Het handhaven van HIPAA-compliance voor externe medewerkers kan een ontmoedigende taak zijn, maar dat hoeft het niet te zijn. Lees verder om te leren hoe externe toegang en ondersteuning het gemakkelijk kunnen maken.
De meeste zorgorganisaties zijn al jaren vertrouwd met hun HIPAA-complianceprocessen. In de afgelopen twee jaar is het landschap echter aanzienlijk veranderd door de opkomst van thuiswerken, telezorg en toenemende cyberdreigingen voor beschermde gezondheidsinformatie (PHI).
Gartner schatte onlangs dat in het begin van 2022 51 procent van de kenniswerkers zijn werk op afstand zal doen. Deze verschuiving naar werken op afstand heeft belangrijke gevolgen voor organisaties die moeten voldoen aan de voorschriften van de Health Insurance Portability and Accountability Act (HIPAA).
Zijn externe werknemers een risico voor HIPAA-compliance?
Nee, externe werknemers zelf vormen niet per se een risico. IT-teams die niet bereid zijn om externe werknemers uit te rusten met de middelen die nodig zijn om te voldoen aan de regelgeving inzake gegevensprivacy, vormen echter een risico. Een artikel in Healthcare IT News uit 2021 wees erop dat slechts 2 op de 10 IT-teams zeiden dat ze voldoende tools en middelen hebben geboden om werknemers die op afstand werken op lange termijn te ondersteunen. Door dit gebrek aan paraatheid lopen organisaties het risico de beschermingsvoorschriften voor gegevens en elektronische medische dossiers (EMR) van HIPAA te schenden.
Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft zelfs specifiek gewezen op het HIPAA-nalevingsrisico wanneer werknemers systemen voor externe toegang gebruiken die geen HIPAA-nalevingsfuncties hebben. Bij het beschrijven van de noodzaak om het beveiligingsbeleid regelmatig te herzien en aan te passen om in overeenstemming te zijn met HIPAA, verklaarde HHS: "Dit is met name relevant voor organisaties die externe toegang tot EPHI (Electronic Protected Health Information) toestaan via draagbare apparaten of op externe systemen of hardware die geen eigendom zijn van of beheerd worden door de gedekte entiteit."
HIPAA-overtredingen kosten veel geld
De boetes voor HIPAA-overtredingen kunnen snel oplopen tot wel $ 1,8 miljoen per overtreding. Bovendien wordt geëist om een duur correctief actieplan (CAP) te volgen om toekomstige overtredingen te voorkomen. Sancties en CAP-vereisten zijn vastgesteld door de Health Information Technology for Economic and Clinical Health Act (HITECH) die in maart 2013 van kracht werd. Ze zijn van toepassing op veel meer organisaties dan alleen zorgaanbieders: zorgverzekeringen, zorginstellingen, alle onder de richtlijn vallende entiteiten en bedrijven geassocieerde deelnemingen van onder de richtlijn vallende entiteiten.
Een recent artikel in de National Law Review beschreef bijvoorbeeld hoe Peachstate Health Management, Inc. onderhandelde over hun HIPAA-boete en deze terugbracht tot $25.000. Maar het CAP dat ze moesten implementeren, bracht nog veel hogere kosten met zich mee, omdat Peachstate het volgende allemaal moest doen:
Voer een bedrijfsbrede risicoanalyse uit
Het ontwikkelen en implementeren van een risicobeheerplan
Beleid en procedures ontwikkelen die zijn ontworpen voor naleving van de HIPAA-securityregels
Het verspreiden van het beleid en de procedures
Het ontwikkelen van trainingsmateriaal voor het personeel
Een onafhankelijke toezichthouder aanwijzen
Het indienen van implementatierapporten, niet-nalevingsrapporten en jaarverslagen
Het inhuren van een deskundige onafhankelijke toezichthouder zou de boete van $ 25.000 ver overschrijden, vooral omdat die moest worden goedgekeurd door OCR (het Office for Civil Rights van het Amerikaanse ministerie van Volksgezondheid en Human Services).
Hoe kunnen Splashtop remote access en supportoplossingen u helpen hieraan te voldoen?
