Sicherstellung der HIPAA-Konformität Ihrer Medizintechnik: Was Sie wissen sollten

Die freiberufliche Tech-Autorin Kayla Matthews erläutert, wie Sie sicherstellen können, dass Ihr medizintechnisches Produkt HIPAA-konformt. 

Kompetente und qualitativ hochwertige Hilfe für Bedürftige ist die oberste Priorität der Gesundheitsfürsorge sector. These days, data security and integrity comes in at a very close second.  Der Schutz der geschützten Gesundheitsinformationen (PHI) von Patienten ist der eigentliche Grund, warum der HIPAA (Health Information and Portability and Accountability Act) ins Leben gerufen wurde - und warum er mehrere Aktualisierungen erfahren hat, seit die Technologie und die Sicherheitserwartungen weiter gereift sind.

Eine dieser Änderungen, das so genannte HITECH-Gesetz von 2009, stärkte den HIPAA durch Beseitigung ausnutzbarer Schlupflöcher für Organisationen des Gesundheitswesens und die Schaffung von Anreizen für das Gesundheitswesen zur Umstellung auf elektronische Patientenakten (EHR). Die moderne Gesundheitsfürsorge - einschließlich historischer und aktueller Patientenakten - muss mobil und sicher sein und die Patienten zwischen Ärzten und Einrichtungen begleiten können.

Im Gesundheitswesen zu arbeiten bedeutet, Sorgfalt walten zu lassen und eine Kultur zu etablieren, die den HIPAA sowie die Souveränität und Bedeutung genauer Patientendaten respektiert. Die Erwartungen sind im Laufe der Jahre strenger geworden, da die medizinische Gemeinschaft neue Wege gefunden hat, um Patientendaten zu sammeln und zu nutzen.

Erfahren Sie, was nötig ist, damit die Medizintechnik den sich ständig weiterentwickelnden Anforderungen des HIPAA entspricht.

Warum ist die Einhaltung des HIPAA in der Medizintechnik so wichtig?

Die Einhaltung des HIPAA ist für Anbieter medizinischer Dienstleistungen, die so genannten "Covered Entities", keine Option. Da Gesundheitsdaten eine zentrale Rolle in Pflegeumgebungen aller Art eingenommen haben, mussten die Einrichtungen die Techniken, die sie zur Erfassung, Speicherung, Übermittlung und Kommunikation von Patientendaten verwenden, neu bewerten.

Financial concerns are the first and probably most significant worry for Gesundheitswesen providers. In 2018, Fresenius Medical Care North America was eine Geldstrafe in Höhe von $3,5 Millionen durch das Amt für Bürgerrechte und das Ministerium für Gesundheit und menschliche Dienstleistungen. FMCNA stimmte den Bedingungen zu, einschließlich der Auflage, einen umfassenden Aktionsplan zur Behebung mehrerer HIPAA-Verstöße zu erstellen.

Finanzielle Verluste sind ein wichtiger Grund, warum Gesundheitseinrichtungen die strenge Einhaltung der HIPAA-Anforderungen sicherstellen müssen. Ein weiterer Grund ist die Beeinträchtigung des Rufs. 

FMCNA stellt Produkte und Dienstleistungen für 170.000 Patienten bereit und beschäftigt mehr als 60.000 Mitarbeiter an verschiedenen Standorten und in verschiedenen Einrichtungen. Ein Bußgeld wie dieses führt fast immer zu Vertrauensverlusten und Geschäftseinbußen.

Da wir nun wissen, warum dies für die Einrichtungen des Gesundheitswesens so wichtig ist, stellt sich die Frage, warum Medizintechnik und HIPAA für die Patienten so wichtig sind.

Zunächst einmal sind geschützte Gesundheitsinformationen einige der wertvollsten Daten auf dem Schwarzmarkt - mehr noch als Finanzdaten, einschließlich Kreditkartennummern. Bei Verstößen gegen den Datenschutz kann es länger dauern, bis sie entdeckt werden als der Verlust von Finanzdaten, aber sie sind für Cyberkriminelle nicht weniger nützlich.

Mit PHI können Hacker medizinische Geräte und Rezepte unter dem Namen einer anderen Person bestellen, Versicherungsbetrug begehen und eine Reihe anderer Straftaten begehen, die Patienten und Pflegeeinrichtungen erheblich zurückwerfen können.

Beachten Sie einige der spezifischen Anforderungen, die Organisationen des Gesundheitswesens bei der Einführung medizinischer Technologien und bei der Suche nach neuen Wegen zur Verbesserung der Patientenergebnisse einhalten müssen.

