HIPAA-naleving
Overzicht
HIPAA (de Amerikaanse Health Insurance Portability and Accountability Act) regelt hoe Protected Health Information (PHI) in de Verenigde Staten wordt verwerkt. vitalera levert de technische, administratieve en fysieke waarborgen die onder de HIPAA Security Rule vereist zijn en treedt op als Business Associate voor klanten die PHI verwerken.
HIPAA is een wet, geen certificering. Geen enkele software kan "HIPAA-gecertificeerd" zijn. Naleving is een gedeelde verantwoordelijkheid tussen de Covered Entity (de klant) en de Business Associate (vitalera), vastgelegd in een ondertekende Business Associate Agreement (BAA).
Rollen
| Rol | Wie | Verantwoordelijkheid |
|---|---|---|
| Covered Entity | De zorgverlener, zorgverzekeraar of clearinghouse die vitalera gebruikt | Eigenaar van de patientrelatie, verkrijgt toestemming van de patient en bepaalt rechtmatige doeleinden van PHI-gebruik |
| Business Associate | FOLLOWHEALTH S.L. (operator van het vitalera-platform) | Verwerkt PHI namens de Covered Entity onder de BAA, implementeert waarborgen en meldt incidenten |
| Onderaannemers | AWS en andere infrastructuuraanbieders | Gedekt door onderliggende BAAs tussen vitalera en elke onderaannemer waar van toepassing |
Business Associate Agreement (BAA)
Een ondertekende BAA is vereist voordat een klant PHI via vitalera verwerkt. Neem contact op met legal@vitalera.io om ons standaard-BAA-model op te vragen of om voorwaarden voor enterprise-deployments te onderhandelen.
De BAA van vitalera omvat:
- Toegestane vormen van gebruik en openbaarmaking van PHI
- Waarborgen die van vitalera als Business Associate worden verlangd
- Verplichtingen en termijnen voor datalekmeldingen
- Doorgifteverplichtingen aan onderaannemers
- Beeindigingsvoorwaarden en teruggave of vernietiging van PHI
Waarborgen van de Security Rule
De HIPAA Security Rule (45 CFR 164 Subpart C) vereist administratieve, fysieke en technische waarborgen voor elektronische PHI (ePHI). vitalera implementeert elk van deze direct via de controles die zijn gedefinieerd in ons volgens ISO 27001:2022 gecertificeerde Information Security Management System.
Technische waarborgen (45 CFR 164.312)
| Control | Implementatie |
|---|---|
| Access Control | Unieke gebruikersidentificatie, rolgebaseerde toegangscontrole (RBAC), automatische sessie-time-outs |
| Audit Controls | Onveranderlijke audit-logs voor alle toegang tot PHI, bewaard en gemonitord op afwijkingen |
| Integrity | Cryptografische hashing, integriteitsbeperkingen op databaseniveau, onveranderlijke gebeurtenislogboeken |
| Person or Entity Authentication | Multi-factor authenticatie (MFA) voor professionals, JWT met kortlevende tokens, DPoP voor de SDK |
| Transmission Security | TLS 1.2+ voor alle netwerkcommunicatie, end-to-end versleuteling voor gevoelige payloads |
Administratieve waarborgen (45 CFR 164.308)
| Control | Implementatie |
|---|---|
| Security Management Process | Continue risicoanalyse onder ISO 27001:2022, jaarlijkse interne audit, gedocumenteerd risicobehandelingsplan |
| Assigned Security Responsibility | Aangewezen Information Security Officer en Data Protection Officer |
| Workforce Security | Antecedentenonderzoek, rolgebaseerde toegangsverlening, formele onboarding- en offboardingprocedures |
| Information Access Management | Principe van minimale bevoegdheid, toegangsbeoordelingen, functiescheiding tussen ontwikkeling en productie |
| Security Awareness and Training | Verplichte jaarlijkse beveiligings- en privacytraining voor al het personeel dat PHI verwerkt |
| Security Incident Procedures | Gedocumenteerd incident-responseplan, 24/7-monitoring, gestructureerde escalatie- en communicatiepaden |
| Contingency Plan | Dagelijkse geautomatiseerde back-ups, point-in-time recovery, multi-regio disaster recovery, gedocumenteerde runbooks |
| Business Associate Contracts | Onderliggende BAAs met alle onderaannemers die PHI verwerken |
Fysieke waarborgen (45 CFR 164.310)
vitalera draait op AWS-infrastructuur in de EU (eu-west-1, Ierland), met beschikbaarheid van een Amerikaanse regio op verzoek. AWS-datacenters implementeren fysieke waarborgen die zijn gecertificeerd onder SOC 2 Type II, ISO 27001, ISO 27017 en ISO 27018:
- Toegangscontroles tot faciliteiten met 24/7-beveiliging, biometrische authenticatie en videobewaking
- Beleid voor gebruik van werkstations, afgedwongen op alle apparaten van vitalera-personeel
- Apparaat- en mediacontroles, inclusief veilige afvoer van hardware en cryptografisch wissen van opslag
Versleuteling van PHI
| Toestand | Implementatie |
|---|---|
| In rust | AES-256 via AWS KMS, toegepast op beheerde databases, objectopslag en back-ups |
| In transport | TLS 1.2+ voor al het API-, SDK-, webhook- en administratieve verkeer |
| Sleutelbeheer | Sleutels beheerd in AWS KMS met automatische rotatie en hardware-gebaseerde bescherming |
Datalekmelding
vitalera voldoet aan de HIPAA Breach Notification Rule (45 CFR 164.400-414) en, waar van toepassing, aan de strengere eisen van de HITECH Act:
- Klanten worden binnen 60 dagen na ontdekking geinformeerd over een vastgesteld datalek met onbeschermde PHI, vaak aanzienlijk eerder
- Meldingen bevatten de aard van het datalek, betrokken typen PHI, getroffen mitigatiemaatregelen en aanbevolen stappen voor de Covered Entity
- vitalera ondersteunt de Covered Entity bij haar eigen meldverplichtingen aan betrokken personen, het Office for Civil Rights (OCR) en indien van toepassing de media
Dataresidentie voor klanten in de VS
HIPAA vereist geen Amerikaanse dataresidentie. Toch biedt vitalera deployment in de Amerikaanse regio aan voor klanten van wie het interne beleid binnenlandse dataopslag vereist. Neem contact op met support@vitalera.io om regiokeuze als onderdeel van de onboarding te bespreken.
Verantwoordelijkheden van de klant
Als Covered Entity is de klant verantwoordelijk voor:
- Het verkrijgen van toestemming van de patient waar vereist
- Het configureren van passend toegangsbeleid binnen vitalera voor het eigen personeel
- Het nakomen van de eigen verplichtingen onder de HIPAA Privacy Rule, inclusief de Notice of Privacy Practices en het reageren op verzoeken omtrent patientrechten
- Het trainen van het eigen personeel op HIPAA en op de beveiligingsfuncties van vitalera
- Het tijdig melden van beveiligingsincidenten aan vitalera
Gerelateerde compliance
- ISO 27001 — Informatiebeveiligingscontroles die de waarborgen van de HIPAA Security Rule onderbouwen
- SOC 2 — Afstemming op de Trust Service Criteria voor enterprise-leveranciersevaluaties
- GDPR — Aanvullende verplichtingen voor betrokkenen in de EU
- Gegevensbeveiliging — Overzicht van de technische beveiligingsarchitectuur
Contact
Voor BAA-verzoeken, HIPAA-vragen of beveiligingsbeoordelingen kunt u contact opnemen met legal@vitalera.io of support@vitalera.io.