Elk gestolen medisch dossier kost tot 20 dollar – twintig keer meer dan creditcardgegevens. Om identiteitsdiefstal, fraude en chantage te voorkomen, moeten alle apps voor de gezondheidszorg in de VS voldoen aan de Health Insurance Portability and Accountability Act (HIPAA). Dit is onze eenvoudige gids voor software die voldoet aan de HIPAA.
HIPAA beschermt onder andere de gezondheidsgegevens van patiënten.
Anthem, de grootste Amerikaanse verzekeringsmaatschappij, heeft dit op de harde manier geleerd.
Wat begon met een eenvoudige phishing-e-mail, leidde tot het grootste datalek in de gezondheidszorg in de geschiedenis. De hackers stalen de gegevens van 79 miljoen patiënten. De informatie omvatte hun namen, sofi-nummers en medische ID’s.
De woedende patiënten klaagden Anthem aan en wonnen een schikking van 115 miljoen dollar. Hoewel het bedrijf de boetes van de toezichthouder ontliep, zou het tot $ 260 miljoen moeten uitgeven om zijn beveiliging te verbeteren.
HHS Office for Civil Rights (OCR) houdt toezicht op de naleving van de HIPAA. Alleen al in 2017 heeft het Amerikaanse zorgverleners bijna 20 miljoen dollar beboet.
Zelfs als je een kleine organisatie bent, kan het verwaarlozen van HIPAA-vereisten leiden tot ernstige problemen.
In 2013 had Fresenius Medical Care Noord-Amerika vijf datalekken. Gecombineerd, hebben ze de gegevens van slechts 525 patiënten blootgesteld. Maar het bedrijf moest een monsterlijke boete van $ 3,5 miljoen betalen omdat het de beveiligingsrisico’s niet goed had geanalyseerd.
Volgens de mate van nalatigheid zijn er vier banden van HIPAA-boetes:
HIPAA-woordenlijst
U moet deze drie belangrijke termen begrijpen voordat u de HIPAA-vereisten aanpakt.
- Beschermde gezondheidsinformatie (PHI) – alle gegevens die kunnen worden gebruikt om een patiënt te identificeren.
PHI bestaat uit twee delen: gezondheidsinformatie en persoonlijke identificatiemiddelen. Deze laatste omvatten namen, adressen, geboortedata, socialezekerheidsnummers, medische dossiers, foto’s, enz. van patiënten. Het feit dat een individu medische diensten heeft ontvangen is een PHI op zich.
Wat wordt als PHI beschouwd? De volledige lijst.
- Gedekte entiteiten – organisaties en personen die diensten/operaties in de gezondheidszorg aanbieden of daarvoor betalingen aanvaarden.
Daaronder vallen alle zorgaanbieders (bv. ziekenhuizen, artsen, tandartsen, psychologen), gezondheidsplannen (bv. verzekeringsaanbieders, HMO’s, overheidsprogramma’s zoals Medicare en Medicaid) en clearinghouses (de organisaties die als tussenpersoon optreden tussen de zorgaanbieders en de verzekeringsmaatschappijen).
- Business Associates – de derde partijen die namens de gedekte entiteiten omgaan met PHI.
Deze categorie omvat de ontwikkelaars van apps voor de gezondheidszorg, aanbieders van hosting/gegevensopslag, e-maildiensten, enz.
Volgens de HIPAA moet u een Business Associate Agreement (BAA) ondertekenen met elke partij die toegang heeft tot uw PHI. Als u besluit geen BAA te ondertekenen, bent u niet vrijgesteld van de HIPAA-vereisten.
Zowel de onder de dekking vallende entiteiten als de Business Associates moeten de HIPAA naleven. De wet kent geen “safe harbor”-clausule, wat betekent dat u ook moet voldoen als u onbedoeld PHI verwerkt.
Er kunnen veel onbedoelde manieren zijn waarop gevoelige gegevens in uw systeem terecht kunnen komen.
Neem bijvoorbeeld een dienst waarmee artsen huidaandoeningen kunnen diagnosticeren op basis van anonieme foto’s. De app behandelt geen PHI omdat je de gebruikers niet kunt identificeren. Maar zodra u de naam of het adres van de persoon aan de foto’s toevoegt, worden ze PHI.
Als uw toepassing PHI verzamelt, opslaat of doorgeeft aan de gedekte entiteiten, moet u voldoen aan de HIPAA.
Hoe wordt u HIPAA-compliant?
