HIPAA-Konformitätserklärung

Laden Sie eine Kopie der HIPAA-Konformitätserklärung herunter

 

Was ist Face2Gene?

Face2Gene ist eine Reihe von Phänotypisierungsanwendungen, die umfassende und präzise genetische Bewertungen ermöglichen. FDNA verwendet Gesichtsanalyse, tiefes Lernen und künstliche Intelligenz, um Big Data in umsetzbare genomische Erkenntnisse umzuwandeln und so Diagnostik und Therapie zu verbessern und zu beschleunigen.

 

Hintergrund

Mit dem raschen Fortschritt von Gesundheitstechnologien wie mobilen medizinischen Apps und Cloud Computing und ihrer zunehmenden Integration in soziale Medien wie Facebook ist der Schutz personenbezogener Daten von größter Bedeutung geworden.

 

Die Centers for Medicare & Medicaid Services (CMS) bieten Leitlinien zu Sicherheitsstandards für den Schutz von EPHI (Electronic Protected Health Information). Diese Anleitung wird in den 45 CFR-Teilen 160 und 164 Teil A und C beschrieben und ist allgemein als Sicherheitsregel bekannt. Die Sicherheitsregel setzt Bestimmungen zum Datenschutz in HIPAA (Health Insurance Portability and Accountability Act) um.

 

Risikoanalyse

Der erste erforderliche Schutz in der Sicherheitsregel ist eine Risikoanalyse - „Im Rahmen des Risikomanagementprozesses führt das Unternehmen eine jährliche Risikoanalyse für seine Produkte durch, um die Software- und Datensicherheit zu analysieren.“. Die Sicherheitsregel enthält spezifische Anforderungen für Sicherheitsmaßnahmen. Artikel markiert (R) sind erforderlich und Artikel markiert (EIN) müssen gemäß den Ergebnissen der Risikoanalyse angegangen werden.

 

Um die Risiken für EPHI zu verringern, müssen abgedeckte Unternehmen und ihre Geschäftspartner wie FDNA die entsprechenden technischen Sicherheitsvorkehrungen für ihre Geschäftssituation treffen - dies ist das Grundprinzip der Risikoanalyse. Der effektivste Schutz besteht darin, so wenig EPHI wie möglich zu speichern. In diesem Umfang:


Wir sammeln das minimal erforderliche EPHI, um die ordnungsgemäße Verwendung von Face2Gene sicherzustellen. Dieses EPHI kann Folgendes enthalten: Gesichtsbilder von Patienten oder andere hochgeladene Patientenakten, Fallname, Geburtsdatum, Besuchsdatum und fallbezogene Notizen. Diese Datentypen werden in einem verschlüsselten Dateivolumen gespeichert und sind für andere Benutzer von Face2Gene standardmäßig nicht zugänglich, es sei denn, der Endbenutzer hat ausdrücklich und aktiv etwas anderes festgelegt. Alle digitalen Kommunikationsverbindungen zwischen Benutzern und der privaten Face2Gene-Cloud erfolgen über sichere, verschlüsselte Kommunikationsprotokolle. Ein automatischer Lernalgorithmus wird anonym auf EPHI angewendet, das im Dateivolumen seiner FDNA gespeichert ist, um die Phänotypisierungstechnologien der nächsten Generation von FDNA zu trainieren und zu verbessern. Es liegt in der Verantwortung der Benutzer, die entsprechende Zustimmung der Patienten zum Hochladen von EPHI in Face2Gene einzuholen.


FDNA hat eine Bedrohungsanalyse der mobilen App und Dienste von Face2Gene durchgeführt. Bei der Bedrohungsanalyse wurden Angriffsszenarien berücksichtigt, die Systemverfügbarkeit, EPHI-Vertraulichkeit, Integrität und Verfügbarkeit sowie Angriffe auf Code- und Dienstkonfigurationen umfassen. Die Ergebnisse der Bedrohungsanalyse leiten FDNA bei der Umsetzung von Sicherheitsvorkehrungen.

