Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    Coronavirusreactie verstoort privacy van gezondheidsgegevens en naleving van HIPAA

    De privacy en de veiligheid van de gegevens in de gezondheidszorg zijn een belangrijk aandachtspunt in de reactie op het coronavirus, nu het gebruik van telegezondheidszorg een hoge vlucht neemt en de regeringen de regels inzake privacy en gegevensbescherming versoepelen.

    by Samuel Greengard
    gettyhealthcare.jpg

    Hoofdpunten

    • De pandemie van het coronavirus heeft geleid tot ten minste drie grote verstoringen van het gegevensbeheer en de gegevensbeveiliging, die rechtstreeks van invloed zijn op privacy van de gezondheidszorg en HIPAA-compliancee.
    • Beveiligingsprofessionals moeten zich een weg banen door deze convergerende verstoringen in een bedreigings- en compliance-landschap dat nu bijna dagelijks verandert.
    • De versterking van beste praktijken op het gebied van gegevensbescherming, met name wat de bescherming van de persoonlijke levenssfeer en de beveiliging van de gezondheidszorg betreft, moet de basis vormen om deze nieuwe bedreigingen het hoofd te bieden.

    Privacy in de gezondheidszorg en HIPAA-naleving in de tijd van het coronavirus stellen beveiligingsprofessionals voor drie convergerende verstoringen:

    • Ten eerste breiden regeringen over de hele wereld het potentiële aanvalsoppervlak exponentieel uit en openen zij een doos van pandora door te proberen de verspreiding van het virus tegen te gaan met een toenemend gebruik van telegezondheidsapplicaties, mobiele locatiegegevens, het volgen van sociale contacten en gezichtsherkenning.[1]
    • Tegelijkertijd versoepelen regeringen de bescherming van de privacy en veiligheid van gezondheidsgegevens.
    • En om de crisis uit te buiten, escaleren hackers hun phishing-aanvallen om alle gegevens te kapen die ze kunnen- en zich daarbij vooral richten op de miljoenen werknemers die nu thuis werken.

    Een onbekend terrein betreden voor de privacy in de gezondheidszorg en de naleving van de HIPAA-regels

    Als gevolg daarvan bevinden beveiligingsprofessionals zich op onbekend terrein als het gaat om het handhaven van de privacy in de gezondheidszorg en de naleving van de HIPAA. Bijvoorbeeld:

    • Het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) heeft de regels herschreven om mensen gemakkelijker toegang te geven tot hun medische informatie via smartphone-apps. Maar de American Medical Association waarschuwt nu al voor de daaruit voortvloeiende risico's voor de privacy van patiënten.[2]
    • HHS heeft ook medische zorgverleners toegestaan om hun gebruik van telegezondheidsapplicaties op afstand uit te breiden, met inbegrip van video en messaging.[3]
    • Bovendien zal de handhaving van de HIPAA-naleving met betrekking tot telegezondheidsdiensten discretionair zijn, zo heeft de HHS aangekondigd. "Gedekte zorgaanbieders zullen niet worden onderworpen aan sancties voor schendingen van de HIPAA Privacy, Security, en Breach Notification Rules die plaatsvinden in het te goeder trouw leveren van telegezondheidsdiensten tijdens de COVID-19 nationwide public health emergency," zei het agentschap.[4]
    • Uiteenlopende nationale toepassingen van regels zoals Europa's General Data Protection Regulation (GDPR) zorgen naar verluidt ook voor verwarring over het omgaan met medische en andere persoonlijke informatie tijdens de crisis.[5]

    Versterking van HIPAA-naleving als basis voor crisisbeheer

    Het is onduidelijk of en hoe lang deze en andere ontwikkelingen een stempel zullen drukken op de privacy en veiligheid in de gezondheidszorg wanneer de crisis voorbij is. Intussen moeten beveiligingsprofessionals de in de HIPAA-voorschriften vervatte beste praktijken blijven toepassen als basis voor turbulente tijden en ter voorbereiding op de terugkeer naar een "nieuw normaal".

