Hoe u ervoor kunt zorgen dat uw externe medewerkers HIPAA-compliant zijn?

Het handhaven van HIPAA-compliance voor externe medewerkers kan een ontmoedigende taak zijn, maar dat hoeft niet zo te zijn. Lees verder om te ontdekken hoe remote access en support het u gemakkelijk kunnen maken.

De meeste zorgorganisaties zijn al jaren vertrouwd met hun HIPAA-complianceprocessen. In de afgelopen twee jaar is het landschap echter aanzienlijk veranderd door de opkomst van thuiswerken, telezorg en toenemende cyberdreigingen voor beschermde gezondheidsinformatie (PHI).

Gartner schatte onlangs dat in het begin van 2022 51 procent van de kenniswerkers zijn werk op afstand zal doen. Deze verschuiving naar werken op afstand heeft belangrijke gevolgen voor organisaties die moeten voldoen aan de voorschriften van de Health Insurance Portability and Accountability Act (HIPAA).

Zijn externe werknemers een risico voor HIPAA-compliance?

Nee, thuiswerkers zelf zijn niet per definitie een risico. IT-teams die er niet op voorbereid zijn deze mensen te voorzien van de middelen die nodig zijn om te voldoen aan de regelgeving inzake gegevensprivacy, vormen echter wel een risico. Een artikel in Healthcare IT News uit 2021 wees erop dat slechts 2 van de 10 IT-teams zeiden dat ze adequate tools en middelen hadden geleverd om werknemers die op afstand werken op de lange termijn te ondersteunen. Door dit gebrek aan paraatheid lopen organisaties het risico de regels voor gegevensbescherming en elektronische medische dossiers (EMR) van de HIPAA te schenden.

Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) wees zelfs specifiek op het HIPAA-compliance-risico wanneer werknemers remote access-systemen gebruiken zonder HIPAA-compliancefuncties. Bij het beschrijven van de noodzaak om het beveiligingsbeleid regelmatig te herzien en aan te passen aan HIPAA, verklaarde HHS: "Dit is met name relevant voor organisaties die remote access tot EPHI (Electronic Protected Health Information) toestaan via draagbare apparaten of op externe systemen of hardware die geen eigendom zijn van of beheerd worden door de onder de richtlijn vallende entiteit.”

HIPAA-overtredingen kosten veel geld

De boetes voor HIPAA-overtredingen kunnen snel oplopen tot wel $ 1,8 miljoen per overtreding. Bovendien wordt geëist om een duur correctief actieplan (CAP) te volgen om toekomstige overtredingen te voorkomen. Sancties en CAP-vereisten zijn vastgesteld door de Health Information Technology for Economic and Clinical Health Act (HITECH) die in maart 2013 van kracht werd. Ze zijn van toepassing op veel meer organisaties dan alleen zorgaanbieders: zorgverzekeringen, zorginstellingen, alle onder de richtlijn vallende entiteiten en bedrijven geassocieerde deelnemingen van onder de richtlijn vallende entiteiten.

Een recent artikel in de National Law Review beschreef bijvoorbeeld hoe Peachstate Health Management, Inc. onderhandelde over hun HIPAA-boete en deze terugbracht tot $25.000. Maar het CAP dat ze moesten implementeren, bracht nog veel hogere kosten met zich mee, omdat Peachstate het volgende allemaal moest doen:

  • Een bedrijfsbrede risicoanalyse uitvoeren
  • Het ontwikkelen en implementeren van een risicobeheerplan
  • Beleid en procedures ontwikkelen die zijn ontworpen voor naleving van de HIPAA-securityregels
  • Het verspreiden van het beleid en de procedures
  • Het ontwikkelen van trainingsmateriaal voor het personeel
  • Een onafhankelijke toezichthouder aanwijzen
  • Het indienen van implementatierapporten, niet-nalevingsrapporten en jaarverslagen

Het inhuren van een deskundige onafhankelijke toezichthouder zou de boete van $ 25.000 ver overschrijden, vooral omdat die moest worden goedgekeurd door OCR (het Office for Civil Rights van het Amerikaanse ministerie van Volksgezondheid en Human Services).

