Hoe u ervoor kunt zorgen dat uw externe medewerkers HIPAA-compliant zijn?
Deel dit
Het handhaven van HIPAA-cpmpliance voor externe medewerkers kan een ontmoedigende taak zijn, maar dat hoeft niet zo te zijn. Lees verder om te ontdekken hoe remote access en support het u gemakkelijk kunnen maken.
De meeste zorgorganisaties zijn al jaren vertrouwd met hun HIPAA-complianceprocessen. In de afgelopen twee jaar is het landschap echter aanzienlijk veranderd door de opkomst van thuiswerken, telezorg en toenemende cyberdreigingen voor beschermde gezondheidsinformatie (PHI).
Gartner schatte onlangs dat in het begin van 2022 51 procent van de kenniswerkers zijn werk op afstand zal doen. Deze verschuiving naar werken op afstand heeft belangrijke gevolgen voor organisaties die moeten voldoen aan de voorschriften van de Health Insurance Portability and Accountability Act (HIPAA).
Zijn externe werknemers een risico voor HIPAA-compliance?
Nee, thuiswerkers zelf zijn niet per definitie een risico. IT-teams die er niet op voorbereid zijn deze mensen te voorzien van de middelen die nodig zijn om te voldoen aan de regelgeving inzake gegevensprivacy, vormen echter wel een risico. In een artikel in Healthcare IT News uit 2021 werd erop gewezen dat slechts 2 op de 10 IT-teams zei dat ze voldoende tools en middelen hebben verstrekt om werknemers die langdurig op afstand werken te ondersteunen. Door dit gebrek aan paraatheid lopen organisaties het risico de voorschriften voor de bescherming van gegevens en elektronische medische dossiers (EMR) van HIPAA te schenden.
Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft specifiek gewezen op het HIPAA-nalevingsrisico wanneer werknemers remote access-systemen gebruiken die geen HIPAA-nalevingsfuncties hebben. Bij het beschrijven van de noodzaak om het beveiligingsbeleid regelmatig te herzien en aan te passen om in overeenstemming te zijn met HIPAA, verklaarde HHS: “Dit is met name relevant voor organisaties die externe toegang tot EPHI (Electronic Protected Health Information) toestaan via draagbare apparaten of op externe systemen of hardware die geen eigendom is van of beheerd door de gedekte entiteit.”
HIPAA-overtredingen kosten veel geld
De boetes voor HIPAA-overtredingen kunnen snel oplopen tot wel $ 1,8 miljoen per overtreding. Bovendien wordt geëist om een duur correctief actieplan (CAP) te volgen om toekomstige overtredingen te voorkomen. Sancties en CAP-vereisten zijn vastgesteld door de Health Information Technology for Economic and Clinical Health Act (HITECH) die in maart 2013 van kracht werd. Ze zijn van toepassing op veel meer organisaties dan alleen zorgaanbieders: zorgverzekeringen, zorginstellingen, alle onder de richtlijn vallende entiteiten en bedrijven geassocieerde deelnemingen van onder de richtlijn vallende entiteiten.
Een recent artikel in de National Law Review beschreef bijvoorbeeld hoe Peachstate Health Management, Inc. onderhandelde over hun HIPAA-boete en deze terugbracht tot $25.000. Maar het CAP dat ze moesten implementeren, bracht nog veel hogere kosten met zich mee, omdat Peachstate het volgende allemaal moest doen:
Voer een bedrijfsbrede risicoanalyse uit
Het ontwikkelen en implementeren van een risicobeheerplan
Beleid en procedures ontwikkelen die zijn ontworpen voor naleving van de HIPAA-securityregels
Het verspreiden van het beleid en de procedures
Het ontwikkelen van trainingsmateriaal voor het personeel
Een onafhankelijke toezichthouder aanwijzen
Het indienen van implementatierapporten, niet-nalevingsrapporten en jaarverslagen
Het inhuren van een deskundige onafhankelijke toezichthouder zou de boete van $ 25.000 ver overschrijden, vooral omdat die moest worden goedgekeurd door OCR (het Office for Civil Rights van het Amerikaanse ministerie van Volksgezondheid en Human Services).
