HIPAA-megfelelőség
Áttekintés
A HIPAA (az Egyesült Államok Health Insurance Portability and Accountability Act-je) szabályozza a Protected Health Information (PHI) kezelését az Egyesült Államokban. A vitalera biztosítja a HIPAA Security Rule által megkövetelt technikai, adminisztratív és fizikai biztosítékokat, és Business Associate-ként jár el a PHI-t feldolgozó ügyfelek számára.
A HIPAA törvény, nem tanúsítvány. Egyetlen szoftver sem lehet "HIPAA-tanúsított". A megfelelés a Covered Entity (az ügyfél) és a Business Associate (vitalera) közötti megosztott felelősség, amelyet aláírt Business Associate Agreement (BAA) szabályoz.
Szerepek
| Szerep | Ki | Felelősség |
|---|---|---|
| Covered Entity | A vitalerat használó egészségügyi szolgáltató, egészségbiztosítási terv vagy clearinghouse | Birtokolja a páciens-kapcsolatot, beszerzi a páciens hozzájárulását, meghatározza a PHI jogszerű felhasználási céljait |
| Business Associate | FOLLOWHEALTH S.L. (a vitalera platform üzemeltetője) | A Covered Entity nevében dolgozza fel a PHI-t a BAA alapján, alkalmazza a biztosítékokat és jelenti az incidenseket |
| Alvállalkozók | AWS és más infrastruktúra-szolgáltatók | A vitalera és az egyes alvállalkozók közötti lefelé irányuló BAA-k által lefedve, ahol alkalmazható |
Business Associate Agreement (BAA)
Aláírt BAA szükséges, mielőtt bármely ügyfél PHI-t dolgoznának fel a vitaleran keresztül. Vegye fel a kapcsolatot a legal@vitalera.io címen, hogy igényelje szabványos BAA-sablonunkat vagy vállalati telepítésekhez egyedi feltételekről tárgyaljon.
A vitalera BAA a következőket fedi le:
- A PHI engedélyezett felhasználásai és közlései
- A vitalerától mint Business Associate-től elvárt biztosítékok
- Az adatvédelmi incidensek bejelentésére vonatkozó kötelezettségek és határidők
- Alvállalkozói átháramlási követelmények
- A megszüntetés feltételei és a PHI visszaadása vagy megsemmisítése
Security Rule biztosítékok
A HIPAA Security Rule (45 CFR 164 Subpart C) adminisztratív, fizikai és technikai biztosítékokat ír elő az elektronikus PHI (ePHI) számára. A vitalera mindegyiket közvetlenül megvalósítja az ISO 27001:2022 szerint tanúsított Információbiztonsági Irányítási Rendszerünkben meghatározott kontrollokon keresztül.
Technikai biztosítékok (45 CFR 164.312)
| Kontroll | Megvalósítás |
|---|---|
| Access Control | Egyedi felhasználói azonosítás, szerepalapú hozzáférés-szabályozás (RBAC), automatikus munkamenet-időtúllépések |
| Audit Controls | Változtathatatlan audit-naplók a PHI minden hozzáféréséről, megőrizve és anomáliák szempontjából figyelve |
| Integrity | Kriptográfiai hashelés, adatbázis-szintű integritási megkötések, változtathatatlan eseménynaplók |
| Person or Entity Authentication | Többtényezős hitelesítés (MFA) a szakemberek számára, JWT rövid élettartamú tokenekkel, DPoP az SDK-hoz |
| Transmission Security | TLS 1.2+ minden hálózati kommunikációhoz, végpontok közötti titkosítás az érzékeny hasznos adatokhoz |
Adminisztratív biztosítékok (45 CFR 164.308)
| Kontroll | Megvalósítás |
|---|---|
| Security Management Process | Folyamatos kockázatelemzés az ISO 27001:2022 szerint, éves belső audit, dokumentált kockázatkezelési terv |
| Assigned Security Responsibility | Kijelölt Information Security Officer és Data Protection Officer |
| Workforce Security | Háttér-ellenőrzések, szerepalapú hozzáférés-biztosítás, formális onboarding és offboarding eljárások |
| Information Access Management | A legkisebb jogosultság elve, hozzáférés-felülvizsgálatok, feladatok szétválasztása fejlesztés és éles környezet között |