Hoe kunnen Splashtop remote access en supportoplossingen u helpen hieraan te voldoen?

Ten eerste, en het belangrijkste, heeft Splashtop geen toegang tot patiëntinformatie of dossiers (EMR, PACS, enz.). Splashtop-oplossingen verwerken de desktopstreaming in een gecodeerde remote access of supportsessie. Daarbij heeft Splashtop nooit toegang tot de data in zo'n sessie.

Geen toegang tot sessiegegevens is een belangrijk onderscheid. Dit betekent dat Splashtop remote access en supportdiensten kan bieden onder de HIPAA Conduit Exception Rule. De conduit-uitzondering is beperkt tot transmissiediensten (digitaal of op papier), inclusief tijdelijke opslag van verzonden gegevens die verband houden met dergelijke transmissie. Dit sluit uit dat services zoals Splashtop zakelijke samenwerkingsovereenkomsten moeten aangaan met onder de richtlijn vallende entiteiten.

Hierdoor kunnen onze klanten Splashtop-oplossingen snel implementeren zonder dat er uitgebreide contracten nodig zijn die aan HIPAA zijn gekoppeld. Bovendien weten ze dat hun patiëntinformatie en dossiers binnen hun systeem blijven en nooit buiten hun organisatie komen.

Aanvullende Splashtop beveiligingsmaatregelen die de veiligheid van uw gegevens garanderen

Splashtop heeft "Beveiligingsbeleid" ontwikkeld als een subset van onze technische en organisatorische maatregelen (TOM's). Deze beschrijven de beveiligingsmaatregelen en -controles die door Splashtop zijn geïmplementeerd en onderhouden om de gegevens die we opslaan en verwerken te beschermen en te beveiligen. Ons IT-beveiligingsbeleid wordt regelmatig herzien en aangepast door onze IT-beveiligingsexperts.

Bovendien volgen Splashtop-medewerkers twee keer per jaar een informatiebeveiligingstraining. Als onderdeel van deze training stemmen ze ermee in zich te houden aan ethisch zakelijk gedrag, vertrouwelijkheids- en beveiligingsbeleid zoals vermeld in onze 'Gedragscode'.

Het beveiligingsbeleid van Splashtop wordt ondersteund door een robuuste architectuur voor gegevensbeveiliging met veel functies. Versleuteling en toegangscontrole zijn de twee belangrijkste voor het handhaven van gegevensbescherming wanneer uw werknemers op afstand werken.

  • Versleuteling: Splashtop versleutelt alle gebruikersgegevens tijdens de doorgifte en in rust, en alle gebruikerssessies worden veilig tot stand gebracht met TLS. De inhoud die binnen elke sessie wordt geopend, is altijd versleuteld via 256-bits AES.
  • Toegangscontrole: Splashtop heeft toegangscontroles geïmplementeerd om elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op autoriteitsniveaus, 'need-to-know'-niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem. We volgen op rollen gebaseerde toegang met regelmatige accountreviews, toegangsbewaking en logregistratie.

Splashtop remote access introduceert nog meer beveiligingsfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), single sign-on (SSO) en meer. Voor als u meer wilt weten, hebben we een volledige lijst samengesteld met de HIPAA-ondersteunende beveiligingsfuncties van Splashtop.

Houd uw Organisatie HIPAA-compatibel met Remote Access en Support

Nu werken op afstand niet meer weg te denken is, maken veel organisaties gebruik van remote access en supportoplossingen om EPD's en andere patiëntgegevens veilig te verwerken. Om uw organisatie HIPAA-compliant te houden, moet u gebruik maken van veilige en beveiligde remote access en support.

Splashtop biedt honderden zorgorganisaties veilige en beveiligde remote access en support - in lijn met de HIPAA en andere privacyregelgeving voor consumenten. Neem vandaag nog contact op met een Splashtop-expert om erachter te komen hoe Splashtop uw organisatie in staat kan stellen externe werknemers in overeenstemming te houden met de HIPAA.

Blijf op de hoogte van het laatste nieuws omtrent beveiliging door u te abonneren op ons securitynieuws.

gerelateerde inhoud

Gratis proefbanner op de onderkant van het blog