Das HIPAA wurde 1996 in Kraft gesetzt, um Datenschutz- und Sicherheitsbestimmungen für den Schutz medizinischer Informationen zu erlassen. Bis 2017 hatten 86 % der niedergelassenen Ärzte ihre Patienten-Gesundheitsdaten digitalisiert. Um Standards für ihre Vertraulichkeit, Integrität und Sicherheit zu schaffen, hat das U.S. Department of Health and Human Services (HHS) die HIPAA-Sicherheitsregel herausgegeben. Die Einhaltung dieser Regel gilt weithin als Best Practice für die Sicherung elektronisch geschützter Gesundheitsinformationen (ePHI).

Was ist die HIPAA-Sicherheitsregel?

Die HIPAA-Sicherheitsregel legt nationale Standards zum Schutz der elektronischen persönlichen Gesundheitsinformationen von Einzelpersonen fest, die von einer betroffenen Einheit erstellt, empfangen, verwendet oder verwaltet werden. Die Sicherheitsregel erfordert angemessene administrative, physische und technische Schutzmaßnahmen, um die Vertraulichkeit, Integrität und Sicherheit von ePHI zu gewährleisten.

Was passiert, wenn Ihre Organisation nicht den HIPAA-Bestimmungen entspricht?

Die Kosten für die Nicht-Compliance können sich auf mehrere Millionen USD belaufen. Die Nicht-Compliance mit HIPAA-Sicherheitsanforderungen kann jedoch auch zu Verstößen bei Gesundheitsdaten führen, die über den finanziellen Verlust hinausgehen.

Wie kann SailPoint Sie bei HIPAA-Compliance unterstützen?

Unsere Open-Cloud-Identity Governance-Plattform erleichtert Compliance, indem Sie den Zugriff aller Benutzer, auf alle Ihre Anwendungen und Daten anzeigt und kontrolliert.

So funktioniert es

An wen richtet sich die HIPAA-Sicherheitsregel?

Die HIPAA-Sicherheitsregel gilt sowohl für Einzelpersonen als auch für Organisationen. Diese werden oft als HIPAA-betroffene Einheiten bezeichnet. Zu den von HIPAA betroffenen Einheiten gehören Krankenversicherungsgesellschaften, HMOs, von Arbeitgebern gesponserte Gesundheitspläne, staatliche Gesundheitsprogramme, Clearingstellen und Gesundheitsdienstleister.

HIPAA erstreckt sich sogar auf Geschäftspartner, die mit den betroffenen Einheiten zusammenarbeiten. Beispiele für Geschäftspartner sind Buchhalter, Datenanalysten, Berater, Inkassounternehmen und mehr.

Was sind die wichtigsten HIPAA-Bereiche, die von Identity Governance adressiert werden?

Schutz der ePHI-Integrität

Identifizierung und Analyse potenzieller Risiken für ePHI und Umsetzung von Governance-, Risiko- und Compliance-Richtlinien zur Stärkung von Schwachstellen 

Informationsberechtigungsverwaltung/-zugriffskontrolle

Wissen, wer Zugriff auf welche Anwendungen und Daten hat und wie dieser Zugriff genutzt wird.

Aktivitätsprotokolle und Auditkontrollen

Reduzieren Sie die Compliance-Kosten durch die automatische Generierung von Prüfpfaden und den Zugriff auf Berichte zu allen wichtigen Anwendungen und Daten.

Bewertung

Regelmäßige Bewertung der Sicherheitsrichtlinien und -verfahren.

Wie Identitätsverwaltung zur Sicherstellung der HIPAA-Konformität beiträgt

  • Anwendung von künstlicher Intelligenz/prädiktiver Analytik zur Überwachung und Identifizierung von ungewöhnlichem Zugriffsverhalten
  • Konsequente Durchsetzung von Zugriffsrichtlinien und Anwendung von Kontrollen auf alle Anwendungen, die ePHI enthalten
  • Lokalisierung und Sicherung von strukturierten und unstrukturierten ePHI unabhängig vom Speicherort
  • Automatisieren regelmäßiger Überprüfungen der Benutzerzugriffsrechte

Schritte zur Implementierung der Datenverwaltung

Eine starke Governance-Richtlinie für Ihre Gesundheitsdaten ist äußerst wichtig. Die Gesundheitsbranche behandelt eine immense Menge an persönlichen Gesundheitsinformationen, und ohne eine Möglichkeit zu bestimmen, wer Zugriff hat, wie er Zugriff erhalten hat und welche verschiedenen Risiken dies birgt, ist es schwer, die Daten zu verwalten und zu schützen.

Eine Datenverwaltungslösung hilft Gesundheitsorganisationen dabei, Daten sicher auszutauschen, Benutzerberechtigungen zu erteilen und Gesundheitsdaten während des gesamten Patientenlebenszyklus zu verwalten.

Befolgen Sie diese Schritte, um eine Datenverwaltungsrichtlinie zu implementieren, die für Ihre Gesundheitsorganisation funktioniert.

1. Identifizieren Sie alle Ihre Daten

Der erste Schritt zu einem Datenverwaltungssystem besteht darin, eine Überprüfung sensibler Daten durchzuführen, insbesondere von PHI und ePHI. Sie möchten eine Datenhierarchie erstellen, um die Sensitivität der Daten, ihre aktuellen Berechtigungsebenen und das Risiko zu verstehen, das entstehen würde, wenn sie kompromittiert würden.

Es ist besonders wichtig, Berechtigungsebenen zu verstehen, um einen Ansatz der minimalen Berechtigung bei der Datenverwaltung zu erstellen. Dies ist die Idee, den Benutzerzugriff nur auf das zu beschränken, was für ihre Aufgaben erforderlich ist. Dies ist besonders wichtig, wenn es um hochsensible Daten geht.

2. Daten aufräumen

Ein weiterer Schritt im Datenverwaltungsprozess ist das Aufräumen und die Pflege von Daten. Veraltete Daten können teuer sein und ein potenzielles Sicherheitsrisiko darstellen. Wenn es keine Transparenz darüber gibt, wo sich die veralteten Daten befinden und wie sie verwendet werden, eröffnet dies Organisationen das Risiko einer Datenverletzung. Abgesehen davon könnte veraltete Daten, wenn sie im Patientenlebenszyklusmanagement oder der Patientendatenspeicherung verwendet werden, ein enormes Risiko für ihr Wohlergehen darstellen.

3. Einhaltung staatlicher Standards

Inkonsistenzen in der Handhabung Ihrer Daten können zu Verstößen gegen Gesetze wie HIPAA führen. Eine schlechte Organisation und Benutzerverwaltung begrenzt die Möglichkeit, die Gesundheitsinformationen der Patienten zu schützen.

Vergewissern Sie sich, dass Sie mit dem HIPPA konform sind.

Erfahren Sie, wie SailPoint helfen kann.

Fangen Sie noch heute an