Ten eerste, en het belangrijkste, heeft Splashtop geen toegang tot patiëntinformatie of dossiers (EMR, PACS, enz.). Splashtop-oplossingen verwerken de desktopstreaming in een gecodeerde remote access of supportsessie. Daarbij heeft Splashtop nooit toegang tot de data in zo'n sessie.
Geen toegang tot sessiegegevens is een belangrijk onderscheid. Dit betekent dat Splashtop remote access en supportdiensten kan bieden onder de HIPAA Conduit Exception Rule. De conduit-uitzondering is beperkt tot transmissiediensten (digitaal of op papier), inclusief tijdelijke opslag van verzonden gegevens die verband houden met dergelijke transmissie. Dit sluit uit dat services zoals Splashtop zakelijke samenwerkingsovereenkomsten moeten aangaan met onder de richtlijn vallende entiteiten.
Hierdoor kunnen onze klanten Splashtop-oplossingen snel implementeren zonder dat er uitgebreide contracten nodig zijn die aan HIPAA zijn gekoppeld. Bovendien weten ze dat hun patiëntinformatie en dossiers binnen hun systeem blijven en nooit buiten hun organisatie komen.
Aanvullende Splashtop beveiligingsmaatregelen die de veiligheid van uw gegevens garanderen
Splashtop heeft "Beveiligingsbeleid" ontwikkeld als een subset van onze Technische en Organisatorische Maatregelen (TOM's). Deze beschrijven de beveiligingsmaatregelen en -controles die Splashtop heeft geïmplementeerd en onderhoudt om de gegevens die we opslaan en verwerken te beschermen en te beveiligen. Ons IT-beveiligingsbeleid wordt regelmatig herzien en aangepast door onze IT-beveiligingsexperts.
Bovendien volgen de werknemers van Splashtop twee keer per jaar een informatiebeveiligingstraining. Als onderdeel van deze training stemmen ze ermee in om te voldoen aan het ethische zakelijke gedrags-, vertrouwelijkheids- en beveiligingsbeleid zoals vermeld in onze "Gedragscode".
Het beveiligingsbeleid van Splashtop wordt ondersteund door een robuuste architectuur voor gegevensbeveiliging met veel functies. Versleuteling en toegangscontrole zijn de twee belangrijkste voor het handhaven van gegevensbescherming wanneer uw werknemers op afstand werken.
Versleuteling: Splashtop versleutelt alle gebruikersgegevens tijdens de doorgifte en in rust, en alle gebruikerssessies worden veilig tot stand gebracht met TLS. De inhoud die binnen elke sessie wordt geopend, is altijd versleuteld via 256-bits AES.
Toegangscontrole: Splashtop heeft toegangscontroles geïmplementeerd om elektronische toegang tot gegevens en systemen te beheren. Onze toegangscontroles zijn gebaseerd op autoriteitsniveaus, 'need-to-know'-niveaus en de scheiding van taken voor degenen die toegang hebben tot het systeem. We volgen op rollen gebaseerde toegang met regelmatige accountreviews, toegangsbewaking en logregistratie.
Splashtop remote access introduceert nog meer beveiligingsfuncties, zoals apparaatverificatie, tweefactorauthenticatie (2FA), single sign-on (SSO) en meer. Voor als u meer wilt weten, hebben we een volledige lijst samengesteld met de HIPAA-ondersteunende beveiligingsfuncties van Splashtop.
Houd uw Organisatie HIPAA-compatibel met Remote Access en Support
Nu werken op afstand niet meer weg te denken is, maken veel organisaties gebruik van oplossingen voor externe toegang en ondersteuning om EPD's en andere patiëntgegevens veilig te verwerken. Om ervoor te zorgen dat uw organisatie HIPAA-compatibel blijft, moet u veilige toegang en ondersteuning op afstand invoeren.
Splashtop biedt honderden zorgorganisaties veilige en beveiligde remote access en support - in lijn met de HIPAA en andere privacyregelgeving voor consumenten. Neem vandaag nog contact op met een Splashtop-expert om erachter te komen hoe Splashtop uw organisatie in staat kan stellen externe werknemers in overeenstemming te houden met de HIPAA.
