Einhaltung von NIST SP 800-66

Vereinfachung der Bewertungen der HIPAA-Sicherheitsvorschriften

Die Sonderveröffentlichung (SP) 800-66 desNational Institute of Standards and Technology (NIST) wurde entwickelt, um Organisationen im Gesundheitswesen (HDOs) dabei zu helfen,die Sicherheitsvorschriften des Health Insurance Portability and Accountability Act (HIPAA)zu verstehen, und um einen Rahmen für deren Umsetzung zu schaffen.

Die HIPAA-Sicherheitsvorschrift gilt für alle Organisationen, die elektronisch geschützte Gesundheitsdaten (ePHI) verwalten, unabhängig davon, ob es sich um eine betroffene Einrichtung oder einen Geschäftspartner (z. B. Drittanbieter, Lieferant oder Partner) handelt. Die Vorschrift verpflichtet Organisationen zu Folgendem:

Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller ePHI, die sie erstellen, empfangen, aufbewahren oder übertragen
Identifizierung von und Schutz vor vernünftigerweise zu erwartenden Bedrohungen der Sicherheit oder Integrität der Informationen
Schutz vor unzulässigen Verwendungen oder Offenlegungen von ePHI, die vernünftigerweise zu erwarten sind
Sicherstellung der Einhaltung der Vorschriften durch ihre Mitarbeiter

Die Einhaltung der Richtlinien und Best Practices inNIST 800-66r2hilft Gesundheitsorganisationen dabei, die Einhaltung der HIPAA-Sicherheitsvorschriften zu vereinfachen.

Relevante Anforderungen

Führen Sie eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit elektronisch gespeicherter geschützter Gesundheitsdaten durch, die sich im Besitz der betroffenen Einrichtung oder des Geschäftspartners befinden.

Sicherheitsmaßnahmen umsetzen, die ausreichend sind, um Risiken und Schwachstellen auf ein angemessenes und angemessenes Maß zu reduzieren

Die HIPAA-Sicherheitsvorschriften verstehen

Die HIPAA-Sicherheitsvorschrift empfiehlt sieben Schritte, die in einen umfassenden Risikobewertungsprozess einbezogen werden sollten. Die folgende Tabelle ordnet die Funktionen der Prevalent-Lösung den einzelnen Schritten zu und veranschaulicht, wie eine Risikomanagementlösung eines Drittanbieters zur Umsetzung dieser Best Practices beitragen kann.

HINWEIS: Diese Informationen dienen lediglich als zusammenfassende Leitlinien. Unternehmen sollten die Anforderungen von NIST 800-66r2 und der HIPAA-Sicherheitsvorschriften in Absprache mit ihren Wirtschaftsprüfern selbst vollständig überprüfen.

