Microsoft Entra-id configureren voor HIPAA-naleving
Microsoft-services zoals Microsoft Entra ID kan u helpen om te voldoen aan identiteitsvereisten voor de HipAA (Health Insurance Portability and Accountability Act of 1996).
De HIPAA-beveiligingsregel (HSR) stelt standaarden vast om de elektronische persoonlijke gezondheidsgegevens van personen te beschermen die worden gemaakt, ontvangen, gebruikt of onderhouden door een gedekte entiteit. De HSR wordt beheerd door het Amerikaanse ministerie van Gezondheid en Human Services (HHS) en vereist passende administratieve, fysieke en technische waarborgen om de vertrouwelijkheid, integriteit en beveiliging van elektronische beschermde gezondheidsinformatie te waarborgen.
In titel 45 van de Code of Federal Regulations (CFR's) worden de eisen en doelstellingen voor de technische veiligheidsmaatregelen gedefinieerd. Deel 160 van titel 45 voorziet in de algemene administratieve vereisten en deel 164's subonderdelen A en C beschrijven de beveiligings- en privacyvereisten.
Subonderdeel § 164.304 definieert technische waarborgen als de technologie en de beleidsregels en procedures voor het gebruik ervan die elektronische beschermde gezondheidsinformatie beschermen en de toegang tot deze informatie beschermen. De HHS geeft ook een overzicht van de belangrijkste gebieden waar zorgorganisaties rekening mee moeten houden bij het implementeren van HIPAA technische waarborgen. Vanaf § 164.312 Technische veiligheidsmaatregelen:
Toegangscontroles - Implementeer technisch beleid en procedures voor elektronische informatiesystemen die elektronische beschermde gezondheidsinformatie onderhouden om alleen toegang te verlenen tot die personen of softwareprogramma's waaraan toegangsrechten zijn verleend zoals bepaald in § 164.308(a)(4).
Controlecontroles - Hardware, software en/of procedurele mechanismen implementeren die activiteiten vastleggen en onderzoeken in informatiesystemen die elektronische beschermde gezondheidsinformatie bevatten of gebruiken.
Integriteitscontroles : implementeer beleidsregels en procedures om elektronische beschermde gezondheidsinformatie te beschermen tegen onjuiste wijziging of vernietiging.
Verificatie van personen of entiteiten : implementeer procedures om te controleren of een persoon of entiteit die toegang zoekt tot elektronische beveiligde gezondheidsinformatie de persoon of entiteit is diegene die wordt geclaimd.
Overdrachtsbeveiliging : implementeer technische beveiligingsmaatregelen ter bescherming tegen onbevoegde toegang tot elektronische beschermde gezondheidsinformatie die via een elektronisch communicatienetwerk wordt verzonden.
De HSR definieert subonderdelen als standaard, samen met de vereiste en adresseerbare implementatiespecificaties. Alles moet worden geïmplementeerd. De "adresseerbare" aanduiding geeft aan dat een specificatie redelijk en passend is. Adresseerbaar betekent niet dat een implementatiespecificatie optioneel is. Daarom zijn subonderdelen die zijn gedefinieerd als adresseerbaar ook vereist.
De overige artikelen in deze reeks bieden richtlijnen en koppelingen naar resources, georganiseerd op belangrijke gebieden en technische beveiliging. Voor elk sleutelgebied is er een tabel met de relevante beveiligingsmaatregelen vermeld en koppelingen naar Microsoft Entra-richtlijnen om de beveiliging te realiseren.
Meer informatie
Gecombineerde regelgevingstekst van alle HIPAA-Beheer istratieve vereenvoudigingsregels gevonden op 45 CFR 160, 162 en 164
Code of Federal Regulations (CFR) Titel 45 met een beschrijving van het openbare welzijnsgedeelte van de verordening
Deel 160 waarin de algemene administratieve vereisten van titel 45 worden beschreven
Deel 164 Subonderdelen A en C met een beschrijving van de beveiligings- en privacyvereisten van titel 45