Das HIPAA wurde 1996 in Kraft gesetzt, um Datenschutz- und Sicherheitsbestimmungen für den Schutz medizinischer Informationen zu erlassen. Bis 2017 hatten 86 % der niedergelassenen Ärzte ihre Patienten-Gesundheitsdaten digitalisiert. Um Standards für ihre Vertraulichkeit, Integrität und Sicherheit zu schaffen, hat das U.S. Department of Health and Human Services (HHS) die HIPAA-Sicherheitsregel herausgegeben. Die Einhaltung dieser Regel gilt weithin als Best Practice für die Sicherung elektronisch geschützter Gesundheitsinformationen (ePHI).

Was ist die HIPAA-Sicherheitsregel?

Die HIPAA-Sicherheitsregel legt nationale Standards zum Schutz der elektronischen persönlichen Gesundheitsinformationen von Einzelpersonen fest, die von einer betroffenen Einheit erstellt, empfangen, verwendet oder verwaltet werden. Die Sicherheitsregel erfordert angemessene administrative, physische und technische Schutzmaßnahmen, um die Vertraulichkeit, Integrität und Sicherheit von ePHI zu gewährleisten.

What if your organization doesn’t comply with HIPAA?

Die Kosten für die Nicht-Compliance können sich auf mehrere Millionen USD belaufen. Die Nicht-Compliance mit HIPAA-Sicherheitsanforderungen kann jedoch auch zu Verstößen bei Gesundheitsdaten führen, die über den finanziellen Verlust hinausgehen.

Wie kann SailPoint Sie bei HIPAA-Compliance unterstützen?

Unsere Open-Cloud-Identity Governance-Plattform erleichtert Compliance, indem Sie den Zugriff aller Benutzer, auf alle Ihre Anwendungen und Daten anzeigt und kontrolliert.

So funktioniert es

Who does the HIPAA Security Rule apply to?  

HIPAA security rule covers both individuals and organizations. These are often called HIPAA-covered entities. HIPAA covered entities include health insurance companies, HMOs, employer sponsored health plans, government healthcare programs, clearinghouses, and healthcare providers.

HIPAA even extends to business associates who work with covered entities. Examples of business associates include accountants, data analysts, consultants, bill collectors and more.

Was sind die wichtigsten HIPAA-Bereiche, die von Identity Governance adressiert werden?

Schutz der ePHI-Integrität

Identifizierung und Analyse potenzieller Risiken für ePHI und Umsetzung von Governance-, Risiko- und Compliance-Richtlinien zur Stärkung von Schwachstellen 

Informationsberechtigungsverwaltung/-zugriffskontrolle

Wissen, wer Zugriff auf welche Anwendungen und Daten hat und wie dieser Zugriff genutzt wird.

Aktivitätsprotokolle und Auditkontrollen

Reduzieren Sie die Compliance-Kosten durch die automatische Generierung von Prüfpfaden und den Zugriff auf Berichte zu allen wichtigen Anwendungen und Daten.

Bewertung

Regelmäßige Bewertung der Sicherheitsrichtlinien und -verfahren.

How identity governance helps ensure HIPAA compliance

  • Anwendung von künstlicher Intelligenz/prädiktiver Analytik zur Überwachung und Identifizierung von ungewöhnlichem Zugriffsverhalten
  • Konsequente Durchsetzung von Zugriffsrichtlinien und Anwendung von Kontrollen auf alle Anwendungen, die ePHI enthalten
  • Lokalisierung und Sicherung von strukturierten und unstrukturierten ePHI unabhängig vom Speicherort
  • Automatisieren regelmäßiger Überprüfungen der Benutzerzugriffsrechte

Steps to implement data governance

Having a strong governance policy for your healthcare data is extremely important. The healthcare industry deals with an immense amount of personal health information, and without a way to govern who has access, how they got access and the various risks that presents, it’s hard to manage and protect the data.

A data governance solution helps healthcare organizations securely share data, grant user permissions, and manage health data throughout the patient lifecycle.

Follow these steps to implement a data governance policy that works for your healthcare organization.

1. Identify all your data

The first step to any data governance system is performing an audit of sensitive data, in particular, PHI and ePHI. You’ll want to create a data hierarchy to understand the sensitivity of the data, its current permission levels, and the level of risk it would present if compromised.  

It’s especially important to understand permission levels in order to create a least privilege approach to data governance. This is the idea of limiting user access to only what’s needed for their job function. This is particularly important when dealing with highly sensitive data.

2. Clean up data

Another step in the data governance process is data clean up and upkeep. Stale (old) data can be both expensive to store and poses potential security risk. If there’s lack of visibility into where the stale data resides and how it is being used, it opens organizations up to risk of data infringement. Not to mention, if stale data is being used in patient lifecycle management or patient data storage, it could pose a huge risk to their wellbeing.

3. Comply with government standards

Inconsistencies in how your data is being handled can lead to violations in laws like HIPAA. Poor organization and user management limits the ability to protect patient health information.  

Vergewissern Sie sich, dass Sie mit dem HIPPA konform sind.

Erfahren Sie, wie SailPoint helfen kann.

Fangen Sie noch heute an