Voor de meeste organisaties in de gezondheidszorg is de bescherming van de privacy van patiënten het belangrijkste aspect van HIPAA, en het moeilijkste. HIPAA gebruikt de term Protected Health Information (PHI) om te verwijzen naar beschermde gegevens, maar het concept lijkt sterk op de term Personally Identifiable Information (PII), die wordt gebruikt in andere nalevingsregimes. Inzicht in de overlapping tussen PII en PHI kan organisaties helpen hun compliance-inspanningen voor verschillende regimes op elkaar af te stemmen, waardoor de risico’s, kosten en complexiteit van het veilig bewaren van gegevens worden verminderd.
PHI vs. PII:
Zoals de naam al aangeeft, is persoonlijk identificeerbare informatie elk gegeven waarmee een persoon kan worden geïdentificeerd. Bepaalde gegevens, zoals volledige naam, geboortedatum, adres en biometrische gegevens, worden altijd als PII beschouwd. Andere gegevens, zoals voornaam, voorletter en achternaam of zelfs lengte of gewicht, gelden alleen als PII in bepaalde omstandigheden, of wanneer ze met andere informatie worden gecombineerd.
Bijv. een dossier dat verwijst naar “Mr. Smith in New York” bevat waarschijnlijk niet genoeg informatie om de identiteit van de betrokkene prijs te geven. Als de patiënt echter een minder gebruikelijke naam had en in een kleine stad woonde, zou dit waarschijnlijk tellen als PII, omdat het gemakkelijk zou zijn om af te leiden wie het onderwerp was.
Hoewel het niet expliciet gaat over persoonlijk identificeerbare informatie, regelt de HIPAA dit soort situaties onder de term Protected Health Information. PHI omvat alles wat in een medische context wordt gebruikt om patiënten te identificeren, zoals:
- Naam
- Adres
- Geboortedatum
- Creditcardnummer
- Bestuurderslicentie
- Medische dossiers
PHI is onderworpen aan strenge vertrouwelijkheids- en openbaarmakingsvereisten die niet van toepassing zijn op de meeste andere industrieën in de Verenigde Staten. Met andere woorden, de bescherming van PHI is altijd wettelijk verplicht, maar de bescherming van PII is slechts in sommige gevallen verplicht.
Ontwikkeling van een uniforme compliance-aanpak
Het is ongebruikelijk dat de Verenigde Staten niet beschikken over één norm of overheidsinstantie voor privacy- en gegevensbescherming. In plaats daarvan hebben Amerikaanse bedrijven te maken met sectorspecifieke wetten, samen met stedelijke, staats- en internationale nalevingsvoorschriften.
Hoewel dit veel industrieën in staat stelt om consumentengegevens op grotere schaal te gebruiken, creëert het ook ernstige nalevingsrisico’s. Omdat Californië bijvoorbeeld strengere PII-wetten heeft dan andere staten, zou een bedrijf dat legaal gebruikers uit Nevada volgt wanneer ze zijn website bezoeken, de compliance kunnen schenden als een Californiër naar binnen surft.
Hoewel de PII-vereisten streng zijn, zal een HIPAA-compliancechecklist niet noodzakelijk PCI, EU-wetten inzake gegevensbescherming en andere voorschriften behandelen. In plaats van voor elk regime afzonderlijke programma’s te ontwikkelen, moeten organisaties over de hele linie best practices voor de beveiliging van PII implementeren en vervolgens itereren om te voldoen aan de resterende regimespecifieke regels.
Auditing PII: Developing Compliance-Ready Security
Een goede beveiliging begint met het identificeren van PII in uw organisatie, of deze zich nu bevindt in medische databases, e-mail, back-ups of de IT-omgeving van een partner. PII moet vervolgens worden gecategoriseerd op basis van de schade die een inbreuk zou kunnen veroorzaken – een meting die bekend staat als het vertrouwelijkheidsimpactniveau. Het NIST beveelt aan de volgende factoren in overweging te nemen:
- Identificeerbaarheid: Is het gemakkelijk om de persoon die de PII gebruikt uniek te identificeren?
- Hoeveelheid PII: Hoeveel identiteiten kunnen door een inbreuk in gevaar komen? De manier waarop uw gegevens zijn georganiseerd, is een factor. Een kliniek loopt bijvoorbeeld waarschijnlijk meer PII risico als zij een database deelt met andere klinieken dan wanneer zij een aparte database onderhoudt.
- Gevoeligheid van gegevensvelden: Hoeveel schade kunnen de gegevens aanrichten als ze worden gekraakt? Een telefoonnummer is minder gevoelig dan bijvoorbeeld een kredietkaart- of een socialezekerheidsnummer. Maar als een inbreuk op het telefoonnummer hoogstwaarschijnlijk ook naam, SSN of andere persoonlijke gegevens zou compromitteren, moet dat telefoonnummer als gevoelig worden beschouwd.
- Context van het gebruik: Heeft de manier waarop de informatie wordt gebruikt invloed op de impact ervan? Bijvoorbeeld, stel dat uw ziekenhuis een opt-in nieuwsbrief heeft voor patiënten, artsen, organisaties en andere leden van de gemeenschap. Een lijst met nieuwsbriefabonnees zou de PII van sommige patiënten bevatten, maar die informatie zou minder gevoelig zijn dan dezelfde PII in medische dossiers van patiënten, omdat de status van de patiënt er niet noodzakelijkerwijs uit zou blijken.
- Verplichtingen tot bescherming van de vertrouwelijkheid: Welke informatie moet u beschermen volgens HIPAA, HITECH, PCI en andere regelingen? Dit is uiteraard een belangrijke overweging voor organisaties in de gezondheidszorg.
