HIPAA compatibele Streaming Video / Videovergaderingen in WordPress

HIPAA is de Verenigde Staten federale gezondheid Insurance Portability and Accountability Act van 1996. Het primaire doel van de wet is gemakkelijker voor mensen om te houden van de ziektekostenverzekering, bescherming van de vertrouwelijkheid en veiligheid van medische informatie en helpen van de sector van de gezondheidszorg bepalen van administratieve kosten in Verenigde Staten.

The HIPAA Privacy Rule is composed of US national regulations for the use and disclosure of Protected Health Information (PHI) in healthcare treatment, payment and operations by covered entities

Wanneer wordt een softwareleverancier beschouwd als een zakenpartner onder HIPAA?

Als een leverancier of onderaannemer uitzendt, onderhoudt, of heeft routinematige toegang tot beschermde medische gegevens (PHI) bij het verlenen van haar diensten aan een overdekte entiteit dan het wordt beschouwd als een zakenpartner. Bijvoorbeeld, een leverancier die de software met informatie voor de patiënt op een eigen server host of toegang heeft tot informatie voor de patiënt bij het oplossen van de software, vervolgens wordt beschouwd als een zakenpartner en moet het hebben van een zakelijke overeenkomst koppelen aan de overdekte entiteit als omschreven in de HIPAA Privacy-regel 45 C.F.R. § 164.504(e).

De enige uitzondering onder HITECH sectie 13408 in het geval van een data transmissie organisatie die als een geleider optreedt, in die zin dat het vervoert alleen informatie, maar geen toegang tot het, zoals de US Postal Service of het elektronische equivalent — Internet serviceproviders (ISP 's), een telecommunicatie-bedrijf, enz. Terwijl deze toegang tot PHI hebben kunnen, zij alleen toegang tot PHI op een willekeurige of onregelmatige basis als nodig voor de uitvoering van het vervoer of als vereist door de wet: “[D]ATA transmissie organisaties die geen toegang tot beschermde medische gegevens aan een routinecontrole te onderwerpen vereisen zou niet worden behandeld als zakelijke contacten” (p. 22)

Using VideoWhisper Software for HIPAA Projects

Voor VideoWhisper software, gegevens die worden verzonden door clients wordt medegedeeld met server hosting, niet softwareleverancier. Security compliance requirements refer to site and hosting setup where customer data is stored.
So you can get the videochat software and deploy it on your HIPAA compliant host that meets software requirements and safeguards client data.

Exception under HITECH section 13408 may also apply to a remote streaming provider as telecommunication company that only transports the streaming data and does not access it.
If such usage fits your project requirements, you could also take a look at HostRTMP.com service that provides remote RTMP hosting for the live streams. On such setup, customer data would be on HIPAA compliant web host and only the live streaming would be done trough the external service.

Hier zijn enkele overwegingen/ideeën voor het bouwen van een HIPAA compatibele video streaming / chatdienst:

Veilige Streaming gegevens voor videoconferentie toepassingen

  • Videostreaming plaatsvindt tussen clienttoepassingen en streaming server (host) en toegang tot toepassingen kan worden beperkt op basis van verificatie.
  • Daarnaast, overdrachten kunnen worden beschermd en gegevens gecodeerd met behulp van RTMPE/RTMPS op een dedicated server met Wowza .
  • Gebruiker streaming naar de server kan worden gearchiveerd als video bestanden op RTMP-server. Toegang tot video archief en text chat logs moet worden beperkt. Als met deze mappen toegankelijk voor het publiek zijn, beperking kan worden toegepast met een .htaccess bestand (die kunnen gegenereerd worden met CPanel map beschermen functie).

Deze noemt ook van toepassing op VideoWhisper video-streaming en conferencing applicaties.

HIPAA Hosting

  • U moet voor het hosten van uw WordPress-site met een hosting provider die zorgt voor de naleving van de HIPAA en die zal uw HIPAA Business Associate-overeenkomst ondertekenen. Dit betekent dat HIPAA WordPress hosting met reguliere aanbieders zoals GoDaddy niet meteen mogelijk is.
  • Met behulp van een dedicated server beheerd door uw eigen beheerders of een HIPPA provider is best.
  • Als de server of site software is ingesteld door een 3e partij provider, wachtwoorden moeten worden gewijzigd en uw eigen personeel moet wijzigingen bekijken voordat u de site voor gevoelige gegevens.