Empfohlene Schritte und Aufgaben	Wie wir helfen
1. Vorbereitung auf die Bewertung Verstehen Sie, wo ePHI erstellt, empfangen, gepflegt, verarbeitet oder übertragen wird. Legen Sie den Umfang der Bewertung fest.	Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) aufzubauen, das auf bewährten Best Practices und umfangreicher Praxiserfahrung basiert. UnsereExpertenarbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus von Risiken durch Dritte abdeckt – von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung. Prevalent kann Subunternehmerbeziehungen der vierten und N-ten Partei identifizieren, indem es eine fragebogenbasierte Bewertung durchführt oder die öffentlich zugängliche Infrastruktur der dritten Partei passiv scannt. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten. Die durch diesen Prozess ermittelten Lieferanten werden kontinuierlich auf finanzielle, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken sowie auf Sanktionen/PEP-Screening überwacht. Sobald Dritte und Vierte identifiziert sind, können Sie die über 750 vordefiniertenBewertungsvorlagender Prevalent-Plattform nutzen, um Geschäftspartner von Dritten anhand von NIST-, HIPAA- oder anderen Anforderungen zu bewerten.
2. Identifizierung realistischer Bedrohungen Identifizieren Sie potenzielle Bedrohungsereignisse und Bedrohungsquellen, die für das regulierte Unternehmen und sein Betriebsumfeld relevant sind.	Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen. Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung und Reaktionsinitiativen optimiert werden. Zu den Überwachungsquellen gehören: Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken Eine Datenbank mit mehr als 10 Jahren Verlauf von Datenschutzverletzungen bei Tausenden von Unternehmen 550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischen Veränderungen und finanzieller Performance 30.000 weltweite Nachrichtenquellen Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen Globale Sanktionslisten und über 1.000 Vollstreckungslisten und Gerichtsakten
3. Identifizierung potenzieller Schwachstellen und prädisponierender Bedingungen Nutzen Sie interne und externe Quellen, um potenzielle Schwachstellen zu identifizieren. Interne Quellen können frühere Risikobewertungen, Ergebnisse von Schwachstellenscans und Systemsicherheitstests (z. B. Penetrationstests) sowie Auditberichte umfassen. Externe Quellen können Internetsuchen, Lieferanteninformationen, Versicherungsdaten und Schwachstellendatenbanken umfassen.	Prevalent normalisiert, korreliert und analysiert Informationen aus internen Risikobewertungen und externen Überwachungsmaßnahmen. Dieses einheitliche Modell bietet Kontext, Quantifizierung, Management und Unterstützung bei der Behebung von Risiken. Außerdem überprüft es die Existenz und Wirksamkeit interner Kontrollen durch externe Überwachung.
4.-6. Bestimmen der Wahrscheinlichkeit (und der Auswirkungen) einer Bedrohung, die eine Schwachstelle ausnutzt; Bestimmen des Risikoniveaus Bestimmen Sie die Wahrscheinlichkeit (sehr gering bis sehr hoch), mit der eine Bedrohung eine Schwachstelle erfolgreich ausnutzen kann. Bestimmen Sie die Auswirkungen (betrieblich, individuell, auf Vermögenswerte usw.), die für ePHI entstehen könnten, wenn eine Bedrohung eine Schwachstelle ausnutzt. Bewerten Sie das Risikoniveau (niedrig, mittel, hoch) für ePHI unter Berücksichtigung der in den vorherigen Schritten gesammelten Informationen und getroffenen Entscheidungen.	Mit der Prevalent Platform können Sie Risikoschwellenwerte definieren und Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen kategorisieren und bewerten. Anhand der daraus resultierenden Heatmap können sich Teams auf die wichtigsten Risiken konzentrieren.
7. Dokumentieren Sie die Ergebnisse der Risikobewertung Dokumentieren Sie die Ergebnisse der Risikobewertung.	Mit Prevalent können Sie nach Abschluss der Umfrage Risikoregister erstellen, die Echtzeit-Erkenntnisse aus den Bereichen Cyber, Geschäft, Reputation und Finanzen integrieren, um Risikoprüfungen, Berichterstellung und Reaktionen zu automatisieren. Aus dem Risikoregister heraus können Sie Aufgaben im Zusammenhang mit Risiken oder anderen Punkten erstellen, den Aufgabenstatus über mit der Plattform verknüpfte E-Mail-Regeln überprüfen und integrierte Empfehlungen und Anleitungen zur Behebung von Risiken nutzen. Die Lösung automatisiertdie Compliance-Prüfung des Risikomanagements von Drittanbietern, indem sie Informationen zu Lieferantenrisiken sammelt, Risiken quantifiziert und Berichte für Dutzende von staatlichen Vorschriften und Branchenrahmenwerken erstellt, darunter NIST, HIPAA und viele mehr.

Empfohlene Schritte und Aufgaben

Wie wir helfen

1. Vorbereitung auf die Bewertung

Verstehen Sie, wo ePHI erstellt, empfangen, gepflegt, verarbeitet oder übertragen wird.

Legen Sie den Umfang der Bewertung fest.

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) aufzubauen, das auf bewährten Best Practices und umfangreicher Praxiserfahrung basiert. UnsereExpertenarbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus von Risiken durch Dritte abdeckt – von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung.