Hoe kunnen Splashtop remote access en supportoplossingen u helpen hieraan te voldoen?
Ten eerste, en het belangrijkste, heeft Splashtop geen toegang tot patiëntinformatie of dossiers (EMR, PACS, enz.). Splashtop-oplossingen verwerken de desktopstreaming in een gecodeerde remote access of supportsessie. Daarbij heeft Splashtop nooit toegang tot de data in zo'n sessie.
Geen toegang tot sessiegegevens is een belangrijk onderscheid. Dit betekent dat Splashtop remote access en supportdiensten kan bieden onder de HIPAA Conduit Exception Rule. De conduit-uitzondering is beperkt tot transmissiediensten (digitaal of op papier), inclusief tijdelijke opslag van verzonden gegevens die verband houden met dergelijke transmissie. Dit sluit uit dat services zoals Splashtop zakelijke samenwerkingsovereenkomsten moeten aangaan met onder de richtlijn vallende entiteiten.
Hierdoor kunnen onze klanten Splashtop-oplossingen snel implementeren zonder dat er uitgebreide contracten nodig zijn die aan HIPAA zijn gekoppeld. Bovendien weten ze dat hun patiëntinformatie en dossiers binnen hun systeem blijven en nooit buiten hun organisatie komen.
Aanvullende Splashtop beveiligingsmaatregelen die de veiligheid van uw gegevens garanderen
Splashtop heeft "Beveiligingsbeleid" ontwikkeld als onderdeel van onze Technische en Organisatorische Maatregelen (TOM's). Deze beschrijven de securitymaatregelen en -controles die Splashtop toepast en onderhoudt om de gegevens die we opslaan en verwerken te beschermen en te beveiligen. Ons IT-beveiligingsbeleid wordt regelmatig herzien en aangepast door onze IT-beveiligingsexperts.
Bovendien volgen Splashtop-medewerkers twee keer per jaar een informatiebeveiligingstraining. Als onderdeel van deze training stemmen ze ermee in zich te houden aan ethisch zakelijk gedrag, vertrouwelijkheid en beveiligingsbeleid zoals vermeld in onze "Gedragscode".
Het beveiligingsbeleid van Splashtop wordt ondersteund door een robuuste gegevensbeveiligingsarchitectuur met veel functies. Versleuteling en toegangscontrole zijn de twee belangrijkste voor het handhaven van gegevensbescherming wanneer uw werknemers op afstand werken.
Versleuteling: Splashtop versleutelt alle gebruikersgegevens tijdens de doorgifte en in rust, en alle gebruikerssessies worden veilig tot stand gebracht met TLS. De inhoud die binnen elke sessie wordt geopend, is altijd versleuteld via 256-bits AES.
Toegangscontrole: Splashtop heeft toegangscontroles geïmplementeerd om elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op autoriteitsniveaus, 'need-to-know'-niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem. We volgen op rollen gebaseerde toegang met regelmatige accountreviews, toegangsbewaking en logregistratie.
Splashtop remote access introduceert nog meer beveiligingsfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), single sign-on (SSO) en meer. Voor als u meer wilt weten, hebben we een volledige lijst samengesteld met de HIPAA-ondersteunende beveiligingsfuncties van Splashtop.
Houd uw Organisatie HIPAA-compatibel met Remote Access en Support
Nu werken op afstand niet meer weg te denken is, maken veel organisaties gebruik van remote access en supportoplossingen om EPD's en andere patiëntgegevens veilig te verwerken. Om uw organisatie HIPAA-compliant te houden, moet u gebruik maken van veilige en beveiligde remote access en support.
Splashtop biedt honderden zorgorganisaties veilige en beveiligde remote access en support - in lijn met de HIPAA en andere privacyregelgeving voor consumenten. Neem vandaag nog contact op met een Splashtop-expert om erachter te komen hoe Splashtop uw organisatie in staat kan stellen externe werknemers in overeenstemming te houden met de HIPAA.
