Compliance-Lösungen

HIPAA

Berichterstattung und Audit Compliance für die Gesundheitsbranche

Der Health Insurance Portability and Accountability Act (HIPAA) verlangt von Organisationen, die geschützten Gesundheitsinformationen von Patienten (protected health information, PHI) zu schützen und den Zugang zu allen Systemen, in denen sie gespeichert sind, einzuschränken und zu überwachen. HIPAA beinhaltet eine Datenschutzregel, welche die Angemessenheit und Offenlegung erfasster, gespeicherter oder weitergegebener Informationen und die Möglichkeit von Patienten, bestimmten Informationsverwendungen zu widersprechen, betrifft.

Servergraph für HIPAA

In typischen Implementierungsfällen werden Gesundheitsinformationen der Patienten niemals direkt in Rocket® Servergraph gespeichert. Die Servergraph-Lösung erfasst nur Metadaten, die sich direkt auf den Sicherungsprozess beziehen, und nicht auf den Inhalt der gesicherten Daten. Servergraph kann jedoch als Unterstützung für die von HIPAA benötigten Notfallplanungs-, Datenverfügbarkeits- und Datenintegritätskontrollen fungieren.

Relevante Kriterien und Fähigkeiten

HIPAA-Anforderungen

Rocket Servergraph – Fähigkeiten

Notfallplan: 164.308(a)(7)

Entwickeln Sie Richtlinien und Verfahrensweisen zur Reaktion auf Notfallsituationen oder ähnliche Ereignisse (z. B. Brand, Vandalismus, Systemausfall oder Naturkatastrophe), die zu einer Beschädigung der Systeme führen können, auf denen elektronische geschützte Gesundheitsdaten von Patienten (PHI) enthalten sind, und setzen Sie diese nach Bedarf um.

Servergraph sammelt Informationen aus Backup-Software, -Hardware und -Prozessen in Ihrer Umgebung, um zu dokumentieren, dass Datensicherungen gemäß Ihren Unternehmensrichtlinien ausgeführt werden.

Traps, Berichte und Warnungen können angepasst werden, um relevante Informationen für alle Anforderungen Ihrer Backup-Steuerung zu erfassen.

Berichte und Warnmeldungen können automatisch an Personen weitergeleitet werden, was für eine bessere Aufgabentrennung sorgt und die Durchführung von Überprüfungs- und Überwachungsprozessen erleichtert.

Backup-Sammlungsprotokolle und -Berichte werden in Servergraph für einen vollständig konfigurierbaren Zeitraum aufbewahrt, um historische Belege zu sichern.

Die Server Monitor Funktion zeigt Echtzeitstatistiken und Warnungen für Sicherungssysteme an, z. B. die Speicherauslastung und die Festplattenkapazität.

Zugriffskontrollen für Einrichtungen: 164.310(a)(1)

Wenden Sie Richtlinien und Verfahren zur Begrenzung des physischen Zugangs zu elektronischen Informationssystemen und der Einrichtung/den Einrichtungen ein, in der/denen sie untergebracht sind. Der ordnungsgemäß autorisierte Zugang bleibt weiterhin gewährleistet.

Systeme werden vor Ort installiert und das Unternehmen kann physische und Umgebungskontrollen -wie bei allen anderen Computergeräten- implementieren.

Zugriffskontrolle: 164.312(a)(1)

Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronische PHI-Dienste verwalten, um nur solchen Personen oder Softwareprogrammen Zugang zu gestatten, denen gemäß 164.308(a)(4) Zugriffsrechte gewährt wurden.

Servergraph arbeitet ohne Agents und benötigt nur ein schreibgeschütztes Dienstkonto, um unbeabsichtigte oder nicht autorisierte Änderungen an Netzwerksystemen und Daten zu verhindern.

Servergraph unterstützt eindeutige Benutzer-IDs für alle Personen, die auf das System zugreifen, und verwendet die LDAP-Integration mit Active Directory-Anmeldeinformationen.

Die Systemadministration erfolgt über den separaten Administrations-Client, wobei der Zugriff auf bestimmte administrative Benutzer beschränkt bleibt.

Für jeden Benutzer können detaillierte, anpassbare Berechtigungen konfiguriert werden, um das Least-Privilege-Prinzip (Zuteilung von geringstmöglichen Privilegien) und die klare Trennung von Aufgaben zu unterstützen.

Audit-Kontrollen: 164.312(b)

Implementieren Sie Hardware, Software und/oder verfahrenstechnische Mechanismen. So können Sie die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, in denen elektronische geschützte Gesundheitsdaten von Patienten (PHI) enthalten sind.
Um alle von Servergraph durchgeführten Datensammlungsaktivitäten über Ihre Backup-Systeme aufzuzeichnen, stehen Systemprotokolle zur Verfügung.

