HIPAA Datenschutzerklärung und Compliance

Sicherheit und Patientenschutz haben bei CloudVisit Teemedicine höchste Priorität. Werfen Sie einen Blick auf die folgenden Punkte, um einige unserer Methoden zur Gewährleistung Ihrer Privatsphäre zu sehen.

Technische Sicherheitsvorkehrungen

Datenverschlüsselung (in der Übertragung)

Die AES 256-Bit-Verschlüsselung nach Industriestandard wird überall dort eingesetzt, wo Patienteninformationen zwischen einem Benutzer und CloudVisit-Servern übertragen werden. Dazu gehört die vollständige Verschlüsselung der von Anbietern und Patienten gemeinsam genutzten Informationen sowie die verschlüsselte Übertragung von hoch- und heruntergeladenen Dokumenten und Bildern.

Datenverschlüsselung (im Ruhezustand)

Alle Patientendaten und Abrechnungsinformationen werden in verschlüsselten Datenbanktabellen mit Standard-AES 256-Bit gespeichert. Alle von einem Patienten oder Anbieter hochgeladenen Dokumente und Bilder werden ebenfalls verschlüsselt gespeichert. Eine vollständige Festplattenverschlüsselung ist für alle Festplatten vorhanden, die Patienteninformationen und Website-Betriebsdaten unter Verwendung der SHA-512-Verschlüsselungsstandards speichern.

Audio/Video-Verschlüsselung

Audio und Video für alle Telemedizin-Sitzungen werden über einen verschlüsselten öffentlichen Internet-Kanal unter Verwendung von branchenüblichen kryptographischen Grundmodellen übertragen. Audio- und Videostreams werden als von einem teilnehmenden Anbieter oder Patienten empfangen dekodiert.

Dezentrale Server

Mehrere Server werden für bestimmte Aufgaben wie Webhosting, Datenspeicherung und Videositzungsverwaltung verwendet. Jeder Server ist individuell mit separaten Zugangsdaten, Softwareentschlüsselungen, Berechtigungen und Sicherheitsvorkehrungen konfiguriert.
Zugang zu Systemen, die sensible Informationen enthalten ist auf eine interne Netzwerkstruktur mit Authentifizierungsverfahren beschränkt.

HIPAA-konformes Webhosting

CloudVisit verwendet eine Hosting-Lösung der Spitzenklasse, die alle notwendigen Tools für die Aufrechterhaltung von HIPAA-konformen Sicherheitsmaßnahmen und der Privatsphäre der Patienten bietet. Aufgrund der von CloudVisit verwendeten Verschlüsselungsstandards hat unsere Hosting-Lösung zu keinem Zeitpunkt Zugriff auf sensible Patienteninformationen.

HIPAA-konforme Geschäftsstandards

In Übereinstimmung mit den HIPAA-Richtlinien und -Vorschriften sind die Anbieter von telemedizinischen Softwarelösungen verpflichtet, die HIPAA-konformen Sicherheits- und Geschäftspraktiken aufrechtzuerhalten. Darüber hinaus sind Gesundheitsdienstleister verpflichtet, mit ihrem Telemedizin-Softwareanbieter ein Business Associates Agreement (BAA) abzuschließen. CloudVisit hält die HIPAA-Standards ein und schließt mit jedem CloudVisit Telemedizin Kunden eine gemeinsame BAA ab.
Dieses Selbstaudit steht im Einklang mit den HIPAA-Konformitätsanforderungen, die vom U.S. Department of Health & Human Services (www.hhs.gov) vom 16. September 2016 erlassen wurden.

Physische Schutzvorrichtungen

Zugriffskontrollen

Es gibt Verfahren, die einen tiefen Einblick in API-Aufrufe ermöglichen, einschließlich wer, was und von wo aus Aufrufe erfolgen, um jeden Benutzer zu protokollieren, der auf die Server zugreift. Die Verfahren beinhalten auch Sicherheitsvorkehrungen, um unbefugten physischen Zugriff, Manipulationen und Diebstahl mit Aktivitätsprotokollen und Warnmeldungen zu verhindern. Patienteninformationen werden nicht übermäßig gespeichert, gedruckt, kopiert, offengelegt oder mit anderen Mitteln außerhalb des Verwendungszwecks verarbeitet.

