Compliance · HIPAA
HIPAA-fähiges Telefonsystem, BAA inklusive.
Wieletsdial mit geschützten Gesundheitsinformationen (PHI) für Gesundheitskunden umgeht, welche Sicherheitsmaßnahmen wir anwenden und welche Erwartungen Sie an die gemeinsame Verantwortung haben.
Schutzmaßnahmen
Die drei Schutzkategorien, die die Sicherheitsregel erfordert.
Administrativ
- Designierter Sicherheitsbeauftragter, verantwortlich für das HIPAA-Programm.
- Mitarbeiterüberprüfung, rollenbasierte Schulung und unterzeichnete Vertraulichkeitsvereinbarungen.
- Überprüfte und getestete Incident-Response-Runbooks.
- Risikobewertungen des Anbieters, bevor ein Unterauftragsverarbeiter PHI bearbeitet.
Körperlich
- PHI werden in Rechenzentren mit rund um die Uhr besetztem Personal und biometrischer Zugangskontrolle gespeichert.
- Kein Produktions-PHI auf Ingenieurarbeitsplätzen; Der Zugriff erfolgt browserbasiert.
- Vom Cloud-Anbieter verwalteter Hardware-Lebenszyklus; Zertifizierte Vernichtung am Ende der Lebensdauer.
Technisch
- Verschlüsselung während der Übertragung (TLS 1.3, SRTP) und im Ruhezustand mit mandantenspezifischem Schlüsselumschlag.
- Rollenbasierte Zugriffskontrollen, obligatorische MFA, automatische Sitzungszeitüberschreitungen.
- Manipulationssicheres Prüfprotokoll jedes PHI-Zugriffs, exportierbar in Ihr SIEM.
- Integritätsprüfungen gespeicherter Aufzeichnungen und Transkripte.
Geschäftspartnervereinbarung
Ein unterzeichnetes BAA ist in jedem kostenpflichtigen Plan enthalten, kein Unternehmens-Add-on.
Die BAA definiert unsere Pflichten als HIPAA-Geschäftspartner, wenn wir PHI in Ihrem Namen verarbeiten, und umfasst Nutzungsbeschränkungen, Sicherheitsvorkehrungen, Weitergabe an Subunternehmer, Benachrichtigung bei Verstößen und Kündigung. Es werden als Gesundheitseinrichtungen klassifizierte Arbeitsbereiche bereitgestellt, um PHI innerhalb der HIPAA-fähigen Infrastruktur zu halten.
PHI-Lebenszyklus
Wie geschützte Gesundheitsinformationen über die Plattform übertragen werden.
- Stufe 01
Gefangen
PHI tritt per Anruf, Nachricht oder Transkript ein.
- Stufe 02
Gelagert
Wird in den verschlüsselten Speicher in der ausgewählten Region geschrieben.
- Stufe 03
Verschlüsselt
AES-256 im Ruhezustand mit mandantenspezifischen Umschlagschlüsseln.
- Stufe 04
Zugriff
Nur autorisierte Benutzer; Jeder Zugriff wird protokolliert.
- Stufe 05
Entsorgt
Gemäß Ihrer Aufbewahrungsrichtlinie und der BAA gelöscht.
Geteilte Verantwortung
Wer ist wofür am Haken?
Benachrichtigung über Verstöße
Was passiert, wenn PHI an einem Sicherheitsvorfall beteiligt ist?
- Schritt 01
Erkennung
Unser Sicherheitsteam selektiert das Ereignis und bestätigt, ob PHI beteiligt war.
- Schritt 02
Bewertung
Umfang der betroffenen Datensätze, Grundursache und Eindämmungsstatus werden dokumentiert.
- Schritt 03
Benachrichtigung
Betroffene betroffene Unternehmen werden ohne unangemessene Verzögerung und innerhalb des in der Breach Notification Rule vorgeschriebenen Zeitrahmens benachrichtigt.
- Schritt 04
Sanierung
Permanenter Fix wird ausgeliefert, Audit-Protokoll wird zugestellt und die Überprüfung nach dem Vorfall wird geteilt.
Kontakt
Einkäufer im Gesundheitswesen? Sprechen Sie mit einem echten Menschen.
Telefon
+1 917-779-0187Post
3 Shenton Way, #15-05, Shenton House, 068805 Singapur
