Es gibt keine HIPAA-Zertifizierung: 4 Mythen rund um Hosting-Anbieter

Ron Shoop, SVP, National Sales Manager & Strategische Allianzen, Medical Web Experts

Da immer mehr Ärzte ihre Patientenakten mit Patientenportalen von Drittanbietern integrieren, suchen sie nach Klärungen zu vielen Fragen, um die verschiedenen Vorschriften einzuhalten und die Aussagekraft der Daten zu gewährleisten. Es kann jedoch schwierig sein, Fakten von Missverständnissen zu unterscheiden. Lassen Sie uns daher vier Mythen klären und zerstreuen, die sich speziell auf Folgendes beziehen: HIPAA „Zertifizierung“ bei Hosting-Anbietern.

Mythos Nr. 1: Mein aktueller oder zukünftiger Hosting-Anbieter ist HIPAA-zertifiziert.
Tatsache: Es gibt keine HIPAA-Zertifizierung für Organisationen, Hosting-Unternehmen oder Anbieter. Es gibt Richtlinien und Zertifizierungen, die einige oder alle HIPAA-Richtlinien enthalten können. Daher ist es für Hosting-Unternehmen, Patientenportal-Anbieter oder andere Entwickler von Gesundheits-IT unmöglich, eine HIPAA-Zertifizierung zu erhalten. (Ein Hosting-Unternehmen kann jedoch anerkennen, was HIPAA ist und erklären, dass es haften diese Vorschriften in ihren eigenen Geschäftspraktiken oder in einem bestimmten Produktangebot zu berücksichtigen – was derzeit bei einigen Hosting-Unternehmen der Fall ist.)

Mythos Nr. 2: Mein aktueller oder zukünftiger Hosting-Anbieter ist SSAE16-zertifiziert.
Tatsache: Im Hosting-Bereich gibt es einen Audit-Standard namens SSAE16 (früher SAS70). Es ist wichtig zu verstehen, dass es sich dabei um einen Audit-Standard handelt, also um eine Anleitung zur Bescheinigung der Einhaltung des Standards. Daher gibt es keine „SSAE16-Zertifizierung“.

Sie können jedoch ein SSAE16-Attestierungsengagement abschließen und Berichte unterschiedlicher Stufen erhalten. Diese Berichte richten sich an Unternehmen, die ausgelagerte Dienstleistungen anbieten, die sich auf die Finanzberichte des nutzenden Unternehmens auswirken können. Unternehmen, die Kundenfinanzdaten verarbeiten, erhalten einen SSAE16/SOC 1-Bericht. Anbieter von IT-Infrastructure-as-a-Service (IaaS)-Lösungen – wie die meisten Hosting-Unternehmen – werden gemäß AT, Abschnitt 101 der AICPA-Berufsstandards geprüft und erstellen SOC 2- und SOC 3-Berichte. Die in SSAE16 festgelegten Richtlinien umfassen im Allgemeinen die Richtlinien von Standards wie HIPAA und PCI.

Mythos Nr. 3: HIPAA konzentriert sich im Allgemeinen darauf, wie Unternehmen (und insbesondere Gesundheitsdienstleister) mit Patienteninformationen umgehen.
Tatsache: In den meisten Fällen „verarbeiten“ Hosting-Unternehmen keine Daten. Daher handelt es sich im Allgemeinen um eine Situation mit geringem Risiko im Vergleich dazu, wie die Software Daten „überträgt“ oder wie die „abgedeckten Einheiten“ (Gesundheitsorganisationen, Kostenträger, Anbieter von elektronischen Patientenakten und Patientenportalen usw.) den Datenzugriff kontrollieren. Es gibt einige spezifische „Regeln“, die als Regeln interpretiert werden können, die eine typische Hosting-Organisation befolgen müsste, um die Anforderungen zu erfüllen. HIPAA-RichtlinienEs liegt jedoch in der Verantwortung der Gesundheitsorganisation, Best Practices zu implementieren, um sicherzustellen, dass die Daten von Anfang bis Ende sicher aufbewahrt werden.

Mythos Nr. 4: HIPAA hat Mindestanforderungen an die Serverhardware.
Tatsache: Die HIPAA-Richtlinien enthalten keine spezifischen Hardwareanforderungen wie den Einsatz von Firewalls oder zertifizierten Servern, wie einige Branchenexperten behaupten. Sie können sich zwar von Drittanbietern beraten lassen, aber Vorsicht ist geboten!

Hier sind einige zusätzliche HIPAA-Ressourcen:

• Zusammenfassung der HIPAA-Datenschutzregel
• HIPAA-konforme Konfigurationsrichtlinien für die Informationssicherheit in einer medizinischen Zentrumsumgebung
• ONC-OTCB-Zertifizierungsprogramme und -Richtlinien
• Grundlegendes zur SSAE16-Konformität

Über Ron Shoop:

Rons Leidenschaft für Patientenportale begann im Herbst 2010, nachdem er fast 20 Jahre als leitender Angestellter im Finanz- und Rechnungswesen tätig war. Als ihm ein potenzieller Kunde erstmals von Patientenportalen und Telemedizin erzählte, war er sofort begeistert. Ron recherchierte intensiv zu diesem Thema – er wollte herausfinden, wer die Marktteilnehmer waren, wie weit sie mit ihren Lösungen waren und welche Herausforderungen sie mit sich brachten. Bald darauf erhielt er eine Position als Senior Vice President bei einem führenden Telemedizinunternehmen, wo er Lösungen für Tele-Triage und Patientenfernüberwachung (RPM) für selbstfinanzierte Unternehmen, staatliche Medicaid-Abteilungen und Krankenhäuser vorstellte. Heute lebt er seine Leidenschaft täglich bei MWE, indem er potenziellen Kunden Patientenportale und Telemedizinlösungen anbietet. Ron ist SVP, National Sales Manager & Strategische Allianzen, Medical Web Experts.