 

Personen- oder Entitätsauthentifizierung (R)

Für diesen Schutz müssen ein gedecktes Unternehmen und seine Lieferanten dies tun "Implementieren Sie Verfahren, um zu überprüfen, ob eine Person oder Organisation, die Zugang zu elektronisch geschützten Gesundheitsinformationen sucht, diejenige ist, die behauptet wird."

Durch die Authentifizierung in FDNA wird sichergestellt, dass eine Person tatsächlich derjenige ist, für den sie sich ausgibt, bevor sie auf bestimmte Funktionen in Face2Gene zugreifen darf. Dies wird erreicht, indem ein zufriedenstellender Identitätsnachweis erbracht wird, um zu bestätigen, dass ein neuer Benutzer ein medizinisches Fachpersonal ist. Nach Abschluss der In-App-Registrierung wird ein neuer Benutzer von FDNA auf die Verwendung der App überprüft. Die Benutzerauthentifizierung basiert auf einem E-Mail-Benutzernamen und sicheren Kennwörtern mit mindestens 7 Zeichen, einschließlich mindestens 1 Buchstaben und 1 Ziffern. Neuen Benutzern, die behaupten, Angehörige der Gesundheitsberufe zu sein, die die Identitätsprüfung von FDNA nicht bestehen, wird ein eingeschränktes Face2Gene-Konto zugewiesen, in dem alle Funktionen für den Informationsaustausch deaktiviert sind, bis der nicht überprüfte Status geändert wird.

 

Zugangskontrolle

Die Sicherheitsregel definiert den Zugriff als "Die Fähigkeit oder die Mittel, die erforderlich sind, um Daten / Informationen zu lesen, zu schreiben, zu ändern oder zu kommunizieren oder auf andere Weise eine Systemressource zu verwenden".

 

FDNA hat die Zugriffskontrolle im Face2Gene-System wie folgt implementiert:

 

  1. Eindeutige Benutzeridentifikation (R) - Eine eindeutige Benutzeridentifikation wird für Endbenutzer in der mobilen Face2Gene-App sowie für Systemadministratoren und Softwareentwickler bereitgestellt. Die Authentifizierung und Gewährung des Zugriffs auf Webdienste, die von der Mobilteil-App verwendet werden, werden mithilfe eines Token-Austauschprotokolls durchgeführt.
  2. Notfallzugriffsverfahren (R) - Endbenutzer der mobilen Face2Gene-App verfügen über ein Online-Kennwortwiederherstellungsverfahren und können über das Mobiltelefon auf ihre Daten zugreifen.
  3. Automatische Abmeldung (A) - Die mobile App meldet sich nach 48 Stunden Inaktivität automatisch ab.
  4. Verschlüsselung und Entschlüsselung (A) - EPHI (fotografische Gesichtsbilder) wird auf dem verschlüsselten Serverdateivolumen gespeichert.

.
Richtlinie für mobile Geräte

Zusätzlich zu den Anforderungen an Sicherheitsregeln für die Zugriffskontrolle erkennt FDNA, dass innovative mobile Apps wie Face2Gene Teil einer vielfältigen mobilen IT-Umgebung sind, die neue Bedrohungen einführt und geeignete Sicherheitsmaßnahmen erfordert. Falls ein Benutzer ein verlorenes oder gestohlenes Mobilgerät hat, kann ein Benutzer das Gerät über die Unterstützung von FDNA remote de-authentifizieren.

 

Benutzern von Face2Gene wird empfohlen, Sicherheitsfunktionen auf Geräteebene zu verwenden, z. B. das Erfordernis eines Kennworts oder einer PIN, wenn der Bildschirm eingeschaltet wird, um eine zusätzliche Schutzschicht bereitzustellen.

