Die HIPAA-Sicherheits-Regel wurde verfasst im Jahr 1998, nur zwei Jahre aus, was die meisten glauben-das war die erste aufgezeichnete Erwähnung des Begriffs „cloud computing“ (1996 in einem internen Bericht zum Geschäft von Compaq), erklärte, Gesundheitswesen Anwalt Adam Greene, partner bei Davis Wright Tremaine LLP.
Und sogar durch die Zeit, die endgültige Sicherheit Regel wurde veröffentlicht, fünf Jahre später, im Jahr 2003, das Konzept des cloud-hosting war noch nirgendwo in der Nähe, was heute ist, vor allem im Gesundheitswesen, sagte er. Das erforderte einige kreative denken, die Technologien und den Komfort rund um remote-hosting entwickelt haben, sagte Greene während seiner letzten HIMSS20 Digitale Präsentation, HIPAA-und Cloud-Computing-Gemeinsame Sicherheits-Modell.
Die security-Aufgaben gehören zu HIPAA bedeckte Wesen und die sollte beauftragt werden, um Ihre cloud-service-provider-business-Mitarbeiter? Die situation wird sich unterscheiden, je nach Größe, Form und Richtlinien der jeweiligen, sagte Greene. Aber es gibt eine Bringschuld, die beiden von Ihnen zusammen zu arbeiten und die Parameter einstellen, was Sie an den Tisch bringen.
Während die HIPAA-Sicherheits-Regel fertiggestellt wurde mehr als ein Jahrzehnt vor cloud computing wirklich begann, Zugkraft zu gewinnen über healthcare bis 2016 den HHS Office for Civil Rights begannen, die mehr Anleitung, wie Sicherheitssysteme gestaltet sein könnte.
OCR erkennt den Wert einer „gemeinsamen Sicherheits-Modell“, sagte Greene. Es sagt jede Partei bestätigen sollten Ihre Verantwortlichkeiten schriftlich, und erkennt an, dass die LSP kann nicht verantwortlich sein für die Einhaltung der Ausfälle, verursacht durch Ihre Kunden, Handlungen oder Unterlassungen.
In den letzten Jahren, natürlich -, Gesundheits-Systeme sind gekommen, um zu verstehen, wie wichtig es ist, eine gut verhandelte business-associate-Vereinbarung, und cloud-Anbieter haben bekommen viel besser an, das Angebot der Sicherheitsgarantie Anbieter verlangen.
Aber auch mit dieser Danksagung in Platz, jeder ist immer noch nähert sich die Aufgabe der cloud-hosting-geschützter Gesundheitsinformationen aus einer anderen Sicht. Jeder hat eine Rolle zu spielen, und Greene beschrieben ist es einfach: Die CSP kann die vault, aber es ist die Verantwortung des Kunden zu sperren.
„Egal, wie stark Ihr cloud-service-Anbieter Sicherheit, wenn Sie die Konfigurationen zu ermöglichen, die für den öffentlichen Zugang, oder wenn Sie das Passwort ‚Passwort‘ all diese security-Funktionen werden nicht tun Sie etwas gutes“, sagte er.
Die HIPAA-Sicherheits-Regel enthält mehr als 50 standards und die Umsetzung Spezifikationen: administrative Maßnahmen (Schulungen, Richtlinien und Verfahren), physikalische Schutzmaßnahmen (wer bewacht das Rechenzentrum?) und technische Schutzvorkehrungen (Verschlüsselung, audit-Kontrollen und access logs).
Nicht alle sind gleich geschaffen, Greene weist darauf hin, – und OCR-konzentriert sich stark auf diejenigen, die mit der Risikoanalyse und der, nach, dass ein Risiko-management-plan.
Als Entwurf erstellt, der HIPAA-Sicherheits-Regel mehr oder weniger behandelt jeden betroffenes Unternehmen und Geschäftspartner als eine „Insel“ mit unabhängigen Sicherheits-Verantwortlichkeiten – jede im wesentlichen verantwortlich für alle 54 Angaben auf Ihre eigenen, sagte Greene.
Aber als die Wolke gewann an Bedeutung und Akzeptanz in der Gesundheitsversorgung, es ist deutlich effizienter und effektiver, wenn jede Partei teilt diese Aufgaben. Die Form nimmt, ist weitgehend bis zu Ihnen, er sagte: „das ist die Essenz der gemeinsamen Sicherheit.“
Allgemein gesprochen, ein CSP wird zur „Steuerung der physischen Sicherheit umliegenden Servern in Rechenzentren, die physisch sicher und nicht jeder kann zu Fuß in,“, sagte Greene. Ein cloud-Anbieter wird die Verantwortung für die „interne access-Steuerelemente und bestimmte technische Kontrollen, wie die Verschlüsselung auf der Durchreise.“
Der Anbieter Kunden, inzwischen „kann die Steuerung der Verschlüsselung – ob es eingeschaltet ist, auf der server-Seite, oder ob der Kunde verschlüsselt an Ihrem Ende“, erklärte er. Beim aktivieren von audit-logs“, kann es sein, dass der standardmäßig nicht robuste audit-Protokolle, aber es gibt Möglichkeiten, wenn der Kunde will, schalten Sie diese auf, und kann tatsächlich die Kosten für die Speicherung von denen.“ Das gleiche gilt für das festlegen von Datei-Berechtigungen: „Ob eine Datei öffentlich oder privat, die fallen an den Kunden.“
All dies kann variieren, abhängig von der cloud-Dienste angeboten. Wenn es um software-as-a-service, die CSP hat wahrscheinlich maximale Sicherheit, Verantwortung, während der Kunde darf nur eine minimale Verantwortung, sagte Greene. Selbst dann, das Niveau der Kunden-Kontrolle, variiert stark.
Mit infrastructure-as-a-service, die CSP wohl verwaltet physische und die innere Sicherheit, und kann bestimmte Sicherheits-tools, um die Kunden – aber die überdachte Entität hat eine wesentlich größere Verantwortung für die Konfiguration der Sicherheit,
Während die details können variieren stark je nach der situation, in Ihrem Herzen in diesen Tagen, „cloud computing wirklich ruht auf einem gemeinsamen Sicherheitsmodell“, sagte Greene.
„Der HIPAA-Sicherheits-Regel wurde nicht entwickelt, mit gemeinsamen Sicherheit im Hinterkopf. Es ist nicht eine perfekte Passform. Aber es wurde jetzt erkannt wird durch OCR -, und es ist wichtig, dass jeder weiß, Ihre jeweiligen Zuständigkeiten.“
Healthcare-provider-Organisationen haben bekommen viel bequemer mit der Idee des cloud-hosting in den letzten Jahren, und viele cloud-Anbieter haben verstärkt zu einem Partner werden mit diesen stark regulierten Kunden.
Aber HIPAA compliance – geschweige denn eine robuste Sicherheit, die jeder kennt, erfordert viel mehr als die bloße Einhaltung der HIPAA-Vorschriften – nicht plug-and-play, sagte Greene.
„Es ist wirklich wichtig, voll machen Sie sich mit den Fähigkeiten, mit den verschiedenen Risiken im Zusammenhang mit dem cloud-Modell und stellen Sie sicher, dass Gebäude, die gut in Ihr Programm für die Sicherheit.“
Twitter: @MikeMiliardHITN
E-Mail der Autorin: [email protected]
Healthcare-IT-News ist eine Publikation von HIMSS Media