    Helaas heeft 90% van de organisaties in de gezondheidszorg het afgelopen jaar al voor de crisis te maken gehad met een e-mailbedreiging, zo blijkt uit een recent rapport van HIMSS Media en Mimecast ( ) . 72% van de organisaties had te maken met downtime als gevolg daarvan.

    Hieronder volgen enkele van de belangrijkste veiligheidsrisico's die in de HIPAA aan de orde komen, waaronder onjuist gebruik en ongeoorloofde openbaarmaking, ontoereikende veiligheidswaarborgen, zwakke toegangscontroles, inbreuken op de privacy en niet-naleving van de "minimum necessary rule", die bepaalt wie toegang heeft tot PHI, oftewel persoonlijke gezondheidsinformatie. [6] Hieronder vallen ook stappen die bedoeld zijn om risico's te beperken.

    Slecht beveiligde dossiers vormen een bedreiging voor de privacy en veiligheid in de gezondheidszorg

    Volgens de HIPPA-privacyregels moeten werknemers in de gezondheidszorg en anderen die met persoonlijke gezondheidsinformatie omgaan, gegevens privé houden. Werknemers houden zich echter niet altijd aan de richtlijnen. Zij kunnen beschermde informatie delen met vrienden, familie en de pers. Een aanverwant probleem is de bekendmaking van persoonlijke gezondheidsinformatie door derden tussen organisaties. Beperkingsstrategieën en -instrumenten omvatten:

    • Zorg ervoor dat kantoren sloten hebben en voldoende fysieke beveiliging.
    • Gebruik sterke encryptie om fysieke en elektronische systemen vergrendeld te houden.
    • Versterking van de bewustmakingsopleiding, bijvoorbeeld over de bescherming van persoonlijke gezondheidsinformatie.
    • Zorg ervoor dat de malwarebescherming up-to-date is om bescherming te bieden tegen spyware en ransomware.
    • Gebruik software ter voorkoming van gegevensverlies om te controleren welke gegevens via e-mail worden verzonden.
    • Zorg ervoor dat een verloren of gestolen apparaat op afstand kan worden gewist.
    • Houd de berichten in de sociale media in de gaten.

    Ontoereikende risicoanalyse ondermijnt gegevensbescherming

    Maar al te vaak verzuimen organisaties een alomvattende analyse van systemen en gegevens voor de hele onderneming uit te voeren of laten ze deze risicobeoordelingen ongelezen op de spreekwoordelijke plank liggen. Het gevolg is dat ze niet weten waar kwetsbaarheden bestaan en hoe persoonlijke gezondheidsinformatie onbedoeld of opzettelijk kan worden blootgesteld. Het gevolg is dat ze deze potentiële kwetsbaarheden niet kunnen verhelpen, waardoor systemen open blijven staan voor hackers en aanvallers. Beperkingsstrategieën en -instrumenten omvatten:

    • Controleer de risicoanalyse van de organisatie van processen, systemen en workflows om te weten te komen waar de gegevens over persoonlijke gezondheidsinformatie zich bevinden.
    • Zorg ervoor dat de bescherming tegen malware actueel is.
    • Beheer van zowel bedrijfs- als persoonlijke apparaten die voor de gezondheidszorg worden gebruikt.
    • Versterk de bewustmakingstraining, zodat de werknemers de risico's en verantwoordelijkheden begrijpen, alsook de beste praktijken voor de bescherming van persoonlijke gezondheidsinformatie.