1. Datensicherungen müssen vollständig und verschlüsselt sein

Nach dem HIPAA müssen Gesundheitseinrichtungen einheitlich festlegen, wie, wie oft und für wie lange sie Patientendaten sichern. Diese Anforderungen fallen unter zwei Kategorien - den Datensicherungsplan der Gesundheitseinrichtung und die erforderliche Aufbewahrungsfrist.

Der HIPAA verlangt von Gesundheitseinrichtungen, dass sie vollständige, abrufbare und verschlüsselte Sicherungskopien aller elektronischen Patientenakten aufbewahren. Weitere Details sind: 

• Verschlüsselung: Die Daten im Ruhezustand müssen mit einer 256-Bit-AES-Verschlüsselung verschlüsselt werden.
• Redundanz: Mindestens zwei oder drei getrennte Lagerorte.
• Daten im Transit: Daten, die über öffentliche Netze übertragen werden, müssen mit 256-Bit-AES verschlüsselt sein.
• Überwachung: Unternehmen müssen Datensicherungen und Sicherungspläne auf Fehler und Sicherungsausfälle überwachen.

Darüber hinaus müssen physische Datenspeicher - wie Serverräume - über robuste Zugangskontrollen verfügen, um sicherzustellen, dass nur qualifiziertes und befugtes Personal sie betreten kann.

Was die Aufbewahrungsfristen anbelangt, wird es etwas kompliziert. Die Bundesstaaten haben ihre eigenen Gesetze, die festlegen, wie lange Anbieter medizinische Unterlagen aufbewahren müssen. In Florida sind es fünf Jahre nach dem letzten Kontakt mit dem Patienten. Der HIPAA schreibt jedoch vor, dass Organisationen des Gesundheitswesens die HIPAA-bezogene Dokumentation sechs Jahre lang sicher aufbewahren müssen:

• Genehmigungen zur Offenlegung von PHI
• PHI-Aktualisierungs- und Aufzeichnungsprotokolle
• Akten zur Risikoanalyse und -bewertung
• Dokumentation über Meldungen von Sicherheitsverletzungen
• Sicherheitsüberprüfungen und Systemänderungen oder Audits 
• Hinweise auf die Datenschutzpraktiken der Organisation

Für Gesundheitsdienstleister, die von Medicare und Medicaid verwaltet werden, gelten weitere Anforderungen, darunter die Aufbewahrung der Kostenberichte für fünf bzw. 10 Jahre.

2. Die Kommunikationskanäle müssen gesichert sein

Aufrechterhaltung der medizinischen Compliance im Rahmen des HIPAA erstreckt sich auch auf die von den betroffenen Einrichtungen verwendeten Kommunikationsmethoden. Moderne Kommunikationskanäle wie Telefon, E-Mail, Fax und Textnachrichten unterscheiden sich alle ein wenig, wenn es darum geht, die HIPAA-Vorschriften im medizinischen Bereich einzuhalten.

Der HIPAA verbietet die Verwendung von Textnachrichten zur Übermittlung von PHI nicht. Wenn die betroffene Einrichtung den Patienten über die Risiken aufgeklärt hat und der Patient eingewilligt hat, dürfen Gesundheitsdienstleister PHI an diese Person und keine andere Partei senden. Der HIPAA verlangt Prüfungskontrollen für die Erstellung und Übermittlung von PHI, doch ist dies angesichts der Vielzahl der verwendeten Kommunikationsmittel und Betriebssysteme schwierig.

In den meisten Situationen ist es am besten, andere Methoden zu verwenden. Unabhängig davon, welches Kommunikationsmittel verwendet wird, müssen die betroffenen Unternehmen Folgendes beachten:

• Strenge Zugangskontrollen für die Geräte, die Texte senden und empfangen
• Ende-zu-Ende-Verschlüsselung - ein wichtiges Anliegen im Rahmen des HIPAA
• Verlustprävention für leicht verlegte oder gestohlene Geräte

Das Faxen ist seit langem ein Teil der medizinischen Gemeinschaft. In der Tat, so etwas wie 75% der gesamten Kommunikation in der Gesundheitsbranche der Vereinigten Staaten erfolgt per Fax. Elektronische, cloudbasierte Faxsysteme bieten das strukturierte, sichere und verschlüsselte Ökosystem, das für den sicheren Austausch dieser Art von Informationen zwischen den Parteien erforderlich ist.

