Datenschutz & Sicherheit im Gesundheitswesen. Wer muss HIPAA einhalten?

Who needs to comply with HIPAA

 

Der Health Insurance Portability and Accountability Act (HIPAA) ist eines der Schlüsseldokumente für jeden im Gesundheitswesen tätigen CISOVor über 20 Jahren geschrieben, lange bevor Smartphones, WiFI oder Google erfunden wurden, regelt es immer noch die Sicherheit von Gesundheitsinformationen in der BrancheErfahren Sie, wie es heute angewendet wird, um eine sichere medizinische Versorgung zu gewährleisten

Warum ist Datensicherheit im Gesundheitswesen wichtig?

NameAdresseAusweiseRezepteFotos

Das ist nur ein Bruchteil der Daten, die Organisationen im Gesundheitswesen über ihre Kunden hatten, haben und haben werdenDer unbefugte Zugriff auf solche Informationen kann schwerwiegende Folgen für die offengelegte Person habenSie können Identitätsdiebstahl, Betrug, Gelddiebstahl sowie moralischen Schaden erleidenDie Untersuchung ergab, dass Gesundheitsakten von Krankenhausdatenpannen auf einem Schwarzmarkt jeweils Hunderte von Dollar kosten können

Für eine Gesundheitsorganisation steht viel auf dem Spiel, wenn es um die Sicherheit von Patientendaten gehtSicherheitsverletzungen im Gesundheitswesen führen zu Ausgaben für unabhängige forensische Experten, interne Ermittlungen, Kommunikation mit Mitarbeitern und Kunden, Vergleiche, Bußgelder und letztendlich zu Reputationsschäden und Verlust des Kundenvertrauens, die den langfristigen Gewinn des Unternehmens beeinträchtigen

Deshalb ist eine CISO-Rolle im Gesundheitswesen von größter BedeutungIhre Aufgabe ist es, ein System zu entwickeln, das Risiken angemessen mindert und vor erwarteten Bedrohungen schützt 

Was ist Datensicherheit für PHI?

HIPAA gewährleistet die Sicherheit von Gesundheitsdaten (PHI) und regelt, wie sie von einer HIPAA-betroffenen Einheit (einem Gesundheitsdienstleister, einem Gesundheitsplan oder Krankenversicherer, einer Gesundheitsverrechnungsstelle) verwendet, gepflegt, gespeichert oder übermittelt werden, oder a Geschäftspartner eines solchen Unternehmens

PHI steht für Protected Health Information und deckt gemäß HIPAA alle Informationen ab, die sich auf den Gesundheitszustand einer Person beziehenEs umfasst Krankenakten, Krankengeschichten, Labortestergebnisse und ArztrechnungenPHI sind unabhängig von ihrer Form geschützt, einschließlich physischer Aufzeichnungen, elektronischer Aufzeichnungen oder gesprochener InformationenSobald Gesundheitsinformationen individuelle Identifikatoren enthalten, werden sie zu PHI und sind unter dem HIPAA geschützt
Es gibt 18 PHI-Kennungen:
  • Name
  • Adresse (einschließlich Unterteilungen, die kleiner als ein Staat sind, wie Straßenadresse, Stadt, Landkreis oder Postleitzahl)
  • Alle Daten (außer Jahren), die sich direkt auf eine Person beziehenDarin enthalten sind Geburtstag, Aufnahme- oder Entlassungsdatum, Sterbedatum oder das genaue Alter
  • Telefonnummer
  • Faxnummer
  • E-Mail-Adresse
  • Sozialversicherungsnummer
  • Krankenaktennummer
  • Nummer des Krankenversicherungsempfängers
  • Kontonummer
  • Zertifikats-/Lizenznummer
  • Fahrzeugkennungen, Seriennummern oder Kfz-Kennzeichen
  • Gerätekennungen oder Seriennummern
  • Web-URLs
  • IP-Adresse
  • Biometrische Identifikatoren wie Fingerabdrücke oder Stimmabdrücke
  • Vollgesichtsfotos
  • Alle anderen eindeutigen Identifikationsnummern, Merkmale oder Codes

Unter HIPAA fallende Unternehmen und ihre Geschäftspartner müssen die Vertraulichkeits-, Integritäts- und Verfügbarkeitsanforderungen für elektronische PHI (ePHI) erfüllen.Die Vertraulichkeit gewährleistet, dass ePHI ohne die ordnungsgemäße Genehmigung des Patienten nicht illegal offengelegt werdenIntegrität stellt sicher, dass ePHI, die von einer Gesundheitsorganisation übertragen oder verwaltet werden, nur von geeigneten und autorisierten Parteien abgerufen werden könnenDie Verfügbarkeit ermöglicht Patienten den Zugriff auf ihre ePHI gemäß den HIPAA-Sicherheitsstandards