Om HIPAA-compliant te zijn, moet u regelmatig technische en niet-technische evaluaties uitvoeren van uw inspanningen om gezondheidsinformatie te beschermen en deze grondig documenteren. De regelgever heeft een voorbeeldauditprotocol gepubliceerd dat u kan helpen uw HIPAA-conformiteit te beoordelen.
U kunt een onafhankelijke auditor inhuren om de beoordeling voor u te doen. Er zijn veel organisaties, zoals HITRUST, die gespecialiseerd zijn in dat soort dingen. Denk er alleen aan dat OCR geen certificaten van derden erkent.
Tijdens het ontwikkelen van software die voldoet aan de HIPAA-vereisten, zult u vooral te maken krijgen met de technische en fysieke beveiligingsmaatregelen die worden beschreven in de beveiligingsregel.
Technische beveiligingsmaatregelen. Beveiligingsmaatregelen zoals login, encryptie, toegang in noodgevallen, activiteitenlogboeken, enz. De wet specificeert niet welke technologieën u moet gebruiken om PHI te beschermen.
Fysieke waarborgen zijn gericht op de beveiliging van de faciliteiten en apparaten waarin PHI wordt opgeslagen (servers, datacentra, pc’s, laptops, enz.).
Met moderne cloud-gebaseerde oplossingen is deze regel meestal van toepassing op HIPAA-conforme hosting.
De in de beveiligingsregel geschetste waarborgen kunnen ofwel “verplicht” ofwel “adresseerbaar” zijn. Beide zijn verplicht. Als u een “adresseerbare” beveiliging overslaat, moet u aantonen dat dit voor uw situatie een voldoende redelijke beslissing is.
De wet is van toepassing op een breed scala aan medische software. Een ziekenhuisbeheersysteem (HMS) verschilt radicaal van diagnostische apps op afstand. Maar er zijn enkele functies die essentieel zijn voor alle HIPAA-compliant apps.
Dus hier is een minimale lijst van vereiste functies voor HIPAA-compliant software:
1. Toegangscontrole
Elk systeem dat PHI opslaat, moet beperken wie de gevoelige gegevens kan bekijken of wijzigen. Volgens de HIPAA-privacyregel mag niemand meer patiëntgegevens zien dan nodig is om zijn werk te doen. De regel specificeert ook de-identificatie, de rechten van patiënten om hun eigen gegevens in te zien en hun vermogen om toegang tot hun PHI te geven of te beperken.
Een manier om dit te bereiken is door elke gebruiker een unieke ID toe te wijzen. Dit zou u in staat stellen om de activiteit van mensen die toegang hebben tot uw systeem te identificeren en te volgen.
Volgende, moet u elke gebruiker een lijst van privileges geven die hen in staat stellen om bepaalde informatie te bekijken of te wijzigen. U kunt de toegang tot afzonderlijke database-entiteiten en URL’s regelen.
In zijn eenvoudigste vorm bestaat toegangsbeheer op basis van gebruikers uit twee databasetabellen. De ene tabel bevat de lijst van alle rechten en hun ID’s. De tweede tabel wijst deze rechten toe aan individuele gebruikers.
In dit voorbeeld kan de arts (gebruikers-ID 1) de medische dossiers maken, bekijken en wijzigen, terwijl de radioloog (gebruikers-ID 2) deze alleen kan bijwerken.
Een rolgebaseerde toegangscontrole is een andere manier om deze vereiste te implementeren. Hiermee kunt u privileges toekennen aan verschillende groepen gebruikers, afhankelijk van hun functie (bv. artsen, laboranten, beheerders).
2. Verificatie van persoon of entiteit
Nadat u privileges hebt toegekend, moet uw systeem kunnen verifiëren dat de persoon die toegang probeert te krijgen tot PHI ook degene is die hij/zij beweert te zijn. De wet biedt verschillende algemene manieren waarop u deze waarborg kunt implementeren:
Een wachtwoord is een van de eenvoudigste authenticatiemethoden. Helaas is het ook een van de makkelijkst te kraken. Volgens Verizon is 63% van de inbreuken op gegevens te wijten aan zwakke of gestolen wachtwoorden. Een ander rapport stelt dat een vijfde van de zakelijke gebruikers gemakkelijk te kraken wachtwoorden heeft.
Een echt veilig wachtwoord:
- Bestaat uit ten minste 8-12 tekens die hoofdletters, cijfers en speciale tekens bevatten;
- Uitgesloten zijn de veelgebruikte combinaties (bijv. “password”, “123456”, “qwerty”, en om onverklaarbare reden “monkey”) en woordenschatwoorden;
- Sluit alle variaties van de gebruikersnaam uit;
- Voorkomt hergebruik van wachtwoorden.
