Wed. Aug 10th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Achtergrondnoot: Het Information Technology Laboratory (ITL) van het National Institute of Standards and Technology (NIST) bevordert de Amerikaanse economie en het openbaar welzijn door technisch leiderschap te bieden voor de meet- en standaardinfrastructuur van het land. ITL ontwikkelt tests, testmethoden, referentiegegevens, proof of concept-implementaties, en technische analyses om de ontwikkeling en het productieve gebruik van informatietechnologie te bevorderen. De verantwoordelijkheden van ITL omvatten de ontwikkeling van management, administratief, technisch, en fysieke normen en richtlijnen voor de kosteneffectieve beveiliging en privacy van andere dan nationale veiligheidsgerelateerde informatie in federale informatiesystemen. Dit document van NIST biedt praktische richtlijnen en bronnen die kunnen worden gebruikt door gereguleerde entiteiten van elke omvang om ePHI te beschermen en de beveiligingsconcepten die worden besproken in de HIPAA-beveiligingsregel beter te begrijpen.

    NIST-aankondiging en speciale publicatie*

    NIST actualiseert richtlijnen voor cyberbeveiliging in de gezondheidszorg

    Herziene conceptpublicatie is bedoeld om organisaties te helpen voldoen aan de HIPAA-beveiligingsregel.

    Aankondiging (21 juli 2022)

    In een poging om zorgorganisaties te helpen de persoonlijke gezondheidsinformatie van patiënten te beschermen, heeft het National Institute of Standards and Technology (NIST) zijn cyberbeveiligingsrichtlijnen voor de gezondheidszorg bijgewerkt.

    De nieuwe conceptpublicatie van NIST, formeel getiteld Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), is ontworpen om de industrie te helpen de vertrouwelijkheid, integriteit en beschikbaarheid van elektronisch beschermde gezondheidsinformatie, of ePHI. De term omvat een breed scala aan patiëntgegevens, waaronder recepten, laboratoriumresultaten, en dossiers van ziekenhuisbezoeken en vaccinaties.

    „Een van onze belangrijkste doelen is om van de bijgewerkte publicatie meer een bronnengids te maken”, zegt Jeff Marron, een NIST-cyberbeveiligingsspecialist. „De herziening is meer uitvoerbaar, zodat zorgorganisaties hun cyberbeveiligingshouding kunnen verbeteren en kunnen voldoen aan de beveiligingsregel.”

    De Health Insurance Portability and Accountability Act van 1996 (HIPAA) is een federale wet die vereist dat nationale normen worden opgesteld om te voorkomen dat gevoelige gezondheidsinformatie van patiënten wordt bekendgemaakt zonder toestemming of medeweten van de patiënt. Onderdeel van HIPAA is de Security Rule, die specifiek gericht is op het beschermen van ePHI die een zorgorganisatie creëert, ontvangt, onderhoudt of verzendt. NIST stelt geen regelgeving op om HIPAA af te dwingen, maar het herziene ontwerp is in overeenstemming met de missie van NIST om richtlijnen voor cyberbeveiliging te bieden. De bijgewerkte richtlijnen van NIST komen vooral op het juiste moment omdat het Amerikaanse ministerie van Volksgezondheid en Human Services een toename heeft opgemerkt van cyberaanvallen die de gezondheidszorg beïnvloeden.

    NIST is op zoek naar opmerkingen over de conceptpublicatie tot 21 september 2022.

    Een van de belangrijkste redenen waarom NIST de herziening heeft ontwikkeld, is om deze te integreren met andere NIST-richtlijnen voor cyberbeveiliging die niet bestonden toen Revisie 1 in 2008 werd gepubliceerd. Sindsdien heeft NIST zijn bekende Cybersecurity Framework ontwikkeld en heeft het ook herhaaldelijk zijn verzameling beveiligings- en privacycontroles (NIST SP 800-53) bijgewerkt die organisaties kunnen gebruiken om hun eigen risicobeheerbenaderingen op maat te maken. Het nieuwe richtsnoer voor HIPAA-beveiligingsregels legt expliciete verbanden met deze en andere NIST-bronnen voor cyberbeveiliging.

    „We hebben alle elementen van de HIPAA-beveiligingsregel in kaart gebracht aan de subcategorieën Cybersecurity Framework en aan controles in de nieuwste versie van NIST SP 800-53”, zei Marron. „We hebben onze nadruk op de risicobeheercomponent van de richtlijnen vergroot, inclusief het integreren van concepten voor bedrijfsrisicobeheer.”