- Toegang tot en locatie van PII: De persoonlijk identificeerbare informatie die onder de HIPAA valt, wordt vaak opgeslagen, getransporteerd en verwerkt door IT-diensten van derden, is off-site toegankelijk voor medische professionals die geen werknemer van de organisatie zijn en wordt verwerkt door een verscheidenheid aan business associates. Dit brengt risico’s met zich mee die er niet zouden zijn als de PII bijvoorbeeld in een kluis zou zijn opgeborgen en alleen toegankelijk zou zijn voor één arts.
Implementing PII Security Best Practices
Alle gegevens die u opslaat, zijn potentieel kwetsbaar. Minder gegevens verzamelen en onnodige PII uit uw bestanden verwijderen is de eenvoudigste manier om die kwetsbaarheid te verminderen. Waar mogelijk moet u gegevens ook anonimiseren. Als dit goed wordt gedaan, kunnen maatregelen zoals het anonimiseren van feedback van patiënten en het verwijderen of tokeniseren van PII die gegevens volledig buiten het toepassingsgebied van HIPAA brengen.
Toegangsbeheer is een andere waardevolle best practice voor PII-beveiliging. Gevoelige informatie mag alleen toegankelijk zijn voor mensen die deze nodig hebben om hun werk te doen. Baliemedewerkers die zich niet bezighouden met de facturering, hebben bijvoorbeeld geen toegang nodig tot volledige medische dossiers.
In elke compliance-regeling moet alle gevoelige informatie standaard worden gecodeerd. E-mail die voldoet aan HIPAA en versleutelde cloudopslag voorkomen dat hackers PII kunnen ontcijferen, zelfs als ze deze onderscheppen.
Uitdrukkelijk beleid en regelmatige trainingen kunnen ervoor zorgen dat uw werknemers veilige e-mail en opslag gebruiken, maar patiënten zover krijgen dat ze e-mailversleuteling gebruiken, is lastiger. Velen zijn huiverig voor het ongemak van zorgportalen, wat leidt tot een zeer lage adoptiegraad. Virtru Pro stelt patiënten in staat hun eigen e-mailaccounts te gebruiken en berichten en bijlagen met één klik te versleutelen, waardoor het ongemak wordt weggenomen dat zinvol gebruik in de weg staat.
Bey Beyond Personally Identifiably Information – HIPAA Business Associates
HIPAA gaat verder dan PII-beveiligingsbest practices in zijn vereisten voor partnerorganisaties. Onder de HIPAA-privacyregel hebben zorgverleners aanzienlijke wettelijke aansprakelijkheid voor inbreuken die worden veroorzaakt door business associates.
Clouddiensten, aannemers, verwerkers van medische claims en de meeste andere organisaties die PHI gebruiken, opslaan of verwerken, gelden allemaal als business associates. U moet met elk van deze organisaties overeenkomsten inzake businesspartners (BAA’s) ondertekenen, waarin het volgende wordt beschreven:
- Geschikt gebruik van PHI
- Beschermingsmaatregelen tegen inbreuken
- Stappen om inbreuken en schendingen te verhelpen
- Procedures voor kennisgeving van inbreuken
Uw organisatie moet businesspartners zorgvuldig evalueren om er zeker van te zijn dat ze daadwerkelijk in staat zijn om hun deel van de overeenkomst na te komen. Organisaties moeten een duidelijk gedocumenteerd beleid en praktijken voor gegevensbeveiliging hebben voordat ze een BAA ondertekenen, en moeten vrijwillig regelmatige audits ondergaan om naleving te garanderen.
Bey Beyond Personally Identifiably Information – HIPAA Notices and Notifications
HIPAA heeft ook strenge eisen voor hoe gezondheidsinformatie kan worden gebruikt en bekendgemaakt, en vereist dat een kennisgeving van privacypraktijken aan de patiënt wordt verstrekt. De kennisgeving van privacy moet een reeks informatie bevatten, waaronder:
- Hoe de organisatie de informatie van de patiënt kan gebruiken en openbaar kan maken
- De rechten van de patiënt
- De plicht van de organisatie om de informatie te beschermen, en andere wettelijke verplichtingen
- Wie de patiënt moet contacteren voor meer informatie
HIPAA heeft ook specifieke regels voor kennisgeving van inbreuken. Volgens de best practices voor HIPAA-naleving moeten organisaties iedereen van wie de gegevens zijn gecompromitteerd binnen 60 dagen na de inbreuk op de hoogte stellen. Het is van cruciaal belang dat uw partners encryptie gebruiken. Gecodeerde gegevens hoeven niet te worden gemeld, tenzij ook de sleutel bekend is. In veel gevallen kan dit het verschil uitmaken tussen een nipte inbreuk en een kostbare melding van een inbreuk.
Het volgen van best practices voor de beveiliging van PII helpt organisaties om het zekere voor het onzekere te nemen. HIPAA is geen verzameling geheimzinnige en willekeurige regels om u het leven zuur te maken – het is een nuttig kader om een hoge standaard van zorg en vertrouwelijkheid voor uw patiënten te waarborgen. Een PII-best practice-benadering vereenvoudigt de naleving door één set regels te maken die in uw hele organisatie kan worden gebruikt. Dat maakt het gemakkelijker om patiënten veilig te houden en ervoor te zorgen dat gevoelige informatie niet door de mazen van het net valt.
Lees hoe Virtru HIPAA-naleving in de cloud beschermt of neem contact met ons op om een demo op te zetten.