Wat is HITRUST?

Door de subjectieve aard van HIPAA en de variabiliteit in audits (als voormalig Infosec-auditor voel ik me bevoegd om dit te zeggen), is het voor de betrokken entiteiten moeilijk om de naleving en beveiliging te beoordelen, zowel voor externe leveranciers als voor interne projecten (denk aan innovatiegroepen en onderzoek). Het resultaat is vaak dat het wiel opnieuw moet worden uitgevonden telkens wanneer een leverancier aan een nieuwe entiteit verkoopt en telkens wanneer een entiteit de beveiliging van een nieuwe leverancier beoordeelt. Het is ongelooflijk inefficiënt en rijp voor kansen om dingen over het hoofd te zien; dingen over het hoofd zien op het gebied van beveiliging en compliance stelt de betrokken entiteit bloot aan aanzienlijke risico’s. Enter HITRUST, een industrie-gedreven inspanning om te standaardiseren op een gemeenschappelijk, certificeerbaar kader ten voordele van zowel verkopers als gedekte entiteiten.

Inleiding tot HITRUST

HITRUST, oftewel de Health Information Trust Alliance, is eigenlijk helemaal geen raamwerk, maar de organisatie die het Common Security Framework, of CSF, heeft gemaakt en onderhoudt. Het CSF, momenteel in versie 7, is een certificeerbaar raamwerk dat verschillende andere compliance raamwerken en standaarden samenbrengt, of harmoniseert, waaronder HIPAA, PCI, ISO, en NIST. Door te “harmoniseren” brengt de CSF al deze normen samen, met de CSF als de centrale sleutel.

Volgens de website is HITRUST, en de bijbehorende CSF, “geboren uit de overtuiging dat informatiebeveiliging een kernpijler moet zijn van, in plaats van een belemmering voor, de brede toepassing van gezondheidsinformatiesystemen en -uitwisselingen.” Beveiliging en naleving zijn een essentieel onderdeel van het succes van gezondheidszorgtechnologie; ze kunnen niet worden genegeerd of als een bijkomstigheid worden behandeld. Zonder een gestandaardiseerd kader, proces en certificeringsinstantie is HIPAA vaak een obstakel voor gezondheidszorgtechnologie. HITRUST is een poging om verkopers te helpen hun beveiliging beter aan te tonen en om de betrokken entiteiten te helpen bij het stroomlijnen van beveiligings- en nalevingsbeoordelingen van verkopers. In die poging slaagt HITRUST. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.

(Image credit: HITRUST CSF Assurance Program)

CSF Domains and Controls

The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.

• Information Protection Program
• Endpoint Protection
• Portable Media Security
• Mobile Device Security
• Wireless Protection
• Configuration Management
• Vulnerability Management
• Network Protection
• Transmission Protection
• Password Management
• Access Control
• Audit Logging & Monitoring
• Education, Training & Awareness
• Third Party Security
• Incident Management
• Business Continuity & Disaster Recovery
• Risk Management
• Physical & Environmental Security
• Data Protection & Privacy

In addition to the above domains, HITRUST has 135 specific controls.

CSF Levels of Implementation

For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. De meeste organisaties hebben verschillende niveaus van implementatie voor verschillende controles en zijn niet alleen niveau 1 of 2 of 3 over de hele linie.

Ik denk dat dit het gebied is waarin de meeste verwarring bestaat over HITRUST, of in ieder geval het gebied waarin ons het meest gevraagd wordt over onze eigen HITRUST CSF Certificering. Het begin van elke HITRUST beoordeling, ongeacht het type beoordeling (zie Graden van Zekerheid hieronder voor meer daarover), is het verzamelen van informatie over de entiteit die wordt beoordeeld. Deze informatie wordt gebruikt om de organisatie, het systeem en de regelgevende vereisten voor de beoordeling te beoordelen. In concept wordt het risico of de reikwijdte van de beoordeling bepaald.

Deze stap staat ook in de HIPAA, maar maakt geen deel uit van de meeste beoordelingen. HIPAA staat controles toe die redelijk en passend zijn. In de woorden van HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. De meeste HIPAA-beoordelingen zijn one size fits all omdat er geen raamwerk is om reasonable en appropriate te interpreteren; uiteindelijk is het waarschijnlijk een goede zaak dat die niet worden geïnterpreteerd.

Bij het bepalen van het implementatieniveau stelt HITRUST dynamisch eisen voor elke organisatie en elke beoordeling. Net als de CSF in bredere zin, is het een gestandaardiseerd proces voor het bepalen van het implementatieniveau.

CSF Degrees of Assurance

HITRUST biedt 3 verschillende Degrees of Assurance, die in wezen niveaus van beoordeling zijn. De Graden van Zekerheid zijn afgestemd op de kosten, de mate van inspanning, de hoeveelheid tijd en de nauwkeurigheid. Elk niveau bouwt voort op het niveau eronder. Ter referentie: Datica heeft een CSF Certified-beoordeling voltooid, wat de hoogste mate van zekerheid is.

De volgende opties bestaan voor niveaus van zekerheid, beginnend met de laagste kosten, inspanning, tijd en nauwkeurigheid.

1. Zelfbeoordeling. Dit is eenvoudigweg een organisatie die de CB’s zelf uitvoert. Het is waardevol, meestal als een intern hulpmiddel voor de organisatie, omdat het wordt gedaan tegen een gestandaardiseerd kader. Er zijn geen externe partijen die enig aspect van de beoordeling verifiëren. Het resulteert in een door HITRUST uitgegeven CSF Self Assessment Report.

2. CSF Validated. Voor deze en de onderstaande CSF Certified-optie is een externe CSF Assessor nodig om de informatie te verifiëren die is verzameld door de organisatie die de beoordeling uitvoert. De CSF Assessor is goedgekeurd door HITRUST. Deze mate van zekerheid vereist een bezoek ter plaatse door de CSF Assessor. HITRUST beoordeelt de voltooide en gevalideerde beoordeling en geeft als resultaat een gevalideerd verslag af.

3. CSF Certified Vergelijkbaar met de gevalideerde beoordeling van de CSF, krijgt de organisatie die de beoordeling ondergaat een HITRUST CSF-certificering die twee jaar geldig is. De belangrijkste verschillen voor deze mate van zekerheid zijn dat de organisatie waaraan een HITRUST CSF-certificering is toegekend, voldoet aan alle certificeringsvereisten van de CSF. Dit bouwt voort op de CSF gevalideerde beoordeling in die zin dat HITRUST de inzendingen van de organisatie en de validatie van de derde partij beoordelaar beoordeelt en certificeert. In het geval van Datica duurde deze laatste stap voor certificering 3-4 maanden.

PCI for Healthcare

Er zijn parallellen tussen HITRUST en PCI. Voor degenen die niet bekend zijn: PCI is het compliance framework voor de financiële en betalingsverwerkende industrie. Het bereiken van PCI compliance is zeer ingewikkeld, vergelijkbaar met een Certified HITRUST Assessment. Terwijl HIPAA is geschreven en technisch wordt gehandhaafd door de federale overheid (met name HHS), is de CSF geschreven en wordt gehandhaafd door HITRUST, dat wordt bestuurd door een representatief orgaan uit de gezondheidszorgindustrie.

In veel opzichten is HITRUST een poging van de gezondheidszorgindustrie om een gestandaardiseerde, PCI-achtige certificering te creëren. Wat de handhaving betreft, is het de bedoeling dat de gezondheidszorgsector, in tegenstelling tot de HHS, HITRUST afdwingt door gecertificeerde beoordelingen van zakenpartners en onderaannemers te eisen. Er zijn nog steeds hiaten in de adoptie binnen de gezondheidszorg, maar het tij is duidelijk aan het keren nu meer en meer entiteiten verwachten dat leveranciers HITRUST CSF Certified zijn.

HITRUST vs HIPAA

Zoals hierboven vermeld, bouwt HITRUST voort op HIPAA. Het neemt HIPAA, een niet-gestandaardiseerd en niet-voorschrijvend raamwerk voor naleving, en creëert een gestandaardiseerd raamwerk voor naleving, beoordeling, en certificeringsproces voor de gezondheidszorg. Daarbij wordt HIPAA “geharmoniseerd” met andere raamwerken voor naleving, zoals PCI en NIST. HITRUST past ook de eisen voor certificering aan de risico’s van een organisatie aan, op basis van organisatorische, systeem- en regelgevingsfactoren.

In tegenstelling tot HIPAA, dat straffen heeft vastgesteld voor inbreuken op de beveiliging, is de handhaving van HITRUST afhankelijk van de gezondheidszorgindustrie zelf, meestal gedekte entiteiten zoals ziekenhuizen en betalers, die HITRUST CSF certificering van verkopers eisen. HITRUST heeft snel ingang gevonden in de gezondheidszorg en we zien het meer en meer als een verwachting voor leveranciers. Hoewel het niet altijd vereist is als een stap in de implementatie van een nieuwe technologie, stroomlijnt HITRUST zeker de beveiliging en compliance stap in het implementatieproces.

Hij heeft zowel HIPAA audits als een Certified CSF Assessment ondergaan, het is veilig om te zeggen dat HITRUST CSF Certificering een veel strenger proces is, met een hogere bewijslast voor de organisatie die de certificering probeert te bereiken, dan een HIPAA audit. Het bereiken van HITRUST CSF certificering vereist aanzienlijk meer tijd, inspanning en middelen dan een HIPAA audit. HITRUST CSF Certified moet worden gezien als een belangrijkere badge voor beveiliging en compliance dan het voltooien van een HIPAA-audit.

Als u een HITRUST assessment overweegt of hebt voltooid, voel u vrij om contact op te nemen met vragen of feedback.