Prevalent kann Subunternehmerbeziehungen der vierten und N-ten Partei identifizieren, indem es eine fragebogenbasierte Bewertung durchführt oder die öffentlich zugängliche Infrastruktur der dritten Partei passiv scannt. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten. Die durch diesen Prozess ermittelten Lieferanten werden kontinuierlich auf finanzielle, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken sowie auf Sanktionen/PEP-Screening überwacht.

Sobald Dritte und Vierte identifiziert sind, können Sie die über 750 vordefiniertenBewertungsvorlagender Prevalent-Plattform nutzen, um Geschäftspartner von Dritten anhand von NIST-, HIPAA- oder anderen Anforderungen zu bewerten.

2. Identifizierung realistischer Bedrohungen

Identifizieren Sie potenzielle Bedrohungsereignisse und Bedrohungsquellen, die für das regulierte Unternehmen und sein Betriebsumfeld relevant sind.

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung und Reaktionsinitiativen optimiert werden. Zu den Überwachungsquellen gehören:

Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
Eine Datenbank mit mehr als 10 Jahren Verlauf von Datenschutzverletzungen bei Tausenden von Unternehmen
550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischen Veränderungen und finanzieller Performance
30.000 weltweite Nachrichtenquellen
Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
Globale Sanktionslisten und über 1.000 Vollstreckungslisten und Gerichtsakten

3. Identifizierung potenzieller Schwachstellen und prädisponierender Bedingungen

Nutzen Sie interne und externe Quellen, um potenzielle Schwachstellen zu identifizieren. Interne Quellen können frühere Risikobewertungen, Ergebnisse von Schwachstellenscans und Systemsicherheitstests (z. B. Penetrationstests) sowie Auditberichte umfassen. Externe Quellen können Internetsuchen, Lieferanteninformationen, Versicherungsdaten und Schwachstellendatenbanken umfassen.

Prevalent normalisiert, korreliert und analysiert Informationen aus internen Risikobewertungen und externen Überwachungsmaßnahmen. Dieses einheitliche Modell bietet Kontext, Quantifizierung, Management und Unterstützung bei der Behebung von Risiken. Außerdem überprüft es die Existenz und Wirksamkeit interner Kontrollen durch externe Überwachung.

4.-6. Bestimmen der Wahrscheinlichkeit (und der Auswirkungen) einer Bedrohung, die eine Schwachstelle ausnutzt; Bestimmen des Risikoniveaus

Bestimmen Sie die Wahrscheinlichkeit (sehr gering bis sehr hoch), mit der eine Bedrohung eine Schwachstelle erfolgreich ausnutzen kann.

Bestimmen Sie die Auswirkungen (betrieblich, individuell, auf Vermögenswerte usw.), die für ePHI entstehen könnten, wenn eine Bedrohung eine Schwachstelle ausnutzt.

Bewerten Sie das Risikoniveau (niedrig, mittel, hoch) für ePHI unter Berücksichtigung der in den vorherigen Schritten gesammelten Informationen und getroffenen Entscheidungen.

Mit der Prevalent Platform können Sie Risikoschwellenwerte definieren und Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen kategorisieren und bewerten. Anhand der daraus resultierenden Heatmap können sich Teams auf die wichtigsten Risiken konzentrieren.

7. Dokumentieren Sie die Ergebnisse der Risikobewertung

Dokumentieren Sie die Ergebnisse der Risikobewertung.

Mit Prevalent können Sie nach Abschluss der Umfrage Risikoregister erstellen, die Echtzeit-Erkenntnisse aus den Bereichen Cyber, Geschäft, Reputation und Finanzen integrieren, um Risikoprüfungen, Berichterstellung und Reaktionen zu automatisieren. Aus dem Risikoregister heraus können Sie Aufgaben im Zusammenhang mit Risiken oder anderen Punkten erstellen, den Aufgabenstatus über mit der Plattform verknüpfte E-Mail-Regeln überprüfen und integrierte Empfehlungen und Anleitungen zur Behebung von Risiken nutzen.