Als alternatief zou het een reeks willekeurige woorden kunnen zijn die als een betonnen ijslolly in elkaar worden geslagen.
Uw applicatie zou deze vereisten op het aanmeldscherm kunnen controleren en de toegang kunnen weigeren aan gebruikers met zwakke wachtwoorden.
Er bestaat niet zoiets als te veel beveiliging. Bron: mailbox.org
Sommige organisaties dwingen hun werknemers om wachtwoorden om de 90 of zo dagen te wijzigen. Als je dat te vaak doet, kan dat je beveiliging juist schaden. Als mensen worden gedwongen wachtwoorden te wijzigen, bedenken ze vaak onoriginele combinaties (bijvoorbeeld wachtwoord ⇒ pa$$word).
Hackers kunnen bovendien een slecht wachtwoord binnen enkele seconden kraken en direct gebruiken.
Daarom zou u moeten overwegen een twee-factor authenticatie te gebruiken. Dergelijke systemen combineren een veilig wachtwoord met een tweede verificatiemethode. Dit kan van alles zijn, van een biometrische scanner tot een beveiligingscode voor eenmalig gebruik die via sms wordt ontvangen.
Het idee is eenvoudig: zelfs als hackers op de een of andere manier uw wachtwoord zouden bemachtigen, zouden ze uw apparaat of vingerafdrukken moeten stelen om toegang te krijgen tot PHI.
Maar veilige authenticatie is niet genoeg. Sommige aanvallers kunnen tussen het apparaat van de gebruiker en uw servers komen. Op die manier kunnen de hackers toegang krijgen tot de PHI zonder de account aan te tasten. Dit staat bekend als session hijacking, een soort man-in-the-middle-aanval.
Een van de mogelijke manieren om een sessie te kapen. Bron: Heimdal Security
Een digitale handtekening is een manier om je tegen dergelijke aanvallen te verdedigen. Het opnieuw invoeren van het wachtwoord bij het aftekenen van een document zou de identiteit van de gebruiker bewijzen.
Als de rollen in uw systeem complexer worden, kan HIPAA-autorisatie in de weg komen te staan van het helpen van patiënten. Het is zinvol om noodtoegang te implementeren. Met dergelijke procedures kunnen geautoriseerde gebruikers alle gegevens inzien die zij nodig hebben wanneer de situatie dit vereist.
Een arts zou bijvoorbeeld in noodgevallen toegang kunnen krijgen tot PHI van elke patiënt. Tegelijkertijd zou het systeem automatisch verschillende andere mensen op de hoogte brengen en een beoordelingsprocedure starten.
3. Beveiliging van de transmissie
U moet de PHI beschermen die u over het netwerk en tussen de verschillende niveaus van uw systeem verstuurt.
Daarom moet u HTTPS afdwingen voor al uw communicatie (of ten minste voor de aanmeldingsschermen, alle pagina’s die PHI en autorisatiecookies bevatten). Dit veilige communicatieprotocol versleutelt gegevens met SSL/TLS. Met behulp van een speciaal algoritme wordt PHI omgezet in een tekenreeks die zonder decoderingssleutel betekenisloos is.
Een bestand met de naam SSL-certificaat bindt de sleutel aan uw digitale identiteit.
Bij het tot stand brengen van een HTTP-verbinding met uw toepassing vraagt de browser om uw certificaat. De client controleert vervolgens de geloofwaardigheid ervan en initieert de zogenaamde SSL handshake. Het resultaat is een versleuteld communicatiekanaal tussen de gebruiker en uw app.
Om HTTPS voor uw app in te schakelen, krijgt u een SSL-certificaat van een van de vertrouwde providers en installeert u het op de juiste manier.
Zorg er ook voor dat u een veilig SSH- of FTPS-protocol gebruikt om de bestanden met PHI te verzenden in plaats van het gewone FTP.
SSL-handshake; bron: the SSL store
E-mail is geen veilige manier om PHI te verzenden.
Populaire diensten zoals Gmail bieden niet de nodige bescherming. Als u e-mails met PHI buiten uw firewalled server verstuurt, moet u ze versleutelen. Er zijn veel diensten en browser-extensies die dit voor u kunnen doen. Als alternatief kunt u een e-mailservice gebruiken die voldoet aan de HIPAA, zoals Paubox.
U moet ook beleid implementeren dat beperkt welke informatie via e-mails kan worden gedeeld.
4. Encryptie/decryptie
Encryptie is de beste manier om de integriteit van PHI te waarborgen. Zelfs als hackers erin slagen uw gegevens te stelen, zouden ze er zonder de decoderingssleutels uitzien als wartaal.
