HIPAA und Risikomanagement für Drittparteien
Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) wurde eingeführt, um sicherzustellen, dass sensible geschützte Gesundheitsinformationen (PHI) nicht ohne die Zustimmung des Patienten weitergegeben werden. Der HIPAA umfasst eine Sicherheitsregel, die Schutzmaßnahmen für Organisationen mit elektronisch gespeicherten geschützten Gesundheitsinformationen (ePHI) festlegt, sowie eine Datenschutzregel, die Grenzen und Bedingungen für die Verwendung und Weitergabe solcher Informationen ohne die Zustimmung des Patienten festlegt.
Obwohl die HIPAA-Bestimmungen am stärksten auf "abgedeckte Einrichtungen" wie Gesundheitspläne, Clearingstellen für das Gesundheitswesen und einige Gesundheitsdienstleister ausgerichtet sind, gelten sie auch für "Geschäftspartner" - Drittanbieter, die Zugang zu PHI haben. Dadurch wird die Zahl der Organisationen, die die HIPAA-Anforderungen erfüllen müssen, und die Zahl der Dritten, die von den Anbietern bewertet werden müssen, drastisch erhöht.
Organisationen müssen sich der Risiken für kritische Informationen sowohl intern als auch bei Dritten, die Zugang zu ePHI haben, bewusst sein. Der HIPAA schreibt dies vor und dehnt den Begriff "Organisation" auf betroffene Unternehmen und Geschäftspartner aus. Abschnitt 164.308(a)(1)(ii)(A) besagt: "RISIKOANALYSE (erforderlich). Führen Sie eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten durch, die sich im Besitz der [Organisation] befinden."
Die Bereitschaft eines Anbieters, die Sicherheitserwartungen der betroffenen Einrichtung zu erfüllen, wird durch eine Risikobewertung des Anbieters ermittelt.
Relevante Anforderungen
- Die HIPAA Privacy Rule definiert geschützte Gesundheitsinformationen (Protected Health Information, PHI) als "alle Informationen, die sich im Besitz einer betroffenen Einrichtung befinden und die den Gesundheitszustand, die Bereitstellung von Gesundheitsleistungen oder die Bezahlung von Gesundheitsleistungen betreffen und mit einer Person in Verbindung gebracht werden können".
- Die HIPAA Security Rule befasst sich speziell mit dem Schutz elektronisch gespeicherter PHI (ePHI).
Erfüllung der TPRM-Anforderungen der HIPAA-Sicherheitsregel
Hier erfahren Sie, wie Prevalent Ihnen helfen kann, die Anforderungen des HIPAA-Risikomanagements für Dritte zu erfüllen:
HIPAA-Sicherheitsvorschrift 45 CFR Teile 160, 162 und 164 - Krankenversicherungsreform: Sicherheitsstandards; Endgültige Vorschrift
Wie wir helfen
Prozess des Sicherheitsmanagements
Administrative Sicherheitsvorkehrungen
(§ 164.308(a)(1))
(A) Risikoanalyse (ERFORDERLICH)
Eine betroffene Einrichtung oder ein Geschäftspartner muss eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten durchführen, die sich im Besitz der betroffenen Einrichtung oder des Geschäftspartners befinden.
Sobald die Bewertungen gesammelt und analysiert sind, bietet die Prevalent TPRM-Plattform integrierte Empfehlungen und Anleitungen zur Behebung. Mit klaren Berichten und Abhilfeempfehlungen stellt die Plattform sicher, dass Risiken identifiziert, analysiert und an die richtigen Kanäle weitergeleitet werden, damit Ihr Unternehmen ein Risikoniveau erreicht, das seiner Risikobereitschaft entspricht.
Prozess des Sicherheitsmanagements
Administrative Sicherheitsvorkehrungen
(§ 164.308(a)(1))
(D) Überprüfung der Aktivitäten des Informationssystems (ERFORDERLICH)
Einführung von Verfahren zur regelmäßigen Überprüfung von Aufzeichnungen über die Aktivitäten des Informationssystems, wie z. B. Audit-Protokolle, Zugriffsberichte und Berichte zur Verfolgung von Sicherheitsvorfällen.
Prevalent bietet einen kontinuierlichen Überblick über Risiken durch die Überwachung von Internet- und Dark Web-Bedrohungen sowie durch die Analyse von Geschäfts- und Finanzrisiken, um Entwicklungen aufzuzeigen, die sich auf Risiken auswirken könnten.
Die Prevalent-Plattform ermöglicht außerdem umfassende Überprüfungen mit einem speziellen und benutzerdefinierten Fragebogen zur Vertragsbewertung sowie die kontinuierliche Verfolgung von Leistungskennzahlen über zentralisierte Dashboards der Anbieter.
Prevalent unterhält ein vollständiges Repository aller während des Diligence-Prozesses gesammelten und geprüften Unterlagen mit spezifischen Berichten über die Einhaltung von Vorschriften und Sicherheitsrahmen.