Die Lösung automatisiertdie Compliance-Prüfung des Risikomanagements von Drittanbietern, indem sie Informationen zu Lieferantenrisiken sammelt, Risiken quantifiziert und Berichte für Dutzende von staatlichen Vorschriften und Branchenrahmenwerken erstellt, darunter NIST, HIPAA und viele mehr.

Zuordnung der gängigen Fähigkeiten zu den Anforderungen der NIST SP 800-66r2 HIPAA Security Rule

NIST SP 800-66r2 stellt Sicherheitsmaßnahmen vor, die für jeden Standard der HIPAA-Sicherheitsvorschrift relevant sind. Die folgende Tabelle enthält spezifische Maßnahmen für Geschäftspartner und zeigt die Funktionen von Prevalent auf, die zur Erfüllung der Anforderungen beitragen.

Wichtige Aktivitäten und Beschreibung	Wie wir helfen
5.1.9 Verträge mit Geschäftspartnern und andere Vereinbarungen (§ 164.308(b)(1)) HIPAA-Standard:Eine betroffene Einrichtung darf einem Geschäftspartner nur dann gestatten, elektronische geschützte Gesundheitsdaten im Namen der betroffenen Einrichtung zu erstellen, zu empfangen, zu speichern oder zu übertragen, wenn die betroffene Einrichtung gemäß §164.314(a) ausreichende Zusicherungen erhält, dass der Geschäftspartner die Daten angemessen schützt. Eine betroffene Einrichtung ist nicht verpflichtet, solche ausreichenden Zusicherungen von einem Geschäftspartner einzuholen, der ein Subunternehmer ist.
1. Identifizierung von Unternehmen, die gemäß der HIPAA-Sicherheitsrichtlinie als Geschäftspartner gelten Identifizieren Sie die Person oder Abteilung, die für die Koordinierung der Umsetzung von Geschäftspartnervereinbarungen oder anderen Vereinbarungen verantwortlich ist. Überprüfen Sie die Liste der Geschäftspartner, um festzustellen, wer Zugriff auf ePHI hat, und um zu beurteilen, ob die Liste vollständig und aktuell ist. Identifizieren Sie die Systeme, die unter den Vertrag/die Vereinbarung fallen. Geschäftspartner müssen mit jedem ihrer Subunternehmer-Geschäftspartner einen BAA-Vertrag abgeschlossen haben. Subunternehmer-Geschäftspartner haften ebenfalls direkt für ihre eigenen Verstöße gegen die Sicherheitsvorschriften.	Prevalent identifiziert Beziehungen zu vierten Parteien durch eine native Identifizierungsbewertung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten, die Wege in eine Umgebung eröffnen könnten. Prevalent bietet eine vorvertragliche Due-Diligence-Prüfung mit einer klaren Bewertung anhand von acht Kriterien, umdie inhärenten Risikenfür alle Dritten und Geschäftspartner während der Onboarding-Phase zu erfassen, zu verfolgen und zu quantifizieren. Zu den Kriterien gehören: Art des für die Validierung der Kontrollen erforderlichen Inhalts Kritische Bedeutung für die Unternehmensleistung und den Betrieb Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken) Erfahrung mit operativen oder kundenorientierten Prozessen Interaktion mit geschützten Daten Finanzieller Status und Gesundheit Reputation Anhand dieser inhärenten Risikobewertung kann Ihr Team alle Geschäftspartner zentral verwalten, Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen.
2. Festlegung eines Verfahrens zur Messung der Vertragserfüllung und zur Beendigung des Vertrags, wenn die Sicherheitsanforderungen nicht erfüllt werden Sorgen Sie für eine klare Kommunikation zwischen den betroffenen Unternehmen und Geschäftspartnern hinsichtlich des Schutzes von ePHI gemäß BAA oder Vertrag. Kriterien für die Messung der Vertragserfüllung festlegen.	Prevalent hilft dabei,KPIs und KRIs von Drittanbieternzentral zu messen, um Risiken aufgrund von Lücken in der Lieferantenüberwachung durch die Automatisierung von Vertrags- und Leistungsbewertungen zu reduzieren. Wenn festgestellt wird, dass ein Dritter gegen den Vertrag verstößt, automatisiert die Plattform Vertragsbewertungen undOffboarding-Verfahren, umdas Risiko Ihrer Organisation nach Vertragsende zu verringern.
3. Schriftlicher Vertrag oder sonstige Vereinbarung Dokumentieren Sie die gemäß dieser Norm erforderlichen zufriedenstellenden Zusicherungen durch einen schriftlichen Vertrag oder eine andere Vereinbarung mit dem Geschäftspartner, die den geltenden Anforderungen von §164.314(a) entspricht... Neue Vereinbarungen oder Absprachen abschließen oder bestehende Vereinbarungen oder Absprachen gegebenenfalls aktualisieren. Rollen und Verantwortlichkeiten festlegen. Nehmen Sie Sicherheitsanforderungen in Verträge und Vereinbarungen mit Geschäftspartnern auf, um die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu gewährleisten. Geben Sie alle Schulungsanforderungen an, die mit dem Vertrag/der Vereinbarung oder der Abmachung verbunden sind, sofern dies angemessen und sinnvoll ist.	Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Darüber hinaus bietet es Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding. Die wichtigsten Funktionen umfassen: Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln - wie z. B. Sicherheitsvorkehrungen für ePHI und Schulungen - im Vertrag enthalten sind, dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden.