Onversleutelde laptops en andere draagbare apparaten zijn een veelvoorkomende bron van HIPAA-inbreuken. Versleutel voor de zekerheid de harde schijven van alle apparaten die PHI bevatten. U kunt dit doen met gratis coderingstools zoals BitLocker voor Windows of FileVault voor Mac OS.
5. PHI verwijderen
U dient PHI permanent te vernietigen wanneer u deze niet langer nodig hebt. Zolang er een kopie in een van uw back-ups achterblijft, worden de gegevens niet beschouwd als “verwijderd”.
In 2010 gaf Affinity Health Plan zijn kopieerapparaten terug aan het leasebedrijf. De harde schijven werden echter niet gewist. De daaruit voortvloeiende inbreuk legde de persoonlijke informatie van meer dan 344.000 patiënten bloot.
Affinity moest 1,2 miljoen dollar betalen voor dit incident.
PHI kan zich op veel onverwachte plaatsen verbergen: fotokopieerapparaten, scanners, biomedische apparatuur (bv. MRI- of echografiemachines), draagbare apparaten (bv.bijv. laptops), oude diskettes, USB flash drives, DVD’s/CD’s, geheugenkaarten, flashgeheugen in moederborden en netwerkkaarten, ROM/RAM-geheugen, enz.
Naast het wissen van de gegevens, moet u ook de media die PHI bevatten op de juiste wijze vernietigen voordat u ze weggooit of weggeeft. Afhankelijk van de situatie kunt u ze magnetisch wissen (bijv. met een degausser), de gegevens overschrijven met software zoals DBAN, of de schijf fysiek vernietigen (bijv. met een hamer slaan).
In flash-gebaseerde geheugenschijven (bijv. USB-sticks), worden de gegevens verspreid over het hele medium om slijtage te voorkomen. Hierdoor is het moeilijk om de gevoelige informatie volledig te wissen met gewone software voor gegevensvernietiging. U kunt echter hulpprogramma’s van de fabrikant gebruiken, zoals Samsung Magician Software, om uw flashdrives te vernietigen (of gewoon een hamer gebruiken).
6. Back-up en opslag van gegevens
Back-ups zijn essentieel voor de integriteit van gegevens. Een databasecorruptie of een servercrash kan uw PHI gemakkelijk beschadigen. Dat geldt ook voor een brand in een datacenter of een aardbeving.
Daarom is het belangrijk om meerdere kopieën van uw PHI op verschillende locaties te hebben opgeslagen.
Uw PHI-back-upplan moet de waarschijnlijkheid van gegevenscompromittering bepalen. Van alle informatie met een hoog en gemiddeld risico moet dagelijks een back-up worden gemaakt en deze moet worden opgeslagen in een beveiligde faciliteit. U moet ook een BAA ondertekenen met uw back-upproviders.
Een back-up is nutteloos als u deze niet kunt herstellen.
In augustus 2016 werd Martin Medical Practice Concepts het slachtoffer van een ransomware-aanval. Het bedrijf betaalde hackers om de PHI te ontsleutelen. Maar door een back-upfout verloren de lokale ziekenhuizen informatie over 5.000 patiënten.
Test uw systeem regelmatig om herstelfouten te voorkomen. U moet ook de downtime van het systeem en eventuele mislukkingen bij het maken van back-ups van de PHI vastleggen.
En vergeet niet dat de back-ups zelf moeten voldoen aan de HIPAA-beveiligingsnormen.
7. Auditcontroles
Het ontbreken van auditcontroles kan leiden tot hogere boetes.
U moet controleren wat er met de in uw systeem opgeslagen PHI wordt gedaan. Registreer elke keer dat een gebruiker inlogt in en uitlogt uit uw systeem. U moet weten wie, wanneer en waar de gevoelige gegevens heeft geraadpleegd, bijgewerkt, gewijzigd of verwijderd.
Toezicht kan worden uitgeoefend met behulp van software, hardware of procedurele middelen. Een eenvoudige oplossing is het gebruik van een tabel in een database of een logbestand waarin alle interacties met de patiëntgegevens worden geregistreerd.
Een dergelijke tabel moet uit vijf kolommen bestaan:
- user_id. De unieke identificatiecode van de gebruiker die interactie heeft gehad met PHI;
- entity_name. De entiteit waarmee de gebruiker in interactie is geweest (Een entiteit is een representatie van een real-world concept in uw database, bijv. een gezondheidsdossier);
- record_id. De identificatiecode van de entiteit;
- action_type. De aard van de interactie (maken, lezen, bijwerken of verwijderen);
- action_time. Het exacte tijdstip van de interactie.