    Door ontoereikende toegangscontroles komen elektronische persoonlijke gezondheidsinformatie bloot te liggen

    Elektronische dossiers brengen verschillende risico's met zich mee voor de privacy van de gezondheidszorg en de naleving van de HIPAA-regels. Een van die risico's is de vraag wie bevoegd is om gegevens in te zien, te beheren en te delen. Zonder sterke authenticatiesystemen en controle over wie toegang heeft tot welke gegevens, nemen de risico's voor de privacy en veiligheid in de gezondheidszorg dramatisch toe. Beperkingsstrategieën en -hulpmiddelen omvatten:

    • Herbeoordelen van verificatiesystemen.
    • Controleer database beveiliging.
    • Beperk het gebruik van USB-sticks en andere externe media.
    • Zorg ervoor dat rollen en machtigingen overeenstemmen met het niveau van toegang dat het personeel nodig heeft.
    • Versterk de bewustmakingsopleiding, met name wat betreft het beheer en de bewaking van referenties en wachtwoorden.

    Pas op voor het verkeerd weggooien van persoonlijke gezondheidsinformatie

    Het bewaren en verwijderen van gegevens levert tal van problemen op met betrekking tot de privacy in de gezondheidszorg en de naleving van de HIPAA-regels, en fysieke en elektronische informatie vormen elk weer andere obstakels. Veel organisaties weten niet precies wat ze hebben, waar het is opgeslagen en wanneer het moet worden vernietigd. Beperkingsstrategieën en -hulpmiddelen omvatten:

    • Versnipperen of verpulveren van papieren dossiers.
    • Demagnetiseer, wis of vernietig de huidige apparaten wanneer ze buiten gebruik zijn gesteld.
    • Begrijpen waar gegevens zich bevinden in cloudgebaseerde systemen en op aangesloten Internet of Things (IoT)-apparaten, vooral met betrekking tot schaduw-IT.
    • Weet waar back-ups van gegevens zich bevinden.

    Het is verstandig om alert te blijven op extra privacy- en beveiligingslacunes in de gezondheidszorg, zoals onbeheerde elektronische apparaten, het downloaden van persoonlijke gezondheidsinformatie op onbevoegde apparaten, ongepaste sms'jes en het verlenen van ongeoorloofde toegang tot medische dossiers of specifieke gegevens aan anderen.

    De kern van de zaak

    Gegevensbescherming is een bewegend doelwit geworden, aangezien de reactie op de coronavirus pandemie heeft geleid tot meer en innovatievere verzameling, analyse en verspreiding van persoonlijke gezondheidsinformatie. Met name de bezorgdheid over privacy en beveiliging in de gezondheidszorg neemt toe - samen met de onzekerheid over de naleving van de HIPAA - als gevolg van nieuwe toepassingen, versoepelde nalevingseisen en toenemende cybercriminaliteit. Beveiligingsprofessionals moeten de bestaande bescherming versterken terwijl ze door dit nieuwe bedreigingslandschap navigeren.

     

    [1] " How to (Carefully) Use Tech to Contain the Coronavirus ," New York Times

    [2] " Nieuwe datavoorschriften kunnen patiënten meer macht geven maar hun privacy ondermijnen ," New York Times

    [3] " OCR geeft richtsnoeren over telegezondheidscommunicatie op afstand na kennisgeving van handhavingsdiscretie ," U.S. Department of Health and Human Services

    [4] " FAQs on Telehealth and HIPAA During the COVID-19 Nationwide Public Health Emergency ," U.S. Department of Health and Human Services

    [5] " Verwarring rond GDPR tijdens Coronavirus leidt tot reactie EDPB ," Compliance Week

    [6] " HIPAA FAQs for Professionals ," U.S. Department of Health and Human Services

    getty-working-from-train.jpg
    Up Next
    E-mailbeveiliging |
    Verbetering van VPN's voor veilig werken op afstand tijdens de pandemie van het coronavirus

    Verwante Artikelen

    E-mailbeveiliging
    Driving Growth Through Service  
    E-mailbeveiliging
    A Guide to DMARC Reports and How to Read Them  
    E-mailbeveiliging
    How to Improve Your Cybersecurity On a Lower Budget

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven