Het Office for Civil Rights (OCR) van het Amerikaanse ministerie van Volksgezondheid en Human Services (HHS) is dat wel nieuwe eisen op het gebied van cyberbeveiliging voorstellen voor gezondheidszorgorganisaties gericht op het beschermen van de privégegevens van patiënten in het geval van cyberaanvallen, rapporten Reuters. De regels komen na grote cyberaanvallen, zoals de aanval waarbij eerder dit jaar de privégegevens van meer dan 100 miljoen UnitedHealth-patiënten lekten.
De Het voorstel van OCR omvat onder meer de eis dat gezondheidszorgorganisaties multifactorauthenticatie in de meeste situaties verplicht stellen, dat zij hun netwerken segmenteren om de risico’s te verminderen dat inbraken zich van het ene systeem naar het andere verspreiden, en dat zij patiëntgegevens versleutelen zodat deze, zelfs als deze worden gestolen, niet toegankelijk zijn. Het zou gereguleerde groepen ook de opdracht geven om bepaalde risicoanalysepraktijken uit te voeren, nalevingsdocumentatie bij te houden, en meer.
De regel maakt deel uit van de cyberbeveiligingsstrategie die de regering-Biden vorig jaar aankondigde. Eenmaal voltooid, zou het de beveiligingsregel van de Health Insurance Portability and Accountability Act van 1996 (HIPAA) bijwerken, die artsen, verpleeghuizen, zorgverzekeraars en meer reguleert, en voor het laatst werd bijgewerkt in 2013.
De Amerikaanse plaatsvervangend nationaal veiligheidsadviseur Anne Neuberger schatte de kosten voor het implementeren van de vereisten op “naar schatting $9 miljard in het eerste jaar, en $6 miljard in de jaren twee tot en met vijf”, schrijft Reuters. Het voorstel zal worden gepubliceerd in het Federal Register op 6 januariwaarmee de openbare commentaarperiode van 60 dagen begint voordat de definitieve regel wordt vastgesteld.
