das HHS: „Dies ist besonders relevant für Unternehmen, die den Fernzugriff auf EPHI (elektronisch geschützte Gesundheitsinformationen) über tragbare Geräte oder auf externen Systemen oder Hardware, die sich nicht im Besitz der abgedeckten Einrichtung befinden oder nicht von dieser verwaltet werden, erlauben.“
HIPAA-Verstöße sind ein teures Versehen
Strafen für HIPAA-Verstöße können schnell eskalieren und bis zu 1,8 Millionen US-Dollar pro Verstoß erreichen.Darüber hinaus wird die Verpflichtung zur Einhaltung eines kostspieligen Korrekturmaßnahmenplans (CAP) empfohlen, um zukünftige Verstöße zu verhindern.Strafen und CAP-Anforderungen wurden durch den Health Information Technology for Economic and Clinical Health Act (HITECH), der im März 2013 in Kraft trat, festgelegt.Sie gelten für viel mehr Unternehmen als nur Gesundheitsdienstleister – Krankenversicherungen, Clearingstellen im Gesundheitswesen, alle abgedeckten Unternehmen und Geschäftspartner von abgedeckten Unternehmen.
Beispielsweise beschrieb ein kürzlich erschienener Artikel der National Law Review, wie Peachstate Health Management, Inc. die Strafe für HIPAA-Verstöße auf 25.000 $ herunterhandelte. Die CAP, die das Unternehmen implementieren musste, waren jedoch mit weitaus höheren Kosten verbunden, da Peachstate Folgendes tun musste:
Durchführung einer unternehmensweiten Risikoanalyse
Entwicklung und Umsetzung eines Risikomanagementplans
Entwicklung von Richtlinien und Verfahren zur Einhaltung der HIPAA Security Rule
Verteilung der Richtlinien und Verfahren
Ausarbeitung von Schulungsmaterialien für die Belegschaft
Benennung eines unabhängigen Beobachters
Vorlage von Umsetzungsberichten, Berichten über die Nichteinhaltung von Vorschriften und Jahresberichten
Die Einstellung eines fachkundigen unabhängigen Beobachters würde die Geldbuße von 25.000 US-Dollar bei weitem überschreiten, zumal diese Person vom OCR (dem Office for Civil Rights des U.S. Department of Health and Human Services) genehmigt werden muss.
Wie können die Lösungen für Fernzugriff und Fernunterstützung von Splashtop Ihnen bei der Einhaltung der Vorschriften helfen?
Besonders zu betonen ist, dass Splashtop keinen Zugriff auf Patienteninformationen oder -akten (EMR, PACS usw.) hat. Splashtop-Lösungen verarbeiten das Desktop-Streaming in einer verschlüsselten Fernzugriff- oder Support-Sitzung. Dabei hat Splashtop niemals Zugriff auf die Sitzungsdaten.
Nicht auf Sitzungsdaten zuzugreifen ist ein wichtiger Unterschied. Dies bedeutet, dass Splashtop Fernzugriff- und Supportleistungen gemäß der HIPAA-Conduit-Ausnahmeregel bereitstellen kann.Die Conduit-Ausnahme ist auf Übertragungsleistungen (ob digital oder auf Papier) beschränkt, einschließlich der vorübergehenden Speicherung von übertragenen Daten im Zusammenhang mit einer solchen Übertragung.So müssen Dienste wie Splashtop keine Geschäftspartnervereinbarungen mit betroffenen Unternehmen eingehen.
Dies ermöglicht unseren Kunden, Splashtop-Lösungen schnell zu implementieren, ohne dass umfangreiche Verträge an den HIPAA gebunden sind. Darüber hinaus wissen sie, dass ihre Patienteninformationen und -unterlagen in ihrem System bleiben und niemals den Perimeter ihrer Organisation verlassen.
Zusätzliche Splashtop-Sicherheitsmaßnahmen, die die Sicherheit Ihrer Daten gewährleisten
Splashtop hat „Sicherheitsrichtlinien“ als Untergruppe unserer technischen und organisatorischen Maßnahmen (TOMs) entwickelt. Diese beschreiben die Sicherheitsmaßnahmen und -kontrollen, die Splashtop zum Schutz und zur Sicherung der von uns gespeicherten und verarbeiteten Daten implementiert und aufrechterhält. Unsere IT-Sicherheitsrichtlinien werden regelmäßig von unseren IT-Sicherheitsexperten überprüft und angepasst.
Darüber hinaus absolvieren Splashtop-Mitarbeiter zweimal im Jahr eine Informationssicherheitsschulung. Als Teil dieser Schulung verpflichten sie sich, ethisches Geschäftsgebaren sowie Vertraulichkeits- und Sicherheitsrichtlinien einzuhalten, wie sie in unserem „Verhaltenskodex“ festgelegt sind.
Die Sicherheitsrichtlinien von Splashtop werden durch eine robuste Datensicherheitsarchitektur mit vielen Funktionen unterstützt. Verschlüsselung und Zugriffskontrolle sind die beiden wichtigsten für die Aufrechterhaltung des Datenschutzes, wenn Ihre Mitarbeiter aus der Ferne arbeiten.
Verschlüsselung: Splashtop verschlüsselt alle Benutzerdaten während der Übertragung und im Ruhezustand und alle Benutzersitzungen werden sicher mit TLS eingerichtet.Die Inhalte, auf die innerhalb jeder Sitzung zugegriffen wird, werden immer mit 256-Bit-AES verschlüsselt.
Zugriffskontrolle: Splashtop hat Zugriffskontrollen implementiert, um den elektronischen Zugriff auf Daten und Systeme zu verwalten.Unsere Zugriffskontrollen basieren auf Berechtigungsstufen, Wissensbedarfsstufen und Aufgabentrennung für die Personen, die auf das System zugreifen.Wir verfolgen den rollenbasierten Zugriff mit regelmäßigen Kontoüberprüfungen, Zugriffsüberwachung und Protokollierung.
Der Fernzugriff von Splashtop bieten noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr.Wenn Sie mehr erfahren möchten, haben wir eine vollständige Liste der HIPAA-unterstützenden Sicherheitsfunktionen von Splashtop zusammengestellt.
Halten Sie Ihr Unternehmen mit Fernzugriff und -support HIPAA-konform
Da das Arbeiten aus der Ferne nicht mehr wegzudenken ist, nutzen viele Unternehmen Lösungen für den Fernzugriff und -support zur sicheren Handhabung von EMRs und anderen Patientendaten. Um Ihre Organisation HIPAA-konform zu halten, müssen Sie einen sicheren Fernzugriff und -support einführen.
Splashtop bietet Hunderten von Organisationen im Gesundheitswesen einen sicheren Fernzugriff und -Support - in Übereinstimmung mit dem HIPAA und anderen Datenschutzbestimmungen für Verbraucher. Um herauszufinden, wie Splashtop Ihre Organisation in die Lage versetzen kann, Remote-Mitarbeiter in Übereinstimmung mit dem HIPAA zu halten, kontaktieren Sie noch heute einen Splashtop-Experten.