Arbeitsplatznutzung

Alle Computergeräte sind so installiert und konfiguriert, dass sie den ePHI-Zugriff nur auf autorisierte Benutzer beschränken. ePHI wird nur mit Computergeräten gespeichert, überprüft, erstellt, aktualisiert oder gelöscht, die den Sicherheitsanforderungen für diesen Gerätetyp entsprechen. Bevor ein Computergerät unbeaufsichtigt gelassen wird, müssen sich die Benutzer abmelden oder das Gerät oder die Anwendungen anderweitig sperren oder sichern. Diese Vorgehensweise verhindert den Zugriff unbefugter Benutzer auf ePHI oder eine Systemkomponente. Rechengeräte sind so angeordnet und ausgerichtet, dass Informationen auf Displays für Unbefugte nicht sichtbar sind.

Verfahren für mobile Geräte

Bei der Speicherung auf tragbaren oder mobilen Computern (z.B. Laptops, Smartphones, Tablets, etc.) oder auf wechselbaren elektronischen Speichermedien (z.B. USB-Sticks, etc.) wird ePHI verschlüsselt. Das Original (Quelle) oder die einzige Kopie von PHI wird nicht auf tragbaren Computern gespeichert. Physische Schutzvorrichtungen

Administrative Sicherheitsvorkehrungen

Risikomanagement

a. CloudVisit erfasst und führt ein Inventar der IT-Komponenten, die Teil des Telemedizinischen Dienstes sind.

b. Die Systeme sind mit ausreichender Kapazität ausgestattet, um im Falle eines Sicherheitsvorfalls eine kontinuierliche Verfügbarkeit zu gewährleisten.
c. Systeme stellen sicher, dass der Schutz vor bösartiger Software eingesetzt und auf dem neuesten Stand gehalten wird.
d. Alle privilegierten Benutzeraktionen werden protokolliert. Jede Änderung dieser Protokolle durch ein System, einen privilegierten oder Endbenutzer muss erkennbar sein. Die Protokolle werden regelmäßig von den autorisierten Administratoren von CloudVisit überprüft.
e. Informationen über wichtige sicherheitsrelevante Ereignisse werden in Protokollen aufgezeichnet, einschließlich Ereignistypen wie fehlgeschlagene Anmeldung, Systemabsturz, Änderungen von Zugriffsrechten und Ereignisattributen wie Datum, Uhrzeit, Benutzer-ID, Dateiname und IP-Adresse, sofern technisch möglich.
f. Die Protokolle werden mindestens 6 Monate lang gespeichert und auf Wunsch der betroffenen Stelle zur Verfügung gestellt.
g. Backups werden durchgeführt und gewartet, um Kontinuität und Liefererwartungen zu gewährleisten.
h. Ein Schwachstellen-Managementprozess ist vorhanden, um Schwachstellen zu priorisieren und zu beheben, basierend auf der Art/Schwere der Schwachstelle.
i. Es gibt einen Patch-Management-Prozess, der sicherstellt, dass Patches rechtzeitig angewendet werden.

Mitarbeiterschulung

Es werden Schulungen angeboten, um das Bewusstsein für die Richtlinien und Verfahren für den Zugang zu ePHI zu schärfen und zu erfahren, wie man Angriffe auf bösartige Software und Malware erkennt. Mitarbeiter mit Zugang zu ePHI sind verpflichtet, regelmäßig an entsprechenden Datenschutzschulungen im Zusammenhang mit HIPAA teilzunehmen. Administrative Sicherheitsvorkehrungen

Notfallplan

CloudVisit hat den Business Continuity Plan (BCP) implementiert, um auf Systemausfälle oder andere Notfälle zu reagieren und sich von diesen zu erholen, die das System oder ePHI beschädigen oder nicht verfügbar machen können (z.B. Naturkatastrophen, Brände, Vandalismus, Systemausfälle, Softwarekorruption, Viren, Bedienerfehler). Um die Wahrscheinlichkeit von Datenverlust oder -beschädigung zu verringern, unterhält CloudVisit abrufbare exakte Kopien von ePHI und anderen Daten, die für den Betrieb des Systems erforderlich sind. Backups enthalten ausreichende Informationen zur Wiederherstellung des Informationssystems in einen aktuellen, betriebsbereiten und genauen Zustand. Geschäftsfortführungsvorfälle, die sich auf die Ausführung des Services für das abgedeckte Unternehmen auswirken, werden von CloudVisit protokolliert, analysiert und überprüft und rechtzeitig oder wie anderweitig vereinbart an das abgedeckte Unternehmen gemeldet.