5.4.1 Verträge mit Geschäftspartnern oder andere Vereinbarungen (§ 164.314(a)) HIPAA-Standard:(i) Der Vertrag oder die sonstige Vereinbarung zwischen der betroffenen Einrichtung und ihrem Geschäftspartner gemäß §164.308(b)(3) muss die Anforderungen von Absatz (a)(2)(i), (a)(2)(ii) oder (a)(2)(iii) dieses Abschnitts erfüllen, soweit zutreffend. (ii) Ein betroffenes Unternehmen erfüllt die Anforderungen von Absatz (a)(1) dieses Abschnitts, wenn es über eine andere Vereinbarung verfügt, die die Anforderungen von §164.504(e)(3) erfüllt. (iii) Die Anforderungen der Absätze (a)(2)(i) und (a)(2)(ii) dieses Abschnitts gelten für den Vertrag oder die sonstige Vereinbarung zwischen einem Geschäftspartner und einem Subunternehmer gemäß § 164.308(b)(4) in gleicher Weise wie für Verträge oder sonstige Vereinbarungen zwischen einem betroffenen Unternehmen und einem Geschäftspartner.
1. Der Vertrag muss vorsehen, dass Geschäftspartner die geltenden Anforderungen der Sicherheitsvorschrift einhalten. Verträge zwischen betroffenen Unternehmen und Geschäftspartnern müssen vorsehen, dass Geschäftspartner administrative, physische und technische Sicherheitsvorkehrungen treffen, die die Vertraulichkeit, Integrität und Verfügbarkeit der ePHI, die der Geschäftspartner im Auftrag des betroffenen Unternehmens erstellt, empfängt, verwaltet oder übermittelt, angemessen und angemessen schützen. 2. Der Vertrag muss vorsehen, dass die Geschäftspartner Verträge mit Subunternehmern abschließen, um den Schutz von ePHI zu gewährleisten. Stellen Sie gemäß § 164.308(b)(2) sicher, dass alle Subunternehmer, die im Auftrag des Geschäftspartners ePHI erstellen, empfangen, verwalten oder übertragen, sich zur Einhaltung der geltenden Anforderungen dieses Unterabschnitts verpflichten, indem sie einen Vertrag oder eine andere Vereinbarung abschließen, die diesem Abschnitt entspricht.	Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung vonLieferantenverträgen. Außerdem bietet es Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding. Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln – wie die Durchsetzung von Sicherheitskontrollen, Überprüfbarkeit, Reaktion auf Vorfälle, Benachrichtigungen, Vereinbarungen mit Subunternehmern usw. – im Vertrag enthalten sind und dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden.
3. Der Vertrag muss vorsehen, dass die Geschäftspartner Sicherheitsvorfälle melden Melden Sie dem betroffenen Unternehmen alle Sicherheitsvorfälle, von denen Sie Kenntnis erhalten, einschließlich Verstößen gegen die Sicherheit ungeschützter PHI gemäß § 164.410. Sorgen Sie für eine klare Kommunikation zwischen den betroffenen Unternehmen und Geschäftspartnern hinsichtlich des Schutzes von ePHI gemäß BAA oder Vertrag. Einrichtung eines Meldemechanismus und eines Verfahrens, das der Geschäftspartner im Falle eines Sicherheitsvorfalls oder einer Sicherheitsverletzung anwenden kann.	Zusätzlich zum Vertragslebenszyklusmanagement bietet Prevalent einenThird-Party Incident Response Service, mit dem Teams die Auswirkungen von Verstößen durch Dritte schnell identifizieren und mindern können, indem sie Lieferanten zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Leitfäden zur Behebung zugreifen. Kunden können auch auf eine Datenbank zugreifen, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Die Datenbank enthält die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter. In Kombination mit der kontinuierlichen Cyber-Überwachung bietet sie Unternehmen einen umfassenden Überblick über externe Informationssicherheitsrisiken, die sich auf den Betrieb auswirken können.
4. Sonstige Vereinbarungen Das betroffene Unternehmen erfüllt die Anforderungen von Absatz (a)(1) dieses Abschnitts, wenn es über eine andere Vereinbarung verfügt, die die Anforderungen von § 164.504(e)(3) erfüllt. 5. Verträge mit Subunternehmern Die Anforderungen der Absätze (a)(2)(i) und (a)(2)(ii) dieses Abschnitts gelten für Verträge oder sonstige Vereinbarungen zwischen einem Geschäftspartner und einem Subunternehmer in gleicher Weise wie für Verträge oder sonstige Vereinbarungen zwischen einem betroffenen Unternehmen und einem Geschäftspartner.	Prevalent stellt nicht nur sicher, dass Verträge mit Geschäftspartnern Bestimmungen zur Bewertung von Risiken durch vierte Parteien enthalten, sondern identifiziert auch Beziehungen zu vierten Parteien durch eine native Identifizierungsbewertung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Wege in eine Umgebung eröffnen könnten.