    Het ontwerp houdt rekening met meer dan 400 unieke reacties die NIST vorig jaar ontving op zijn pre-draft oproep tot het indienen van opmerkingen. Marron beschrijft het ontwerp meer als een vernieuwing dan als een herziening, aangezien de structuur van het document slechts licht is veranderd, maar de inhoud is bijgewerkt met een grotere nadruk op beoordeling en beheer van risico's voor ePHI. Veel van de belangrijke wijzigingen worden geïmpliceerd in de „Opmerking voor recensenten” van de publicatie, waarin lezers om gedachten over specifieke secties worden gevraagd.

    Marron zei dat, zoals bij veel gerelateerde NIST-cyberbeveiligingspublicaties, het herziene ontwerp niet bedoeld was als een checklist voor zorgorganisaties om te volgen, maar eerder om hen te begeleiden bij het verbeteren van hun risicobeheer voor ePHI.

    „We bieden een bron die u kan helpen bij het implementeren van de beveiligingsregel in uw eigen organisatie, die mogelijk specifieke behoeften heeft”, zei hij. „Ons doel is om begeleiding en bronnen te bieden die je kunt gebruiken in één leesbare publicatie.”

    NIST accepteert opmerkingen over het ontwerp tot 21 september 2022, per e-mail naar sp800-66-comments@nist.gov.

    Lees de originele aankondiging.

    Speciale NIST-publicatie - Eerste openbare ontwerp: implementatie van de HIPAA-beveiligingsregel - Een informatiegids voor cyberbeveiliging (PDF) - Mouseover om te scrollen

    NIST - Implementatie van de HIPAA-beveiligingsregel - Een informatiegids voor cyberbeveiliging

    Lees de originele publicatie.

    *Gedeeld met toestemming.

    Aanvullend lezen

    Een veilige ruimte? EDPB en EDPS nemen gezamenlijk advies aan over het voorstel voor een Europese ruimte voor gezondheidsgegevens

    Een solide basis? NIST publiceert een overzicht van digitale forensische methoden

    Bron: ComplexDiscovery

    Het topje van de ijsberg? Nieuw ENISA-rapport over bedreigingslandschap voor ransomware-aanvallen

    According to ENISA, this threat landscape report analyzed a total of...

    Betalen consumenten de prijs? De kosten van een datalek bereiken recordhoogte volgens nieuw IBM-rapport

    According to IBM Security, the annual Cost of a Data Breach Report...

    EPHi beschermen? NIST actualiseert richtlijnen voor cyberbeveiliging in de gezondheidszorg

    This new NIST Special Publication aims to help educate readers about...

    Bedreigingsactoren tegengaan? Sociale netwerkanalyse gebruiken voor Cyber Threat Intelligence (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Woon je bij Leeds? Exterro voltooit herkapitalisatie van meer dan $1 miljard

    According to the press release, with the support of a group...

    TCDI voltooit overname van de eDiscovery-praktijk van Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Fusies, overnames en investeringen van eDiscovery in Q2 2022

    From Magnet Forensics and TCDI to ArcherHall, the following findings, data...

    TCDI om de eDiscovery-praktijk van Aon over te nemen

    According to TCDI Founder and CEO Bill Johnson, “For 30 years,...

    Onderweg? 2022 eDiscovery Market Kinetics: vijf interessegebieden

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Vertrouw end op het proces? 2021 eDiscovery Processing Taak-, bestedings- en kostengegevens

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Het jaar in review? 2021 eDiscovery Review Taak-, uitgaven- en kostengegevenspunten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Een blik op eDiscovery Collection in 2021: gegevenspunten voor taken, uitgaven en kosten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Vijf geweldige lezingen over cyber-, data- en juridische ontdekking voor juli 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor juni 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor mei 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor april 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Droning On? Conflictbeoordelingen in Oekraïne in kaarten (3 - 7 augustus 2022)

    According to a recent update from the Institute for the Study...

    Noodsituatie verzachten? Conflictbeoordelingen in Oekraïne in kaarten (29 juli - 2 augustus 2022)

    According to a recent update from the Institute for the Study...

    Momentum-uitdagingen? Conflictbeoordelingen in Oekraïne in kaarten (24 - 28 juli 2022)

    According to a recent update from the Institute for the Study...

    Ondersteuning voor de haven? Conflictbeoordelingen in Oekraïne in kaarten (19 - 23 juli 2022)

    According to a recent update from the Institute for the Study...