Business Associate-Verträge und andere Vereinbarungen
(§ 164.308(b)(1))
Eine betroffene Einrichtung kann einem Geschäftspartner nur dann gestatten, im Namen der betroffenen Einrichtung elektronisch geschützte Gesundheitsdaten zu erstellen, zu empfangen, aufzubewahren oder zu übermitteln, wenn die betroffene Einrichtung in Übereinstimmung mit § 164.314(a) zufriedenstellende Zusicherungen erhält, dass der Geschäftspartner die Daten angemessen schützen wird. Eine betroffene Einrichtung ist nicht verpflichtet, solche zufriedenstellenden Zusicherungen von einem Geschäftspartner zu erhalten, der ein Unterauftragnehmer ist.
Die Bewertungsfunktionen von Prevalent vereinfachen die Einhaltung von Vorschriften und verringern das Risiko durch die automatisierte Erfassung, Analyse und Behebung von Anbieterantworten unter Verwendung von branchenüblichen oder benutzerdefinierten Umfragen - einschließlich Umfragen zur Messung des Informationsschutzes.
Obwohl dies nicht erforderlich ist, bietet Prevalent einen Einblick in 4. und N. Parteien (z. B. Subunternehmer) mit einer detaillierten Beziehungszuordnung, die Prüfpfade für den Informationsfluss innerhalb eines Lieferanten-Ökosystems liefert.
Prozess des Sicherheitsmanagements, administrative Sicherheitsvorkehrungen
§ 164.308(a)(6)
Spezifikation der Umsetzung: Antwort und Berichterstattung (ERFORDERLICH)
Identifizieren von und Reagieren auf vermutete oder bekannte Sicherheitsvorfälle; Abschwächen der schädlichen Auswirkungen von Sicherheitsvorfällen, die der betroffenen Einrichtung oder dem Geschäftspartner bekannt sind, soweit dies praktikabel ist; und Dokumentieren von Sicherheitsvorfällen und deren Ergebnissen.
Prevalent Vendor Threat Monitor (VTM) überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und -Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen und bietet so einen Echtzeit-Einblick in die Risiken und ermöglicht es Risikomanagement- und Sicherheitsteams, sofort zu handeln.
Der Prevalent Third-Party Incident Response Service ermöglicht es Unternehmen, die Auswirkungen von Sicherheitsverletzungen durch Dritte schnell zu erkennen und abzumildern, indem sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.
Prozess des Sicherheitsmanagements, administrative Sicherheitsvorkehrungen
§ 164.308(a)(8)
Standard: Bewertung. Regelmäßige technische und nicht-technische Bewertung auf der Grundlage der im Rahmen dieser Vorschrift eingeführten Standards und später als Reaktion auf umweltbedingte oder betriebliche Veränderungen, die sich auf die Sicherheit elektronischer geschützter Gesundheitsdaten auswirken, um festzustellen, inwieweit die Sicherheitsrichtlinien und -verfahren einer betroffenen Einrichtung oder eines Geschäftspartners die Anforderungen dieses Unterabschnitts erfüllen.
Prevalent Vendor Threat Monitor warnt Unternehmen vor nachteiligen Veränderungen in den Geschäften von Drittanbietern und löst gezielte Bewertungen aus, um zwischenzeitliche unmittelbare Risiken anzugehen. Durch frühzeitige Warnungen bleibt mehr Zeit, um auf Vorfälle zu reagieren, und integrierte Anleitungen zur Abhilfe helfen Unternehmen, PHI zu schützen und OCR-Aktionen sowie Rufschädigung zu vermeiden.
Einige Veränderungen, wie die COVID-19-Pandemie, erzwangen grundlegende Veränderungen in der Arbeitsweise von Unternehmen. Die Bewertungsfragebögen von Prevalent enthalten Fragen, die darauf abzielen, interne Lücken in der Geschäftskontinuität und externe Schwachstellen in der Lieferkette aufzudecken, die sich negativ auf die Fähigkeit einer Organisation auswirken könnten, die Kontrolle über sensible PHI aufrechtzuerhalten, oder die sie veranlassen, alternative Anbieter in Betracht zu ziehen.
Richtlinien und Verfahren sowie Dokumentationsanforderungen
(§ 164.316(b)(1))
Standard: Dokumentation
- (i) die Strategien und Verfahren, die zur Einhaltung dieses Abschnitts eingeführt wurden, in schriftlicher (ggf. elektronischer) Form aufbewahren; und
- (ii) Wenn eine Maßnahme, Tätigkeit oder Bewertung gemäß diesem Abschnitt dokumentiert werden muss, ist eine schriftliche (gegebenenfalls elektronische) Aufzeichnung der Maßnahme, Tätigkeit oder Bewertung zu führen.
Die Prevalent TPRM-Plattform umfasst die Verwaltung von Verträgen, Dokumenten, Nachweisen und Zertifizierungen mit integrierter Versionskontrolle, Aufgabenzuweisung und automatischen Überprüfungsabläufen in zentralisierten Lieferantenprofilen.
Darüber hinaus erfasst und prüft Prevalent Konversationen und gleicht Dokumentation oder Nachweise mit Risiken ab. Intuitive und übersichtliche Dashboards bieten einen klaren Überblick über Aufgaben, Zeitpläne, Risikoaktivitäten, den Abschlussstatus von Umfragen, Vereinbarungen und zugehörige Dokumente.