| Security Awareness and Training | Kötelező éves biztonsági és adatvédelmi képzés minden PHI-t kezelő munkatárs számára |
| Security Incident Procedures | Dokumentált incidensreagálási terv, 24/7 monitorozás, strukturált eszkalációs és kommunikációs utak |
| Contingency Plan | Napi automatizált biztonsági mentések, időpontra visszaállítás, több régiós katasztrófa-helyreállítás, dokumentált runbook-ok |
| Business Associate Contracts | Lefelé irányuló BAA-k minden PHI-t feldolgozó alvállalkozóval |
Fizikai biztosítékok (45 CFR 164.310)
A vitalera AWS infrastruktúrán fut az EU-ban (eu-west-1, Írország), igény szerinti US régió-elérhetőséggel. Az AWS adatközpontjai SOC 2 Type II, ISO 27001, ISO 27017 és ISO 27018 szerint tanúsított fizikai biztosítékokat alkalmaznak:
- Létesítményhez való hozzáférés-szabályozás 24/7 biztonsággal, biometrikus hitelesítéssel és videomegfigyeléssel
- Munkaállomás-használati irányelvek a vitalera személyzetének összes eszközén érvényesítve
- Eszköz- és médiaellenőrzések, beleértve a hardver biztonságos selejtezését és a tárolás kriptográfiai törlését
PHI titkosítása
| Állapot | Megvalósítás |
|---|---|
| Nyugalmi állapotban | AES-256 az AWS KMS-en keresztül, alkalmazva a felügyelt adatbázisokra, objektumtárolókra és biztonsági mentésekre |
| Átvitel közben | TLS 1.2+ minden API-, SDK-, webhook- és adminisztratív forgalomhoz |
| Kulcskezelés | Kulcsok az AWS KMS-ben kezelve automatikus rotációval és hardveralapú védelemmel |
Adatvédelmi incidensek bejelentése
A vitalera betartja a HIPAA Breach Notification Rule (45 CFR 164.400-414) előírásait, és ahol alkalmazható, a HITECH Act szigorúbb követelményeit:
- Az ügyfeleket a felfedezéstől számított 60 napon belül értesítjük bármely nem biztosított PHI feltárt incidenséről, gyakran lényegesen korábban
- Az értesítések tartalmazzák az incidens jellegét, az érintett PHI típusait, a foganatosított enyhítő intézkedéseket és a Covered Entity számára ajánlott lépéseket
- A vitalera támogatja a Covered Entity saját bejelentési kötelezettségeit az érintett személyek, az Office for Civil Rights (OCR) és (ha alkalmazható) a média felé
Adatrezidencia az egyesült államokbeli ügyfelek számára
A HIPAA nem írja elő az egyesült államokbeli adatrezidenciát. A vitalera azonban kínál telepítést az US régióban olyan ügyfelek számára, akiknek belső irányelvei hazai adattárolást írnak elő. Vegye fel a kapcsolatot a support@vitalera.io címen a régióválasztás onboarding keretében történő megbeszéléséhez.
Az ügyfél felelősségei
Covered Entity-ként az ügyfél felel a következőkért:
- A páciens hozzájárulásának beszerzése, ahol szükséges
- Megfelelő hozzáférési irányelvek konfigurálása a vitaleran belül a saját munkaereje számára
- Saját HIPAA Privacy Rule szerinti kötelezettségeinek teljesítése, beleértve a Notice of Privacy Practices kibocsátását és a páciensjogi kérelmekre való reagálást
- A saját munkaerejének képzése a HIPAA-ról és a vitalera biztonsági funkcióiról
- Az ügyféloldali biztonsági incidensek azonnali jelentése a vitalera felé
Kapcsolódó megfelelőség
- ISO 27001 — A HIPAA Security Rule biztosítékait megalapozó információbiztonsági kontrollok
- SOC 2 — Trust Service Criteria illeszkedés a vállalati szállítói felülvizsgálatokhoz
- GDPR — Kiegészítő kötelezettségek az EU érintettjei számára
- Adatbiztonság — A technikai biztonsági architektúra áttekintése
Kapcsolat
BAA-kérésekért, HIPAA-kérdésekért vagy biztonsági felülvizsgálatokért vegye fel a kapcsolatot a legal@vitalera.io vagy support@vitalera.io címen.