Integrität: 164.312(c)(1)

Wenden Sie Richtlinien und Verfahren an, um elektronische geschützte Gesundheitsdaten von Patienten (PHI) vor unangemessener Veränderung oder Zerstörung zu schützen.
Servergraph arbeitet ohne Agents und benötigt nur ein schreibgeschütztes Dienstkonto, um unbeabsichtigte oder nicht autorisierte Änderungen an Netzwerksystemen und Daten zu verhindern.

Authentifizierung von Personen oder Organisationen: 164.312(d)

Implementieren Sie Verfahren, um Personen oder Organisationen, welche Zugang zu elektronischen Gesundheitsdaten von Patienten (PHI) beantragten, sicher zu verifizieren.
Passwörter sind erforderlich, damit Benutzer auf ein System zugreifen können. Lokale Anmeldeinformationen werden in verschlüsseltem Hash-Format gespeichert. Servergraph bietet LDAP-Integration mit Active Directory-Anmeldeinformationen. Es übernimmt so die Anforderungen für Authentifizierungen Ihrer Organisation auf Netzwerkebene.

Dokumentation: 164.316(b)(1)

(i) Dokumentieren Sie die zur Erfüllung dieses Teilbereichs angewendeten Richtlinien in schriftlicher (auch elektronischer) Form.
(ii) Sollte dieser Teilbereich die Dokumentation einer Handlung, Aktivität oder Bewertung erfordern, legen Sie eine Aufzeichnung dieser Handlung, Aktivität oder Bewertung in schriftlicher (auch elektronischer) Form an und bewahren diese auf.
(iii) Stellen Sie den Personen, die für die Implementierung der von den Dokumentationspflichten betroffenen Verfahren verantwortlichen sind, die Aufzeichnungen zur Verfügung.
Servergraph sammelt Informationen aus Backup-Software, -Hardware und -Prozessen in Ihrer Umgebung, um nachzuweisen, dass Datensicherungen gemäß Ihren Unternehmensrichtlinien ausgeführt werden. Berichte und Warnmeldungen können automatisch an Personen weitergeleitet werden, was für eine bessere Aufgabentrennung sorgt und die Durchführung von Überprüfungs- und Überwachungsprozessen erleichtert.

Dokumentationsspezifikationen: 164.316(b)(2)

(i) Zeitlimit: Bewahren Sie die nach Absatz (b)(1) dieses Abschnitts erforderliche Dokumentation sechs Jahre ab Erstellungsdatum oder dem Datum ihrer letzten Gültigkeit auf, je nachdem, welcher der genannten Zeitpunkte später liegt.
(ii) Verfügbarkeit: Stellen Sie den Personen, die für die Implementierung der von den Dokumentationspflichten betroffenen Verfahren verantwortlich sind, die Aufzeichnungen zur Verfügung.
(iii) Aktualisierungen: Überprüfen Sie die Dokumentation regelmäßig und aktualisieren Sie sie bei Bedarf, wenn Veränderungen im Aufbau des Systems oder den Betriebsprozessen auftreten, die sich auf die Sicherheit der elektronischen PHI auswirken.
Backup-Sammlungsprotokolle und -Berichte werden in Servergraph für einen vollständig konfigurierbaren Zeitraum aufbewahrt, um historische Belege zu sichern.
Aldon für HIPAA

In typischen Implementierungsfällen werden Ihre PHI niemals direkt in Rocket® Aldon Lifecycle Manager (LM) gespeichert. Obwohl der LM zur Entwicklung von Produkten verwendet werden kann, die in den Rahmen der HIPAA-Anforderungen fallen, sollte der zugrunde liegende Code dieser Produkte, z. B. die in LM gespeicherten Daten, selbst keine PHI enthalten. Für den Fall, dass Aldon Lifecycle Manager PHI enthält oder in Testumgebungen PHI berührt, sind die relevanten HIPAA-Anforderungen und die von LM angebotenen Funktionen unten aufgeführt.

Relevante Kriterien und Fähigkeiten

HIPAA-Anforderungen

Rocket Aldon Lifecycle Manager – Fähigkeiten

Arbeitskräftesicherheit: 164.308(a)(3)

Wenden Sie Richtlinien und Verfahren an, die gewährleisten, dass alle Mitarbeiter, wie in Absatz (a)(4) dieses Abschnitts vorgesehen, angemessenen Zugang zu elektronischen geschützten Gesundheitsinformationen haben und der Zugang zu diesen Informationen für diejenigen Mitarbeiter, die nach Absatz (a)(4) dieses Abschnitts nicht zugangsberechtigt sind, begrenzt wird.

Aldon Lifecycle Manager und die zugehörigen Module (Lifecycle Manager IBM i Edition (LMi), Lifecycle Manager Enterprise Edition (LMe), Community Manager (CM) und Security Service Manager) unterstützen eindeutige Benutzer-IDs für alle Personen, die auf die Systeme zugreifen.

Detaillierte und vollständig anpassbare rollenbasierte Zugriffsebenen ermöglichen es einem Unternehmen, die konkreten Privilegien jedes Systembenutzers zu definieren. Berechtigungen sind granular, um die betrieblichen Anforderungen eines Unternehmens gemäß dem Least-Privilege-Prinzip (Zuteilung von geringstmöglichen Privilegien) und der klaren Trennung von Aufgaben zu unterstützen.

