Wachtwoord 
Als het gaat om wachtwoordmanagers, zijn er een paar veelvoorkomende misvattingen, zoals dat ze te riskant zijn om te vertrouwen, leveranciers die storingen niet kunnen aanpakken,
Gepubliceerd op juni 14, 2024
De Health Insurance Portability and Accountability Act (HIPAA) is een Amerikaanse wetgeving die is ontwikkeld om nationale privacy- en beveiligingsnormen vast te stellen om de privacy van de gegevens van de patiënt te beschermen en gegevensinbreuken te voorkomen. Alle organisaties die betrokken zijn bij de gezondheidszorg, inclusief zorgverzekeraars en zakelijke partners, vallen onder de HIPAA-regelgeving, wat betekent dat ze moeten voldoen aan de vereisten van de HIPAA-naleving.
In het gedeelte van HIPAA over beveiligingsbewustzijn en -training staat dat organisaties ‘procedures moeten hebben voor het aanmaken, wijzigen en beschermen van wachtwoorden’. Een wachtwoordmanager zorgt ervoor dat uw organisatie voldoet aan de HIPAA-naleving door sterke wachtwoorden te genereren en ze veilig te bewaren in een versleutelde kluis.
Lees verder voor meer informatie over de wachtwoordvereisten van HIPAA en op welke manier een wachtwoordmanager hieraan kan voldoen.
Wachtwoordvereisten van HIPAA
Hoewel HIPAA geen wachtwoordmanager vereist, is het wel verplicht om wachtwoordbeheer deel uit te laten maken van uw plan voor HIPAA-naleving. Dit zijn de beveiligingsgewoonten van inloggegevens die aansluiten bij de richtlijnen van het National Institute of Standards and Technology (NIST) over de wachtwoordvereisten van HIPAA.
- Complexiteit van wachtwoorden: HIPAA kent geen specifieke vereisten voor wachtwoordcomplexiteit. NIST raadt werknemers echter aan om inzicht te krijgen in hoe ze sterke, unieke wachtwoorden kunnen aanmaken en hoe ze deze kunnen beveiligen.
- Wachtwoordrotatie: HIPPA vereist momenteel geen wachtwoordwijzigingen en NIST ontmoedigt werknemers om hun wachtwoorden regelmatig te wijzigen. NIST moedigt echter aan om wachtwoorden onmiddellijk te wijzigen als ze zijn gecompromitteerd.
- Multifactorauthenticatie (MFA): NIST raadt aan om MFA in te schakelen wanneer dit beschikbaar is.
- Het delen van wachtwoorden: HIPAA is niet specifiek gericht op het delen van wachtwoorden. NIST raadt gebruikers echter ten zeerste aan om wachtwoorden te delen in systemen en gegevens die elektronisch opgeslagen, beschermde gezondheidsgegevens (ePHI) bevatten.
- Controle en registratie: IT-beheerders moeten de inlogactiviteiten van gebruikers controleren om ervoor te zorgen dat gebruikers geen toegang krijgen tot gegevens of systemen die niet relevant zijn voor hun taken.
- Offboarding: organisaties moeten procedures voor offboarding hebben om wachtwoorden van gebruikers en toegang tot PHI onmiddellijk uit te schakelen wanneer ze het bedrijf verlaten of van functie veranderen. NIST raadt aan om verschillende procedures te hebben voor werknemers die vrijwillig vertrekken en voor werknemers die onvrijwillig worden ontslagen.
De voordelen van het gebruik van een wachtwoordmanager voor HIPAA-naleving
Hier zijn enkele voordelen van het gebruik van een wachtwoordmanager voor HIPAA-naleving.
Sterke wachtwoorden aanmaken
Een van de problemen waar veel mensen mee te maken hebben, is het aanmaken van sterke wachtwoorden voor verschillende accounts. Dit probleem leidt er vaak toe dat mensen zwakke wachtwoorden gebruiken die gemakkelijk te raden zijn voor cybercriminelen. Als alternatief gebruiken mensen vaak dezelfde wachtwoorden voor meerdere accounts, waardoor meerdere accounts het risico lopen om te worden gecompromitteerd als één van die accounts wordt gehackt. Aangezien wachtwoordmanagers helpen bij het aanmaken van sterke wachtwoorden, hoeven gebruikers zich geen zorgen meer te maken over het zelf aanmaken van sterke wachtwoorden. Bovendien kunnen organisaties ervoor zorgen dat al hun werknemers sterke wachtwoorden gebruiken om bedrijfsaccounts en gevoelige gegevens te beschermen.
