HHS vraagt om opmerkingen over HIPAA/HITECH Act: Erkende beveiligingspraktijken en methodologieën om benadeelde personen te compenseren
Op 4 april 2022 heeft het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) een verzoek om informatie (RFI) gepubliceerd waarin het HIPAA-gereguleerde entiteiten en zakenpartners om input vraagt over hoe de sector de zogenaamde "erkende beveiligingspraktijken" uit de HITECH Act begrijpt en implementeert. In het verzoek om informatie (RFI) wordt ook gevraagd om input van de sector over de manier waarop personen die schade hebben geleden door schendingen van de HIPAA-regels, moeten worden gecompenseerd.
Erkende beveiligingspraktijken
De HITECH Act werd in 2021 gewijzigd om HHS te verplichten rekening te houden met "erkende beveiligingspraktijken" van betrokken entiteiten en zakenpartners die de afgelopen 12 maanden van kracht waren bij het vaststellen van boetes, auditresultaten of andere maatregelen voor het oplossen van mogelijke schendingen van de HIPAA-beveiligingsregel. De HITECH Act verplicht gedekte entiteiten en zakenpartners niet om "erkende beveiligingspraktijken" te implementeren, maar vereist wel dat erkende beveiligingspraktijken in overeenstemming zijn met de HIPAA-beveiligingsregel. De beveiligingspraktijken die door HHS in overweging worden genomen, moeten voldoen aan de volgende definitie van "erkende beveiligingspraktijken" volgens de gewijzigde HITECH Act:
- The standards, guidelines, best practices, methodologies, procedures, and processes developed under section 2(c)(15) of the National Institute of Standards and Technology (NIST) Act</a>;
- The approaches promulgated under section 405(d) of the Cybersecurity Act of 2015</a>; or
- Andere programma's en processen die betrekking hebben op cyberbeveiliging en die zijn ontwikkeld, erkend of afgekondigd via regelgeving onder andere wettelijke bevoegdheden.
In de RFI stelt HHS dat het voor een organisatie niet voldoende is om "alleen maar vast te stellen en te documenteren" dat de erkende beveiligingspraktijken worden toegepast. HHS zegt: "De entiteit moet ook aantonen dat de praktijken volledig zijn geïmplementeerd, wat betekent dat de praktijken actief en consistent worden toegepast door de betrokken entiteit of zakenpartner gedurende de relevante periode", d.w.z. de terugblikperiode van 12 maanden. Opgemerkt moet worden dat de HITECH Act niet vermeldt welke actie het begin van de terugblikperiode van 12 maanden in gang zet.
Het is echter onwaarschijnlijk dat het beveiligingsplan van een entiteit dat snel wordt uitgerold na ontvangst van een onderzoeksbrief van het HHS naar aanleiding van een gegevensincident of klacht, voldoet aan de vereiste terugblikperiode. Entiteiten moeten daarom bepalen of hun beveiligingspraktijken voldoen aan de drempels in de HITCH Act voor "erkende beveiligingspraktijken" en, indien dat niet het geval is, snel actie ondernemen om die beveiligingspraktijken in overeenstemming te brengen, zodat de klok begint te tikken voor de terugblikperiode van 12 maanden.
In de RFI vraagt HHS specifiek om commentaar op vragen, waaronder:
- Welke erkende beveiligingspraktijken hebben gereguleerde entiteiten geïmplementeerd of zijn ze van plan te implementeren? Op welke normen, benaderingen, richtlijnen enz. op grond van de NIST Act of Cybersecurity Act baseren entiteiten zich in het bijzonder?
- Welke stappen ondernemen entiteiten om ervoor te zorgen dat de erkende beveiligingspraktijken "van kracht" zijn en in de hele onderneming worden toegepast?
- Welke stappen ondernemen entiteiten om ervoor te zorgen dat erkende beveiligingspraktijken gedurende een periode van 12 maanden actief en consistent worden toegepast?
Deze RFI is de perfecte kans voor HIPAA-gereguleerde entiteiten om HHS te laten weten hoe zij erkende beveiligingspraktijken implementeren en welke mogelijke informatie of verduidelijkingen HHS zou moeten verstrekken. Dit is een kans voor gereguleerde entiteiten om aan te geven welke kaders zij hebben geïmplementeerd en waarom, met name als de entiteit een ander kader gebruikt dan de NIST Act- of Cybersecurity Act-kaders die in de HITECH Act worden genoemd. Als een gereguleerde entiteit zich afvraagt of het door haar gekozen kader toereikend is, kan HHS hierover commentaar geven in zijn reactie op de ontvangen RFI-opmerkingen.
Antwoorden op de RFI moeten een beschrijving bevatten van de maatregelen die entiteiten hebben getroffen, samen met een korte uitleg over hoe deze maatregelen voldoen aan de vereisten volgens de definitie in de HITECH Act. Entiteiten kunnen hun antwoord ook gebruiken als een kans om gebeurtenissen of acties te definiëren die volgens hen moeten worden beschouwd als het begin van de terugblikperiode van 12 maanden voor hun beveiligingspraktijken. Door HHS een momentopname te geven van hoe entiteiten beveiligingspraktijken implementeren of van plan zijn te implementeren, kunnen entiteiten helpen bij het vormgeven van de interpretatie van dit deel van de HITECH Act op een manier die praktisch is voor de risico's en uitdagingen waarmee entiteiten in de gezondheidszorg worden geconfronteerd.
Methodologieën om benadeelde personen te compenseren
HHS vraagt ook om opmerkingen over de soorten schade die in aanmerking moeten worden genomen bij de toekenning van civielrechtelijke geldboetes (CMP's) en financiële schikkingen aan benadeelde personen wegens niet-naleving van de HIPAA. Momenteel is schade niet gedefinieerd. HHS wil met name feedback over vragen als:
- Wat vormt een vergoedbare schade met betrekking tot schendingen van de HIPAA-regels?
- Welk soort schade moet in aanmerking worden genomen? Bijvoorbeeld schade uit het verleden versus toekomstige schade? Economische schade versus emotionele schade? Werkelijke schade versus vermeende schade? Alleen schade die als verzwarende factor wordt aangemerkt bij de beoordeling van CMP's (fysieke, financiële, reputatieschade en het vermogen om gezondheidszorg te verkrijgen)?
- Hoe moeten benadeelde personen worden geïdentificeerd? Hoe moeten zij op de hoogte worden gesteld? Wat als zij zijn overleden? Wat als zij niet kunnen worden gelokaliseerd? Binnen welke termijn na een schikkingsovereenkomst of het opleggen van een CMP moeten personen claims indienen om in aanmerking te komen voor uitbetaling?
- Welke methodologieën moet HHS overwegen voor het delen en verdelen van geld aan benadeelde personen? Moet er een minimum- of maximumbedrag of -percentage zijn? Moet er een beroepsprocedure zijn? HHS nodigt het publiek uit om alternatieve methodologieën ter overweging in te dienen.
Opmerkingen moeten uiterlijk op 6 juni 2022 worden ingediend.
