Vorgeschlagene Regeln zur Verbesserung der Datensicherheit im Gesundheitswesen in den USA

Neue Cybersicherheitsvorschriften für Gesundheitsorganisationen

Das US-Gesundheitsministerium (HHS) wird über sein Büro für Bürgerrechte (OCR) strenge Cybersicherheitsanforderungen für Gesundheitsorganisationen vorschlagen. Diese Initiative ist eine direkte Reaktion auf sich entwickelnde Cyberbedrohungen und zielt darauf ab, den Schutz der privaten Daten von Patienten vor potenziellen Verletzungen während Cyberangriffen zu verstärken.

Hintergrund des Vorschlags

Jüngste große Cybervorfälle, wie der Datenschutzvorfall, der die privaten Informationen von über 100 Millionen UnitedHealth-Patienten zu Beginn des Jahres gefährdete, haben den dringenden Bedarf an robusteren Cybersicherheitsmaßnahmen im Gesundheitssektor hervorgehoben. Diese neuen Vorschriften sind Teil einer umfassenderen Strategie der Biden-Administration zur Verbesserung des Cybersicherheitsrahmens in verschiedenen Branchen.

Wesentliche Merkmale des Vorschlags

• Verpflichtende Multifaktor-Authentifizierung: Der Vorschlag wird verlangen, dass Gesundheitsorganisationen die Multifaktor-Authentifizierung als Standardpraxis implementieren, um die Zugriffssicherheit erheblich zu verbessern.
• Netzwerksegmentierung: Organisationen werden verpflichtet, ihre Netzwerke zu segmentieren, was helfen kann, Verletzungen zu isolieren und potenzielle Eingriffe auf spezifische Bereiche ihrer Systeme zu beschränken.
• Datenverschlüsselung: Die Verschlüsselung von Patientendaten wird eine zentrale Anforderung sein, um sicherzustellen, dass selbst wenn Daten kompromittiert werden, sie für unbefugte Personen unzugänglich bleiben.
• Risikobewertung und Compliance-Dokumentation: Gesundheitsorganisationen müssen umfassende Risikobewertungspraktiken durchführen und Dokumentationen führen, um die Einhaltung der neuen Vorschriften nachzuweisen.

Finanzielle Auswirkungen

Die stellvertretende nationale Sicherheitsberaterin der USA, Anne Neuberger, hat angedeutet, dass die Kosten für die Implementierung dieser Cybersicherheitsmaßnahmen im ersten Jahr etwa 9 Milliarden US-Dollar betragen könnten. Danach wird der geschätzte jährliche Kostenaufwand für die folgenden vier Jahre auf etwa 6 Milliarden US-Dollar prognostiziert.

Zeitplan für die Implementierung

Der offizielle Vorschlag soll am 6. Januar im Bundesanzeiger veröffentlicht werden, was eine 60-tägige öffentliche Kommentierungsphase einleiten wird. Nach diesem Feedbackzeitraum wird eine endgültige Regelung festgelegt, die die Sicherheitsregelung, die im Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen von 1996 (HIPAA) festgelegt ist, weiter aktualisiert. Diese Regelung gilt für eine Vielzahl von Gesundheitsdienstleistern, einschließlich Ärzte, Pflegeheime und Krankenversicherungsunternehmen, und wurde seit 2013 nicht wesentlich aktualisiert.

Fazit

Die bevorstehenden Vorschriften unterstreichen einen proaktiven Ansatz zur Verbesserung der Cybersicherheit im Gesundheitssektor, mit dem Ziel, sensible Patienteninformationen vor der zunehmenden Häufigkeit von Cyberangriffen zu schützen. Während sich die Branche auf diese erwarteten Änderungen vorbereitet, wird der Fokus darauf liegen, sich an neue Sicherheitsmaßnahmen anzupassen, die nicht nur Daten schützen, sondern auch das Vertrauen der Patienten in das Gesundheitssystem fördern.