Im Gegensatz zu herkömmlichen Faxsystemen, bei denen alle Unterlagen vor Ort verbleiben und dem Risiko des Diebstahls ausgesetzt sind, sind elektronische Faxe Zugangssicherheit und Überprüfbarkeit bieten für versicherte Einrichtungen. E-Fax-Systeme speichern alle Kommunikationsinformationen - einschließlich der Nachrichten selbst und aller zugehörigen historischen Daten - extern an einem gesicherten Zweitstandort des Anbieters.

Abgedeckte Einrichtungen müssen bei der Übermittlung von Aufzeichnungen mehrere wesentliche Schutzmaßnahmen beachten, darunter:

• Starke Passwörter oder biometrische Authentifizierung 
• Industriestandard, Verschlüsselung auf dem Gerät
• Umfassende Pläne für die Entfernung von PHI von Geräten vor deren Ausmusterung
• Physischer und digitaler Schutz für Wi-Fi-Netzwerke und IT-Infrastruktur
• Firmware- und Software-Updates für alle Gerätetypen, sobald sie verfügbar sind

3. Einrichtungen des Gesundheitswesens müssen umfassende Risikoanalysen durchführen

Das Versäumnis, eine unternehmensweite Risikoanalyse durchzuführen, ist einer der Hauptgründe, warum Organisationen im Gesundheitswesen wegen Verstößen gegen den HIPAA mit Geldbußen belegt werden. Abgedeckte Einrichtungen sollten regelmäßig Risikoanalysen durchführen, auch bei jeder Änderung ihrer digitalen Infrastruktur. Die Cancer Care Group, das Lahey Hospital & Medical Center, Cardionet und die Oregon Health & Science University mussten bereits Geldstrafen hinnehmen zwischen $750.000 und $2,7 Millionen für Versäumnisse dieser Art.

Die methodology and results of the risk analysis will look a little different to varying organizations, but the mission and the reasons are always the same:

• Definieren Sie, wie PHI durch die Organisation fließt: Wie gelangen PHI in das System? Wo werden sie gespeichert? Wie verlassen sie das System? Gibt es potenzielle Stellen für Lecks?
• Berücksichtigung des gesamten PHI-Lebenszyklus: Welche Dritten kommen mit PHI in Kontakt? Andere Geschäftspartner? Recycling- oder Schredderunternehmen? Computerreparatur- oder -verwaltungsdienste?
• Wissen um Ihre spezifischen Schwachstellen: Keine zwei Organisationen des Gesundheitswesens sind genau gleich. Zu den Schwachstellen können interne Nachlässigkeit, unzureichende Mitarbeiterschulungen zur Vermeidung von Phishing, minderwertige Passwörter, physische Bedrohungen für Datenspeicher wie Stromausfälle und extreme Wetterbedingungen, vorsätzliche Cyberangriffe und mehr gehören.
• Priorisierung der Bedrohungen nach Wahrscheinlichkeit und Auswirkung: Alle organisatorischen Schwachstellen sollten eine Bedrohungsstufe von Niedrig, Mittel oder Hoch erhalten, um sicherzustellen, dass die Teams die Mittel angemessen zuweisen und das Unternehmen die Ausbildungs-, Einstellungs- oder Verfahrensmängel, die zu Datenverlusten führen, genauer untersuchen kann.

Einen detaillierteren Überblick über die Anforderungen an die Risikoanalyse im Rahmen des HIPAA gibt die Regierung hat ein Arbeitsblatt zur Verfügung für Organisationen des Gesundheitswesens, die sicherstellen wollen, dass sie nichts ausgelassen haben. Das Arbeitsblatt wird regelmäßig überarbeitet, wenn sich die Branche und die Technologien ändern.

Konforme Anbieter medizinischer Dienstleistungen für eine gesündere Zukunft

Good public health should be a priority for any civilized society. These days, however, health goes hand-in-hand with cybersecurity. The three areas above are the most frequently cited in terms of organizational non-compliance. To fix this problem, organizations must ensure they promote ongoing learning and attention to details.

Der HIPAA und seine Änderungen im Laufe der Jahre erinnern uns daran, wie wertvoll Gesundheitsdaten sein können - für Patienten und potenzielle Datendiebe gleichermaßen.

Brauche Hilfe bei Einhaltung des HIPAA oder ein medizintechnisches Produkt entwickeln? Konsultieren Sie freiberufliche Experten zu Kolabtree. Es ist kostenlos, Ihr Projekt zu veröffentlichen und Angebote einzuholen.