Wichtige Aktivitäten und Beschreibung

Wie wir helfen

5.1.9 Verträge mit Geschäftspartnern und andere Vereinbarungen (§ 164.308(b)(1))

HIPAA-Standard:Eine betroffene Einrichtung darf einem Geschäftspartner nur dann gestatten, elektronische geschützte Gesundheitsdaten im Namen der betroffenen Einrichtung zu erstellen, zu empfangen, zu speichern oder zu übertragen, wenn die betroffene Einrichtung gemäß §164.314(a) ausreichende Zusicherungen erhält, dass der Geschäftspartner die Daten angemessen schützt. Eine betroffene Einrichtung ist nicht verpflichtet, solche ausreichenden Zusicherungen von einem Geschäftspartner einzuholen, der ein Subunternehmer ist.

1. Identifizierung von Unternehmen, die gemäß der HIPAA-Sicherheitsrichtlinie als Geschäftspartner gelten

Identifizieren Sie die Person oder Abteilung, die für die Koordinierung der Umsetzung von Geschäftspartnervereinbarungen oder anderen Vereinbarungen verantwortlich ist.
Überprüfen Sie die Liste der Geschäftspartner, um festzustellen, wer Zugriff auf ePHI hat, und um zu beurteilen, ob die Liste vollständig und aktuell ist.
Identifizieren Sie die Systeme, die unter den Vertrag/die Vereinbarung fallen.
Geschäftspartner müssen mit jedem ihrer Subunternehmer-Geschäftspartner einen BAA-Vertrag abgeschlossen haben. Subunternehmer-Geschäftspartner haften ebenfalls direkt für ihre eigenen Verstöße gegen die Sicherheitsvorschriften.

