Ga naar hoofdinhoud

Naleving

HIPAA Technical Safeguard-afstemming

Versie 1.2 · Ingangsdatum: 2026-06-13 · Laatst bijgewerkt: 2026-06-13

AuthDeep biedt maatregelen die relevant zijn voor de HIPAA Security Rule, maar beheerders moeten zelf risicoanalyses uitvoeren en vereiste BAA's sluiten voordat managed PHI-verwerking begint.

1. Status en verantwoordelijkheid

Deze pagina beschrijft technische aansluiting en is geen juridisch advies of certificering. Zorgbeheerders blijven verantwoordelijk voor HIPAA-risicoanalyse, beleid, personeel, infrastructuur, meldingen en contracten met dienstverleners.

2. Toegang en authenticatie

Rolgebaseerde toegang, unieke gebruikers, MFA, passkeys, instelbare sessies, gecontroleerde noodtoegang voor beheerders, eenmalige herstelcodes en defensieve credentialverwerking ondersteunen 45 CFR §164.312(a) en (d).

3. Audit en integriteit

Authenticatie- en beheeractiviteiten worden met actor, tijd, verzoek en tenant geregistreerd; exports ondersteunen SIEM en bewijs. Veilige sessies, verzoekbescherming, ondertekende integratie en veilige databasetoegang beperken ongeautoriseerde wijziging.

4. Transportbeveiliging

TLS is verplicht op publieke, loopback- en interne netwerkverbindingen. Sessiecookies zijn Secure en HttpOnly. PHI hoort niet in URL's, querystrings of ongeschikte logs; back-ups en exports moeten worden beschermd.

5. Datasoevereiniteit bij self-hosting

Bij een door de klant beheerde implementatie blijft PHI in klantinfrastructuur en wordt het niet aan AuthDeep gestuurd. De beheerder blijft verantwoordelijk voor hostingproviders en BAA's met hen.

6. BAA en managed verwerking

Enterprise-klanten moeten een BAA aanvragen en sluiten voordat een managed AuthDeep-opdracht PHI verwerkt. Plaats geen PHI in supporttickets zonder geldige overeenkomst en goedgekeurd veilig proces.

7. Incident- en inbreukprocedure

Bij managed verwerking beperkt AuthDeep toegang, bewaart bewijs, onderzoekt en informeert de klant zonder onredelijke vertraging volgens de BAA. Self-hosted beheerders blijven verantwoordelijk voor eigen beoordeling en meldingen.

BeveiligingsoverzichtNeem contact opAlle juridische pagina's