Setup VideoWhisper and 3rd party HIPAA Hosting

  • A regular license for VideoWhisper will remove all limitations and intrusive ads from the flash application when run from licensed domain. Also includes one installation on compatible hosting (zie vereisten).
    https://videowhisper.com/?p=Invest
  • VideoWhisper administrators can take care of server setup.
    A complete service with complete original setup and 6 months administration/assistance and also installation services separately are available.
    https://videowhisper.com/?p=RTMP-Server-Administration
    After original setup, password can be changed or access can be restricted in other ways (by keys, IP) to protect server during usage with real user data.

Server and Hosting Software Required

  • A HIPAA dedicated server or VPS with CentOS 7 and root SSH access will be needed to configure requirements.
    HIPAA servers can be ordered from: AWS, RackSpace, LiquidWeb.
  • As described in vereisten, for HTML5/mobile support Wowza Streaming Engine is required.
    Projects can start with a free Wowza SE trial license key during development.
    https://www.wowza.com/media-server/developers/license
  • For the web hosting part VideoWhisper recommends WHM/CPanel usually available from hosting provider (but can also be ordered separately https://cpanel.net/pricing/).
  • Optionele: WordPress can be easily setup and backed up automatically with Softaculous.
    https://www.softaculous.com/softaculous/pricing

Beveiligde HTTP (HTTPS)

  • Een SSL-certificaat en de specifieke IP-adres krijgen voor uw website, zodat verkeer naar/van het kan worden gecodeerd in transit.
  • Ervoor zorgen dat uw WordPress site niet toegankelijk zonder SSL (.htaccess omleiden)

Beperk de toegang tot elektronische beschermde medische informatie (ePHI)

Elektronische beschermde medische informatie (ePHI) verwijst naar een beschermde gezondheidsinformatie (PHI) dat wordt gedekt door de Health Insurance Portability and Accountability Act van 1996 (HIPAA) beveiligingsvoorschriften en wordt geproduceerd, opgeslagen, overgedragen of ontvangen in elektronische vorm.

Bescherming is afhankelijk van een site opzetten, procedures voor personeel en werking.

  • Zorgen dat ePHI nooit publiekelijk beschikbaar – gebruikers moeten inloggen voor toegang tot die inhoud.
  • Ervoor zorgen dat gebruikers met toegang tot ePHI naar behoren worden verleend / ingetrokken toegang door uw HIPAA-beheerders.
    Ex: Het moet niet mogelijk zijn voor iemand aanmelden en krijg toegang zonder expliciete beoordeling / Goedkeuring.
  • Controleer of gebruikers hebben toegang tot alleen de ePHI die ze nodig hebben en moeten toegang hebben.
  • Ervoor zorgen dat alle WordPress-aanmeldingen worden gecontroleerd en worden geregistreerd. (Ex. Gebruiker Login Log plugin)

Veilige WordPress

  • Ervoor zorgen dat alle WordPress-aanmeldingen worden gecontroleerd en worden geregistreerd.
  • Het up-to-date houden van uw WordPress en alle plugins.
  • Het gebruik van plugins zoals 'Duo beveiliging' 2-factor authenticatie aan uw site toevoegen.
  • Zorgen dat gebruiker logins naar WordPress wordt automatisch afgemeld gebruikers wegens inactiviteit.
  • Toegang vastleggen in logboek naar ePHI, indien mogelijk. Een gemakkelijke manier is om zeker web en rtmp toegangslogbestanden zijn ingeschakeld.
  • Bekijk uw procedures en gebruikers periodiek.
  • Ervoor te zorgen dat WordPress geen kopieën van ePHI-pagina's onveilig op schijf het cachegeheugen, vooral als u zich in een gedeelde omgeving. Inhoud WordPress is normaal gesproken opgeslagen in een database, maar als het onveilig wordt opgeslagen op schijf die beveiliging zal verzwakken en in een gedeelde omgeving kan bieden toegang tot onbevoegde personen. Dat is een extra reden waarom moet u uw eigen dedicated server.
  • Ervoor zorgen dat er goede back-ups van uw site en haar inhoud. De meeste hosting providers bieden geautomatiseerde site back-ups. Dit moeten ook worden periodiek gedownload en opgeslagen op een andere veilige machine.

Extra veiligheid

Bent u beperken toegang tot een specifieke set van gebruikers, overwegen toegang tot de site vergrendelen door IP-adres .