In dit voorbeeld heeft een arts (user_id 1) een dossier van een patiënt aangemaakt, een radioloog heeft het dossier bekeken en later heeft dezelfde arts het dossier gewijzigd.
U moet periodiek de activiteitenlogboeken controleren om te ontdekken of sommige gebruikers hun privileges misbruiken om toegang te krijgen tot PHI.
8. Automatisch afmelden
Een systeem met PHI moet elke sessie automatisch beëindigen na een bepaalde periode van inactiviteit. Om verder te gaan, zou de gebruiker zijn/haar wachtwoord opnieuw moeten invoeren of op een andere manier moeten autoriseren.
Dit zou PHI beschermen als iemand zijn/haar apparaat verliest terwijl hij/zij op uw app is ingelogd.
De exacte periode van inactiviteit die het uitloggen triggert, moet afhangen van de specifieke kenmerken van uw systeem.
Bij een beveiligd werkstation in een sterk beveiligde omgeving, kunt u de timer instellen op 10-15 minuten. Voor webgebaseerde oplossingen mag deze periode niet langer zijn dan 10 minuten. En voor een mobiele app kunt u de time-out instellen op 2-3 minuten.
Verschillende programmeertalen implementeren automatisch afmelden op verschillende manieren.
Bron: MailChimp
9. Mobiele app extra beveiligen
Mobiele apparaten brengen veel extra risico’s met zich mee. Een smartphone kan gemakkelijk worden gestolen of verloren raken op een drukbezochte plaats, waardoor gevoelige informatie verloren gaat.
Om dit te voorkomen, kunt u:
- Schermvergrendeling (Android/iOS);
- Volledige apparaatversleuteling (Android/iOS);
- Verwijdering van gegevens op afstand (Android/iOs) gebruiken.
U kunt deze functies niet aan gebruikers opdringen, maar u kunt mensen wel aanmoedigen ze te gebruiken. U kunt de instructies opnemen in uw onboarding of e-mails sturen waarin wordt beschreven hoe ze kunnen worden ingeschakeld.
Tip: U kunt PHI opslaan in een beveiligde container, gescheiden van de persoonlijke gegevens. Op deze manier kunt u de gezondheidsinformatie op afstand wissen zonder iets anders te beïnvloeden.
Veel artsen gebruiken persoonlijke smartphones om gezondheidsinformatie te verzenden. U kunt deze bedreiging neutraliseren met beveiligde berichtenplatforms.
Dergelijke toepassingen hosten de gevoelige gegevens in een beveiligde database. Om toegang te krijgen tot PHI, moeten gebruikers de messenger downloaden en inloggen op hun accounts.
Een andere oplossing zijn versleutelde, met een wachtwoord beveiligde gezondheidsportalen waar patiënten berichten van hun artsen kunnen lezen. Dergelijke portals sturen meldingen zonder PHI erin (bijvoorbeeld “Geachte gebruiker, u heeft een nieuw bericht van “).
Bedenk wel dat pushmeldingen standaard niet beveiligd zijn. Ze kunnen op het scherm verschijnen, zelfs als het vergrendeld is. Dus zorg ervoor dat je geen PHI verstuurt via push meldingen. Hetzelfde geldt voor sms-berichten en andere automatische berichten.
Bron: Bridge Patient Portal
Een ander punt om rekening mee te houden is dat de FDA sommige mHealth-apps kan classificeren als medische hulpmiddelen (software die het besluitvormingsproces van professionals in de gezondheidszorg beïnvloedt).
Denk er dus aan om te controleren of uw app moet voldoen aan andere regelgeving voor de gezondheidszorg voordat u met de ontwikkeling begint. U kunt deze test van de Federal Trade Commission controleren om een snel antwoord te krijgen.
Wrapping up
Nu heb je een minimale lijst met functies voor HIPAA-conforme software.
Alleen zullen ze de veiligheid ervan niet garanderen. Ze zullen je niet beschermen tegen phishing of social engineering.
Maar het hebben van deze functies zou een auditor ervan moeten overtuigen dat je genoeg hebt gedaan om je klantgegevens te beschermen.
Om audits minder pijnlijk te maken, documenteer al je HIPAA-nalevingsinspanningen. Geef voor elke release van uw app de schriftelijke specificaties, plannen om de beveiliging te testen, en de resultaten ervan. En vergeet niet om te controleren of u aan andere voorschriften moet voldoen voordat u met de ontwikkeling begint.