Test des Notfallplans

CloudVisit führt routinemäßig eine Business Impact Analysis and Risk Assessment (BIA/RA) durch, um potenzielle Bedrohungen und Gefahren für ePHI-Informationen zu identifizieren und zu minimieren. Der Notfallplan wird regelmäßig getestet und wenn wesentliche Änderungen am Plan vorgenommen werden, um zu belegen, dass er wirksam ist und dass die Mitarbeiter ihre jeweiligen Rollen und Verantwortlichkeiten bei der Wiederherstellung verstehen. Ergibt die Prüfung, dass der Notfallplan im Falle eines Notfalls oder eines anderen Ereignisses unwirksam ist, wird CloudVisit den Plan entsprechend überarbeiten.

Einschränkung des Zugangs Dritter

CloudVisit stellt sicher, dass auf ePHI nicht von unbefugten Muttergesellschaften und Subunternehmern zugegriffen wird und dass Business Associate Agreements mit Geschäftspartnern unterzeichnet werden, die Zugang zu ePHI haben. Die Weitergabe von ePHI-Informationen an Dritte, wie z.B. einen Subprozessor, ist nur mit vorheriger schriftlicher Zustimmung von Gesundheitsdienstleistern und nur für die in vertraglichen Vereinbarungen mit Gesundheitsdienstleistern genannten Zwecke zulässig. Subprozessoren Dritter sind nur auf den notwendigen Zugang, die Nutzung, die Aufbewahrung und Offenlegung von ePHI beschränkt, der zur Erfüllung der vertraglichen Verpflichtungen erforderlich ist. Unterauftragsverarbeiter erhalten klare Anweisungen zu Sicherheitsmaßnahmen zum Schutz von ePHI.

Meldung von Sicherheitsvorfällen

CloudVisit isoliert und enthält Vorfälle und zugehörige protokollierte Daten, bevor sie sich zu einer Verletzung entwickeln. CloudVisit verfügt über einen dokumentierten Prozess zum Management von Sicherheitsvorfällen zur Erkennung und Behebung von Vorfällen. CloudVisit meldet bestätigte Sicherheitsvorfälle oder -schwächen im Zusammenhang mit ePHI oder Dienstleistungen für Patienten und Anbieter, sobald dies praktisch oder anderweitig vereinbart ist. CloudVisit wird bei der Bewältigung dieser Vorfälle uneingeschränkt mit den betroffenen Unternehmen zusammenarbeiten. Die Zusammenarbeit kann auch den Zugang zu computergestützten Beweisdaten für die forensische Bewertung umfassen.

HIPAA Datenschutzrichtlinie

Die Datenschutzerklärung

Es werden angemessene Sicherheitsvorkehrungen zum Schutz der Privatsphäre von personenbezogenen Gesundheitsinformationen getroffen. Die vom Patienten in das System eingegebenen Informationen sind nur für zugewiesene Anbieter und autorisiertes Verwaltungspersonal sichtbar. Die Patienten haben das Recht auf ihre Gesundheitsinformationen, einschließlich des Rechts, eine Kopie ihrer Gesundheitsakten zu erhalten – oder sie zu überprüfen – und die Möglichkeit, gegebenenfalls Korrekturen zu verlangen.

HIPAA Breach Notification Rule (Regel zur Meldung von Verstößen)

Verstöße werden ohne unangemessene Verzögerung, spätestens jedoch 60 Tage nach der Entdeckung eines Verstoßes gemeldet. Tritt bei oder durch CloudVisit eine Verletzung unbesicherter geschützter Gesundheitsinformationen auf, wird CloudVisit das betroffene Unternehmen nach der Entdeckung der Verletzung informieren. Verstoßmeldungen sollten die folgenden Informationen enthalten:
  • Die Art des betreffenden ePHI, einschließlich der Art der exponierten persönlichen Identifikatoren.
  • Die unbefugte Person, die die ePHI genutzt hat oder der die Offenlegung mitgeteilt wurde (falls bekannt).
  • Ob der ePHI tatsächlich erworben oder angesehen wurde (falls bekannt).
  • Das Ausmaß, in dem das Risiko von Schäden gemindert wurde.