Prevalent identifiziert Beziehungen zu vierten Parteien durch eine native Identifizierungsbewertung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten, die Wege in eine Umgebung eröffnen könnten.

Prevalent bietet eine vorvertragliche Due-Diligence-Prüfung mit einer klaren Bewertung anhand von acht Kriterien, umdie inhärenten Risikenfür alle Dritten und Geschäftspartner während der Onboarding-Phase zu erfassen, zu verfolgen und zu quantifizieren. Zu den Kriterien gehören:

Art des für die Validierung der Kontrollen erforderlichen Inhalts
Kritische Bedeutung für die Unternehmensleistung und den Betrieb
Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
Erfahrung mit operativen oder kundenorientierten Prozessen
Interaktion mit geschützten Daten
Finanzieller Status und Gesundheit
Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team alle Geschäftspartner zentral verwalten, Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen.

2. Festlegung eines Verfahrens zur Messung der Vertragserfüllung und zur Beendigung des Vertrags, wenn die Sicherheitsanforderungen nicht erfüllt werden

Sorgen Sie für eine klare Kommunikation zwischen den betroffenen Unternehmen und Geschäftspartnern hinsichtlich des Schutzes von ePHI gemäß BAA oder Vertrag.
Kriterien für die Messung der Vertragserfüllung festlegen.

Prevalent hilft dabei,KPIs und KRIs von Drittanbieternzentral zu messen, um Risiken aufgrund von Lücken in der Lieferantenüberwachung durch die Automatisierung von Vertrags- und Leistungsbewertungen zu reduzieren.

Wenn festgestellt wird, dass ein Dritter gegen den Vertrag verstößt, automatisiert die Plattform Vertragsbewertungen undOffboarding-Verfahren, umdas Risiko Ihrer Organisation nach Vertragsende zu verringern.

3. Schriftlicher Vertrag oder sonstige Vereinbarung

Dokumentieren Sie die gemäß dieser Norm erforderlichen zufriedenstellenden Zusicherungen durch einen schriftlichen Vertrag oder eine andere Vereinbarung mit dem Geschäftspartner, die den geltenden Anforderungen von §164.314(a) entspricht...
Neue Vereinbarungen oder Absprachen abschließen oder bestehende Vereinbarungen oder Absprachen gegebenenfalls aktualisieren.
Rollen und Verantwortlichkeiten festlegen.
Nehmen Sie Sicherheitsanforderungen in Verträge und Vereinbarungen mit Geschäftspartnern auf, um die Vertraulichkeit, Integrität und Verfügbarkeit von ePHI zu gewährleisten.
Geben Sie alle Schulungsanforderungen an, die mit dem Vertrag/der Vereinbarung oder der Abmachung verbunden sind, sofern dies angemessen und sinnvoll ist.

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Darüber hinaus bietet es Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding. Die wichtigsten Funktionen umfassen:

Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln - wie z. B. Sicherheitsvorkehrungen für ePHI und Schulungen - im Vertrag enthalten sind, dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden.

5.4.1 Verträge mit Geschäftspartnern oder andere Vereinbarungen (§ 164.314(a))

HIPAA-Standard:(i) Der Vertrag oder die sonstige Vereinbarung zwischen der betroffenen Einrichtung und ihrem Geschäftspartner gemäß §164.308(b)(3) muss die Anforderungen von Absatz (a)(2)(i), (a)(2)(ii) oder (a)(2)(iii) dieses Abschnitts erfüllen, soweit zutreffend. (ii) Ein betroffenes Unternehmen erfüllt die Anforderungen von Absatz (a)(1) dieses Abschnitts, wenn es über eine andere Vereinbarung verfügt, die die Anforderungen von §164.504(e)(3) erfüllt. (iii) Die Anforderungen der Absätze (a)(2)(i) und (a)(2)(ii) dieses Abschnitts gelten für den Vertrag oder die sonstige Vereinbarung zwischen einem Geschäftspartner und einem Subunternehmer gemäß § 164.308(b)(4) in gleicher Weise wie für Verträge oder sonstige Vereinbarungen zwischen einem betroffenen Unternehmen und einem Geschäftspartner.

1. Der Vertrag muss vorsehen, dass Geschäftspartner die geltenden Anforderungen der Sicherheitsvorschrift einhalten.

Verträge zwischen betroffenen Unternehmen und Geschäftspartnern müssen vorsehen, dass Geschäftspartner administrative, physische und technische Sicherheitsvorkehrungen treffen, die die Vertraulichkeit, Integrität und Verfügbarkeit der ePHI, die der Geschäftspartner im Auftrag des betroffenen Unternehmens erstellt, empfängt, verwaltet oder übermittelt, angemessen und angemessen schützen.

2. Der Vertrag muss vorsehen, dass die Geschäftspartner Verträge mit Subunternehmern abschließen, um den Schutz von ePHI zu gewährleisten.

Stellen Sie gemäß § 164.308(b)(2) sicher, dass alle Subunternehmer, die im Auftrag des Geschäftspartners ePHI erstellen, empfangen, verwalten oder übertragen, sich zur Einhaltung der geltenden Anforderungen dieses Unterabschnitts verpflichten, indem sie einen Vertrag oder eine andere Vereinbarung abschließen, die diesem Abschnitt entspricht.

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung vonLieferantenverträgen. Außerdem bietet es Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.

Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln – wie die Durchsetzung von Sicherheitskontrollen, Überprüfbarkeit, Reaktion auf Vorfälle, Benachrichtigungen, Vereinbarungen mit Subunternehmern usw. – im Vertrag enthalten sind und dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden.

3. Der Vertrag muss vorsehen, dass die Geschäftspartner Sicherheitsvorfälle melden

Melden Sie dem betroffenen Unternehmen alle Sicherheitsvorfälle, von denen Sie Kenntnis erhalten, einschließlich Verstößen gegen die Sicherheit ungeschützter PHI gemäß § 164.410.
Sorgen Sie für eine klare Kommunikation zwischen den betroffenen Unternehmen und Geschäftspartnern hinsichtlich des Schutzes von ePHI gemäß BAA oder Vertrag.
Einrichtung eines Meldemechanismus und eines Verfahrens, das der Geschäftspartner im Falle eines Sicherheitsvorfalls oder einer Sicherheitsverletzung anwenden kann.

Zusätzlich zum Vertragslebenszyklusmanagement bietet Prevalent einenThird-Party Incident Response Service, mit dem Teams die Auswirkungen von Verstößen durch Dritte schnell identifizieren und mindern können, indem sie Lieferanten zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Leitfäden zur Behebung zugreifen.

Kunden können auch auf eine Datenbank zugreifen, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Die Datenbank enthält die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter. In Kombination mit der kontinuierlichen Cyber-Überwachung bietet sie Unternehmen einen umfassenden Überblick über externe Informationssicherheitsrisiken, die sich auf den Betrieb auswirken können.

4. Sonstige Vereinbarungen

Das betroffene Unternehmen erfüllt die Anforderungen von Absatz (a)(1) dieses Abschnitts, wenn es über eine andere Vereinbarung verfügt, die die Anforderungen von § 164.504(e)(3) erfüllt.

5. Verträge mit Subunternehmern

Die Anforderungen der Absätze (a)(2)(i) und (a)(2)(ii) dieses Abschnitts gelten für Verträge oder sonstige Vereinbarungen zwischen einem Geschäftspartner und einem Subunternehmer in gleicher Weise wie für Verträge oder sonstige Vereinbarungen zwischen einem betroffenen Unternehmen und einem Geschäftspartner.

Prevalent stellt nicht nur sicher, dass Verträge mit Geschäftspartnern Bestimmungen zur Bewertung von Risiken durch vierte Parteien enthalten, sondern identifiziert auch Beziehungen zu vierten Parteien durch eine native Identifizierungsbewertung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Wege in eine Umgebung eröffnen könnten.

Navigieren Sie durch die TPRM-Compliance-Landschaft