Eine Linie zwischen PHI und nicht PHI

Es wird oft angenommen, dass alle Gesundheitsinformationen gemäß HIPAA als PHI gelten, aber es gibt einige Ausnahmen

HIPAA gilt nur für die betroffenen Unternehmen und ihre GeschäftspartnerDies bedeutet, dass Gesundheitsinformationen nicht als PHI gelten, wenn sie nicht an solche Einrichtungen weitergegeben werden

Nehmen wir als Beispiel Gesundheits-Tracker (entweder tragbare oder mobile Apps), die Gesundheitsinformationen wie Herzfrequenz oder Blutdruck aufzeichnenSofern der Gerätehersteller oder App-Entwickler diese Daten nicht an eine von HIPAA abgedeckte Stelle weitergibt, gelten sie gemäß HIPAA nicht als PHI

HIPAA gilt nicht für Bildungs- oder BeschäftigungsunterlagenEin Krankenhaus kann Daten über seine Mitarbeiter speichern, die einige Gesundheitsinformationen wie Allergien oder Blutgruppe enthalten können, aber sie werden nicht als PHI klassifiziert

Wenn PHI von allen Identifikatoren befreit wird, die sie mit einer Person in Verbindung bringen können, wird sie zu anonymisierten PHI und die HIPAA-Regeln gelten nicht mehr

Was ist eine Datenschutzverletzung im Gesundheitswesen?

Datenschutzverletzung im Gesundheitswesen bedeutet, dass eine oder mehrere Aufzeichnungen gefährdet sind, offengelegt zu werden oder bekanntermaßen unbefugt darauf zugegriffen oder offengelegt wirdEin möglicher Zugriff auf die Daten gilt ebenfalls als Datenschutzverletzung

Große Datensicherheitsverletzungen passieren jedes Jahr und zielen sogar auf die größten Gesundheitsunternehmen abEin einziger Angriff auf die American Medical Collection Agency betraf 25 Millionen Patienten

Untersuchungen zeigen, dass Ransomware- und SQL-Injection-Angriffe die häufigste Ursache für eine Datenschutzverletzung im Gesundheitswesen sindSie treten häufig auf, wenn gestresste und/oder ahnungslose Mitarbeiter bösartige E-Mails, Websites oder Software nicht erkennen

Eine weitere häufige Herausforderung ist die Einhaltung der BenutzerauthentifizierungsrichtlinieAngehörige der Gesundheitsberufe verwenden mehrere gemeinsam genutzte Arbeitsstationen, was häufig zu einer unbeabsichtigten Offenlegung von Informationen führen kannDie Datensicherheit im Gesundheitswesen ist nicht ihre oberste Priorität und sollte es auch nicht seinEs ist die Aufgabe von CISO, eine Zugriffsverwaltungslösung bereitzustellen, die sowohl sicher als auch einfach für die Endbenutzer ist

Lösung für sicheres Gesundheitswesen

Hideez hat eine erstklassige Authentifizierungslösung speziell für die Gesundheitsbranche entwickeltEs gewährleistet die Sicherheit von Patientendaten in einer potenziell riskanten Umgebung mit gemeinsam genutzten Computern, auf die mehrere gleichzeitige Benutzer zugreifen

Eine in eine Hideez Enterprise Solution integrierte Passwortmanager-Funktion schützt die Benutzer vor Phishing-Angriffen, indem Passwörter nur für vertrauenswürdige Domains bereitgestellt werdenDer Schlüssel bietet außerdem eine zusätzliche Personalisierungsebene und fortschrittliche drahtlose Annäherungskontrollen, die den Datenschutz im Gesundheitswesen leichter erreichbar machenUnbeaufsichtigte Computer sind eine der schwierigsten Herausforderungen, denen sich CISOs im Rahmen von HIPAA in der Gesundheitsbranche stellen müssenEs läuft auf einen menschlichen Faktor hinaus, und eine einfache Auszeit reicht nicht aus

Mit Näherungsschaltern haben Sie eine elegante Möglichkeit, den Computer zu sperren, wenn er nicht mehr verwendet wirdEin medizinisches Fachpersonal muss sich nur drei bis vier Schritte vom Computer entfernen, damit dieser automatisch gesperrt wirdEntlasten Sie medizinisches Fachpersonal von der kognitiven Last der DatensicherheitVerwenden Sie einfach die Hideez-Lösung, um Ihre Kollegen von Passwörtern zu befreien und Zeit zu sparen

Related Posts