 

In einer Unternehmensnetzwerkumgebung ermöglicht FDNA IT-Abteilungen von Gesundheitsorganisationen wie Krankenhäusern, die folgenden spezifischen Sicherheitsgegenmaßnahmen zu implementieren, die ihren Richtlinien für mobile Geräte unterliegen, und zwar mithilfe von MDM-Software (Mobile Device Management):

 

  1. Kontrollierte Verteilung und Bereitstellung der Face2Gene-App mithilfe eines Tools wie der Mobile Iron Enterprise App Storefront.
  2. Remote Lock and Wipe, mit dem IT-Administratoren vertrauliche Daten aus der Ferne vom Gerät entfernen können.
  3. Ermöglichen Sie IT-Administratoren, Benutzer hinzuzufügen / zu entfernen und Kennwörter zurückzusetzen.
  4. Deaktivieren Sie die Persistenz von Bildern auf dem lokalen iOS-Speicher (gemäß den Sicherheitsrichtlinien für mobile Geräte).
  5. Such features require installing an enterprise version of Face2Gene under a separate license. To learn more about an enterprise license of Face2Gene, please contact [email protected]

 

Audit-Kontrollen

Die Audit Controls-Sicherheitsvorkehrungen verlangen von einem abgedeckten Unternehmen, dass "Implementieren Sie Hardware, Software und / oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronisch geschützte Gesundheitsinformationen enthalten oder verwenden." FDNA verwaltet umfassende Überwachungsprotokolle auf seinen Cloud-Servern:

 

  1. Inhalt der Überwachungskontrollen: Zugriff und alle fehlgeschlagenen Anmeldeversuche. Nachrichten auf Systemebene wie geplante Jobausführung und Mailserver-bezogene Nachrichten.
  2. Reduzierung der Audits und Berichterstellung: Protokolle werden beibehalten und über einen Aufbewahrungszyklus von 7 Tagen durchlaufen. Berichte können auf Anfrage erstellt werden.
  3. Aufbewahrung von Überwachungsdatensätzen: Protokolle durchlaufen einen Aufbewahrungszeitraum von 7 Tagen.
  4. Nicht erfolgreiche Anmeldungen: Dokumentiert in auth.log.

.
Übertragungssicherheit

Für Sicherheitsmaßnahmen bei der Übertragung muss ein gedecktes Unternehmen: "Implementieren Sie technische Sicherheitsmaßnahmen, um den unbefugten Zugriff auf elektronisch geschützte Gesundheitsinformationen zu verhindern, die über ein elektronisches Kommunikationsnetz übertragen werden." Diese schließen ein:

 

  1. Integritätskontrollen (A) - Implementieren Sie Sicherheitsmaßnahmen, um sicherzustellen, dass elektronisch übertragene elektronisch geschützte Gesundheitsinformationen bis zur Entsorgung nicht ohne Erkennung unangemessen geändert werden.
  2. Verschlüsselung (A) - Implementieren Sie einen Mechanismus zum Verschlüsseln elektronisch geschützter Gesundheitsinformationen, wann immer dies als angemessen erachtet wird.

 

Face2Gene verschlüsselt die Verbindung zwischen dem mobilen Gerät und den Cloud-Diensten mithilfe von SSL (Secure Sockets Layer). Die Verbindung wird mit AES_256_CBC verschlüsselt, mit SHA1 für die Nachrichtenauthentifizierung und DHE_RSA als Schlüsselaustauschmechanismus.

 

Zusammenfassung
Face2Gene ist eine einzigartige und innovative mobile Such- und Referenzanwendung, die auf der intelligenten Phänotypisierungstechnologie basiert. FDNA hat die entsprechenden Sicherheitsvorkehrungen im Rahmen einer Verpflichtung des Unternehmens zum Schutz personenbezogener Daten durch ein starkes Sicherheits- und Compliance-Management-Programm implementiert.

 

August 20, 2018 aktualisiert

 

Laden Sie eine Kopie der HIPAA-Konformitätserklärung herunter

FDNA Telehealth kann Sie einer Diagnose näher bringen.
Vereinbaren Sie innerhalb von 72 Stunden ein Online-Treffen zur genetischen Beratung!

EspañolDeutschPortuguêsFrançaisEnglish