HIPAA-efterlevnad
Oeversikt
HIPAA (USA:s Health Insurance Portability and Accountability Act) reglerar hur Protected Health Information (PHI) hanteras i USA. vitalera tillhandahaaller de tekniska, administrativa och fysiska skyddsaatgaerder som kraevs enligt HIPAA Security Rule och agerar som Business Associate foer kunder som behandlar PHI.
HIPAA aer en lag, inte en certifiering. Ingen programvara kan vara "HIPAA-certifierad". Efterlevnad aer ett delat ansvar mellan Covered Entity (kunden) och Business Associate (vitalera), reglerat av ett undertecknat Business Associate Agreement (BAA).
Roller
| Roll | Vem | Ansvar |
|---|---|---|
| Covered Entity | Vaardgivaren, sjukvaardsplanen eller clearinghouset som anvaender vitalera | Aeger patientrelationen, inhaemtar patientens samtycke och bestaemmer laglig anvaendning av PHI |
| Business Associate | FOLLOWHEALTH S.L. (operatoer av vitalera-plattformen) | Behandlar PHI paa uppdrag av Covered Entity enligt BAA, genomfoer skyddsaatgaerder och rapporterar incidenter |
| Underleverantoerer | AWS och andra infrastrukturleverantoerer | Omfattas av nedaatstroems BAAer mellan vitalera och varje underleverantoer daer det aer tillaempligt |
Business Associate Agreement (BAA)
Ett undertecknat BAA kraevs innan en kund behandlar PHI via vitalera. Kontakta legal@vitalera.io foer att begaera vaar standard-BAA-mall eller foer att foerhandla villkor foer enterprise-distributioner.
vitaleras BAA omfattar:
- Tillaatna anvaendningar och roejanden av PHI
- Skyddsaatgaerder som kraevs av vitalera som Business Associate
- Skyldigheter och tidsfrister foer anmaelan av incidenter
- Foerpliktelser som foers vidare till underleverantoerer
- Uppsaegningsvillkor samt aatergang eller foerstoering av PHI
Security Rule-skyddsaatgaerder
HIPAA Security Rule (45 CFR 164 Subpart C) kraever administrativa, fysiska och tekniska skyddsaatgaerder foer elektronisk PHI (ePHI). vitalera genomfoer var och en av dessa direkt via de kontroller som definieras i vaart ISO 27001:2022-certifierade ledningssystem foer informationssaekerhet.
Tekniska skyddsaatgaerder (45 CFR 164.312)
| Kontroll | Implementation |
|---|---|
| Access Control | Unik anvaendaridentifikation, rollbaserad aatkomstkontroll (RBAC), automatiska sessionstidsgraenser |
| Audit Controls | Oaendringsbara revisionsloggar foer all aatkomst till PHI, bevarade och oeovervakade foer avvikelser |
| Integrity | Kryptografisk hashing, integritetsbegraensningar paa databasnivaa, oaendringsbara haendelseloggar |
| Person or Entity Authentication | Flerfaktorautentisering (MFA) foer vaardpersonal, JWT med kortlivade tokens, DPoP foer SDK |
| Transmission Security | TLS 1.2+ foer all naetverkskommunikation, heltaeckande kryptering foer kaensliga nyttolaster |
Administrativa skyddsaatgaerder (45 CFR 164.308)
| Kontroll | Implementation |
|---|---|
| Security Management Process | Kontinuerlig riskanalys enligt ISO 27001:2022, aarlig internrevision, dokumenterad riskhanteringsplan |
| Assigned Security Responsibility | Utsedd Information Security Officer och Data Protection Officer |
| Workforce Security | Bakgrundskontroller, rollbaserad aatkomsttilldelning, formella onboarding- och offboardingrutiner |
| Information Access Management | Principen om minsta privilegium, aatkomstgranskningar, uppdelning av arbetsuppgifter mellan utveckling och produktion |
| Security Awareness and Training | Obligatorisk aarlig saekerhets- och integritetsutbildning foer all personal som hanterar PHI |
| Security Incident Procedures | Dokumenterad incidenthanteringsplan, 24/7-oeovervakning, strukturerade eskalerings- och kommunikationsvaegar |
| Contingency Plan | Dagliga automatiserade saekerhetskopior, punkt-i-tid-aaterstaellning, disaster recovery i flera regioner, dokumenterade runbooks |
| Business Associate Contracts | Nedaatstroems BAAer med alla underleverantoerer som behandlar PHI |
Fysiska skyddsaatgaerder (45 CFR 164.310)
vitalera koers paa AWS-infrastruktur i EU (eu-west-1, Irland) med US-regiontillgaenglighet paa begaeran. AWS-datacenter tillaempar fysiska skyddsaatgaerder certifierade enligt SOC 2 Type II, ISO 27001, ISO 27017 och ISO 27018:
- Aatkomstkontroller till anlaeggningar med 24/7-saekerhet, biometrisk autentisering och videoeovervakning
- Riktlinjer foer arbetsstationer som tillaempas paa alla enheter som vitaleras personal anvaender
- Kontroller av enheter och media, inklusive saeker bortskaffning av haardvara och kryptografisk radering av lagring
Kryptering av PHI
| Tillstaand | Implementation |
|---|---|
| I vila | AES-256 via AWS KMS, tillaempat paa hanterade databaser, objektlagring och saekerhetskopior |
| Under oeverfoering | TLS 1.2+ foer all API-, SDK-, webhook- och administrativ trafik |
| Nyckelhantering | Nycklar hanterade i AWS KMS med automatisk rotation och haardvarubaserat skydd |
Anmaelan av incidenter
vitalera foeljer HIPAA Breach Notification Rule (45 CFR 164.400-414) och daer det aer tillaempligt de strengare kraven i HITECH Act:
- Kunder meddelas om varje upptaeckt incident med oskyddad PHI inom 60 dagar efter upptaeckt, ofta betydligt tidigare
- Meddelanden inkluderar incidentens art, typer av PHI som beroerts, vidtagna aatgaerder och rekommenderade steg foer Covered Entity
- vitalera stoedjer Covered Entity:s egna anmaelningsskyldigheter gentemot beroerda individer, Office for Civil Rights (OCR) och (i foerekommande fall) media
Dataresidens foer kunder i USA
HIPAA kraever inte dataresidens i USA. vitalera erbjuder dock distribution i US-regionen foer kunder vars interna policyer kraever inhemsk datalagring. Kontakta support@vitalera.io foer att diskutera regionval som del av onboarding.
Kundens ansvar
Som Covered Entity ansvarar kunden foer:
- Att inhaemta patientens samtycke daer det kraevs
- Att konfigurera laempliga aatkomstpolicyer i vitalera foer sin egen personal
- Att uppfylla sina egna skyldigheter enligt HIPAA Privacy Rule, inklusive Notice of Privacy Practices och att besvara begaeran om patientens raettigheter
- Att utbilda sin egen personal i HIPAA och i vitaleras saekerhetsfunktioner
- Att omedelbart rapportera saekerhetsincidenter paa kundsidan till vitalera
Relaterad efterlevnad
- ISO 27001 — Informationssaekerhetskontroller som ligger till grund foer HIPAA Security Rule-skyddsaatgaerder
- SOC 2 — Trust Service Criteria-anpassning foer enterprise-leverantoersgranskningar
- GDPR — Kompletterande skyldigheter foer EU-registrerade
- Datasakerhet — Oeversikt oeover teknisk saekerhetsarkitektur
Kontakt
Foer BAA-foerfraagningar, HIPAA-fraagor eller saekerhetsgranskningar, kontakta legal@vitalera.io eller support@vitalera.io.