Es stehen Berichte zur Verfügung, die alle Benutzer mit den ihnen gewährten Zugriffsrechten anzeigen.

Informationszugriffsverwaltung: 164.308(a)(4)

Verwenden Sie zur Autorisierung des Zugriffs auf elektronische geschützte Gesundheitsinformationen Richtlinien und Verfahren, die den in Unterabschnitt E dieses Teilbereichs definierten Anforderungen entsprechen.

Das CM-Modul unterstützt automatisierte, systemgesteuerte Workflows, die auch Prozesse zur Zugriffsanforderung, -autorisierung und -genehmigung beinhalten können.

Es stehen Berichte zur Verfügung, die alle administrativen Aktivitäten innerhalb des Systems anzeigen, einschließlich der Anpassung von Benutzerzugriff und Rollen.

Sicherheitsinformationen und -schulungen: 164.308(a)(5)

Richten Sie ein Programm zur Sicherheitsinformation und -schulung für alle Mitarbeiter (einschließlich des Managements) ein.

Das CM-Modul unterstützt automatisierte, systemgesteuerte Workflows, die auch Schulungsprogramme zur Informatiossicherheit beinhalten können.

Zugriffskontrollen für Einrichtungen: 164.310(a)(1)

Wenden Sie Richtlinien und Verfahren zur Begrenzung physischen Zugangs zu elektronischen Informationssystemen und der Einrichtung/den Einrichtungen ein, in der/denen sie untergebracht sind. Ordnungsgemäß autorisierter Zugang bleibt weiterhin gewährleistet.
Systeme werden vor Ort installiert und die Organisation kann physische und Umgebungskontrollen -wie bei allen anderen Computergeräten- implementieren.

Zugriffskontrolle: 164.312(a)(1)

Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronische geschützte Gesundheitsinformationen verwalten, um nur solchen Personen oder Softwareprogrammen Zugang zu gestatten, denen gemäß § 164.308(a)(4) Zugriffsrechte gewährt wurden.

Aldon LM und die zugehörigen Module (LMI, LMe, CM und Security Service Manager) unterstützen eindeutige Benutzer-IDs für alle Personen, welche auf die Systeme zugreifen.

Detaillierte und vollständig anpassbare rollenbasierte Zugriffsebenen ermöglichen es einem Unternehmen, die konkreten Privilegien jedes Systembenutzers zu definieren. Berechtigungen sind granular, um die betrieblichen Anforderungen eines Unternehmens gemäß dem Least-Privilege-Prinzip (Zuteilung von geringstmöglichen Privilegien) und der klaren Trennung von Aufgaben zu unterstützen.

Audit-Kontrollen: 164.312(b)

Implementieren Sie Hardware, Software und/oder verfahrenstechnische Mechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, welche elektronische geschützte Gesundheitsinformationen enthalten oder verwenden.

Alle Aktionen, die innerhalb des Systems ausgeführt werden, einschließlich des Zugriffs auf- oder der Änderung von Daten, werden protokolliert und sind überprüfbar.

Integrität: 164.312(c)(1)

Wenden Sie Richtlinien und Verfahren an, um elektronische geschützte Gesundheitsinformationen vor unangemessener Veränderung oder Zerstörung zu schützen.

Der Zugriff zum Ändern von Daten ist auf Benutzer beschränkt, die für diese Entwicklungsversion und Umgebung speziell autorisiert sind.

Alle am Code vorgenommenen Änderungen werden durch das Harmonizer-Modul hervorgehoben, so dass die Organisation bestätigen kann, dass alle Änderungen in Übereinstimmung mit einem genehmigten Arbeitsauftrag vorgenommen wurden.

Authentifizierung von Personen oder Organisationen: 164.312(d)

Implementieren Sie Verfahren, um Personen oder Organisationen, die Zugang zu elektronischen geschützen Gesundheitsinformationen beantragen, zu authentifizieren.

Passwörter sind erforderlich, damit Benutzer auf ein System zugreifen können. LMI unterstützt außerdem die Integration mit IBM i-Benutzeranmeldeinformationen, und Community Manager unterstützt die LDAP-Integration mit Active-Directory-Anmeldeinformationen.

Personenübermittlungssicherheit: 164.312(e)(1)

Implementieren Sie technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf elektronische geschützte Gesundheitsinformationen, welche über ein elektronisches Kommunikationsnetz übertragen werden.

Benutzer greifen über verschlüsselte HTTPS-Sitzungen auf die webbasierten LMe-, Security Service Manager- und CM-Systeme zu. LMi verwendet verschlüsselte SSH-Sitzungen.

Alle übertragenen Daten, einschließlich Code, der in ein System eingetragen oder herausgeholt oder in neue Umgebungen verschoben wird, sind verschlüsselt.
Haben Sie Fragen? Rufen Sie uns an: U.S. +1 855-577-4323