Multifactorauthenticatie
Het kan een uitdaging zijn om ervoor te zorgen dat gebruikers MFA inschakelen voor elk account. Hoewel dit nodig is om HIPAA-naleving te kunnen garanderen, maken veel gebruikers nog steeds geen gebruik van deze mogelijkheid. Met een wachtwoordmanager kunnen IT-beheerders het gebruik van MFA voor elk account afdwingen. Sommige wachtwoordmanagers zoals Keeper® kunnen ook MFA-codes opslaan in hun veilige digitale kluis, wat zorgt voor een eenvoudiger inlogproces voor sites en systemen waarbij MFA is ingeschakeld.
Role-Based Access Control (RBAC)
Enkele van de beste wachtwoordmanagers geven IT-beheerders de mogelijkheid om op rollen gebaseerde toegangscontroles in te stellen en af te dwingen. Met RBAC kunnen IT-beheerders gemakkelijk toegangsniveaus aanpassen en accounts uitschakelen als gebruikers de organisatie verlaten of van functie veranderen. RBAC verbetert niet alleen de beveiliging en voldoet aan de vereisten van HIPAA-naleving, maar helpt ook om de kosten en administratieve overhead te verminderen.
Veilige opslag
De beste wachtwoordmanagers kunnen meer dan alleen wachtwoorden opslaan, inclusief passkeys, bestanden en documenten. Alles wat in een zero-knowledge wachtwoordmanager is opgeslagen, wordt in wachtstand en tijdens verzending versleuteld om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben. Dit beschermt de gegevens tegen cybercriminelen en voldoet aan de vereisten van de HIPAA-naleving waarbij alleen toegang wordt verleend aan mensen die de juiste toegangsrechten hebben.
Waar moet u op letten bij een wachtwoordmanager die voldoet aan de HIPAA-naleving?
Niet alle wachtwoordmanagers zijn hetzelfde. Hier moet uw organisatie op letten bij een wachtwoordmanager die voldoet aan de HIPAA-naleving.
Sterke versleuteling
Een wachtwoordmanager is slechts zo sterk als de versleuteling die het biedt. De wachtwoordmanager die u kiest om uw organisatie te beschermen, moet zowel zero-trust als zero-knowledge zijn. Zo krijgen alleen geautoriseerde personen toegang tot de kluis van de wachtwoordmanager en vinden de versleuteling en ontsleuteling altijd lokaal plaats op het apparaat van de gebruiker. Bovendien moet de wachtwoordmanager gegevens ook beschermen met AES 256-bit-versleuteling en elliptische curve-cryptografie (ECC), wat wordt beschouwd als de meest robuuste versleuteling in de sector van cybersecurity.
Ondersteuning voor 2FA
De wachtwoordmanager die u kiest, moet ook tweefactorauthenticatie (2FA) ondersteunen. Door 2FA in te schakelen voor uw wachtwoordmanager-account wordt het beschermd met een extra beveiligingslaag om ongeautoriseerde toegang te voorkomen. De wachtwoordmanager moet de volgende 2FA-opties bieden:
- SSO-authenticatie
- FIDO2 WebAuthn-hardwarebeveiligingssleutels
- Passkeys
- Biometrische authenticatie (zoals FaceID, Touch ID, Windows Hello)
Automatische provisionering via e-mail
Met automatische toevoeging via e-mail kunnen wachtwoordkluizen worden ingesteld voor duizenden gebruikers met een domeinmatch voor e-mailadressen. Dit maakt het voor grootschalige organisaties gemakkelijk om de wachtwoordmanager te implementeren voor hun werknemers.
Kies Keeper als uw wachtwoordmanager die voldoet aan de HIPAA-naleving
Een wachtwoordmanager zoals Keeper kan uw organisatie helpen om aan de wachtwoordvereisten van de HIPAA-naleving te voldoen door sterke wachtwoorden te genereren, MFA af te dwingen en in te schakelen, op rollen gebaseerde toegangscontroles te implementeren en veilige opslag te bieden. Aangezien Keeper nooit toegang heeft tot gebruikersgegevens, is een Business Associate-overeenkomst (BAA) niet vereist voor HIPAA-naleving.
Wilt u ook uw zorgorganisatie beschermen tegen wachtwoordgerelateerde gegevensinbreuken en zorgen dat u voldoet aan de HIPAA-naleving? Start vandaag nog een gratis zakelijke proefversie van 14 dagen van Keeper.
