Wie erfüllt man HIPAA beim Softwaretesten?

Veröffentlicht: 2022-12-19

Haftungsausschluss – Der Artikel behandelt nur wichtige HIPAA-Compliance-Softwaretestbereiche und keine Elemente wie physische Sicherheitsvorkehrungen wie die Nichtbereitstellung von Software auf Arbeitsstationen mit offenen Bildschirmen. Beachten Sie auch, dass die Strategie von den Anforderungen der App abhängt, was bedeutet, dass sie nicht für alle Anwendungen anwendbar ist.

Organisationen des Gesundheitswesens werden mit alarmierender Geschwindigkeit Opfer von massenhaften Datenschutzverletzungen. Ein bemerkenswertes Beispiel dafür ist der Ransomware-Angriff auf das Yuma Regional Medical Center, bei dem im April 2022 die Daten von über 700.000 Personen offengelegt wurden. Die wachsende Zahl von Fällen von Datenschutzverletzungen geht auch aus der folgenden Grafik hervor.

Datenschutzverletzungen bei US-Verbrauchern

Da die Zahlen von Jahr zu Jahr immer besorgniserregender werden, wenden sich medizinische Organisationen an Software, die mit unangreifbaren Datenschutzmaßnahmen zum Speichern und Übertragen ihrer medizinischen Daten entwickelt wurde. Die Organisationen halten sich an alle HIPAA-Compliance- Anforderungen und verbringen viel Zeit damit, die Solidität und Sicherheit der erstellten Gesundheitssoftware zu gewährleisten .

Dies legt großen Wert auf HIPAA-konforme Softwaretests. Was würde passieren, wenn Sie Gesundheitssoftware nicht mit HIPAA-Compliance im Fokus testen? Eine Nichteinhaltung der HIPAA-Softwaretests wird die Anwendung für Datenlecks und deren illegale Verwendung öffnen. Darüber hinaus wird dies zu schweren Strafen durch das US-Gesundheitsministerium führen.

Aus diesem Grund muss Ihr Softwareentwicklungsteam für das Gesundheitswesen Zeit für die Erstellung einer HIPAA-konformen Anwendung aufwenden, wobei der Schwerpunkt verstärkt auf Softwaretests liegt.

Bei Appinventiv haben wir in unserer Rolle als Softwareentwicklungsunternehmen für das Gesundheitswesen erfolgreich Apps für das Gesundheitswesen entwickelt, getestet und bereitgestellt, die mehrere Interessengruppen berührten, ohne dass es zu einem einzigen Verstoß kam.

Entwicklung einer HIPAA-konformen Gesundheits-App

In diesem Artikel besprechen wir die verschiedenen Möglichkeiten, die HIPAA-Konformität in Ihrer Anwendung durch Tests zu überprüfen. Aber lassen Sie uns zuerst einen Blick darauf werfen, warum das Erstellen einer HIPAA-konformen Software immer schwieriger wird.

Warum ist das Erstellen einer HIPAA-konformen Software schwierig?

Während jeder Gesundheitsdienstleister die Sicherheit im Fokus hat, um die HIPAA-Konformität zu gewährleisten, ist die Komplexität des Sektors so groß, dass es Zeiten gibt, in denen einige Elemente nicht berücksichtigt werden. Folgendes passiert normalerweise, wenn keine HIPAA-Compliance-Software-Checkliste vorhanden ist.

  • Viele zu schützende Daten

Bevor eine Struktur rund um den Datenschutz erstellt wird, müssen die Entwickler ein vollständiges Verständnis dafür haben, was sensible Informationen ausmacht. Im Gesundheitswesen kann die Bewertung schwierig sein, da die Daten in unterschiedlichen Formaten an mehreren Standorten wie physischen Speicherorten, EHR-Systemen, Rechenzentren, Mobilgeräten, Büros von Anbietern usw. gespeichert werden.

  • Mangel an Ressourcen rund um die HIPAA-Compliance

Um eine wirklich HIPAA-konforme Software zu entwickeln, müssen Anwälte, Systemarchitekten, Cybersicherheitsexperten und medizinische Experten in das Team aufgenommen werden. Sie alle bringen umfangreiches Wissen und viel Zeit in das Projekt ein – etwas, das aufgrund der festen Entwicklungskosten und des Zeitplans für die Entwicklung von Gesundheits-Apps nicht immer möglich ist .

  • Mehrere Datenzugriffsplattformen

Alle Plattformen im Gesundheitswesen müssen mit einer einheitlichen Sicherheitsmaßnahme geschützt werden. Eine Krankenhausinfrastruktur besteht jedoch aus realen und digitalen Benutzerendpunkten, Rechenzentren, Servern, Cloud-Ressourcen usw. Um eine einheitliche Sicherheitsinfrastruktur zu schaffen, ist es notwendig, sich mit der MDM-Entwicklung zur Sicherung sensibler Daten zu befassen.

  • Verringerte Flexibilität

Software, die unter Berücksichtigung mehrerer Sicherheitsanforderungen entwickelt wurde, kann von Natur aus starr werden. Gesundheitsorganisationen benötigen jedoch Flexibilität, um die Erfahrungen von Patienten und Ärzten verwalten zu können. Dies führt zu einer Situation, in der die Entwickler Flexibilität und HIPAA-Konformität verwalten müssen, ohne Kompromisse bei der Erfahrung im Gesundheitswesen einzugehen.

  • HIPAA-Implementierung muss neu bewertet werden

HIPAA-Compliance-Tests enden nicht mit der Bereitstellung der Anwendung. Mehrere Elemente wie Cybersicherheitsbedrohungen, HIPAA-Anforderungen und die IT-Anforderungen der Gesundheitsorganisation ändern sich ständig, und um sicherzustellen, dass Ihre Software konform bleibt, müssen Sie regelmäßige Audits durchführen und Aktualisierungen dokumentieren.

Nachdem wir uns nun mit den Elementen befasst haben, die es schwierig machen, eine HIPAA-konforme App zu erstellen, ist es an der Zeit, sich auch mit den Lösungen zu befassen, indem wir uns mit den Bereichen des HIPAA-Compliance-Softwaretests und dann mit den Antworten darauf befassen, was der Prozess ist HIPAA-Compliance-Tests?

Strategien und Bereiche für HIPAA-Softwaretests

Zum leichteren Verständnis unterteilen wir HIPAA-Compliance-Softwaretests in der Regel in 5 Hauptbereiche. Es ist wichtig zu wissen, was diese Bereiche sind. Wie stellen Sie sicher, dass die Software HIPAA-konform ist?

Benutzerauthentifizierung

Typischerweise kann die Benutzerauthentifizierung eine von diesen sein – eigentumsbasiert wie ID-Karten, wissensbasiert wie Benutzer-ID/Passwort und biometrisch wie Fingerabdruck oder Gesichtsscan. Softwaretests an dieser Front gehen über die Gewährleistung eines erfolgreichen Anmeldepfads für jede Rolle hinaus und untersuchen –

  • Anmeldefehler aufgrund von –
    • Leere Benutzer-ID und Passwort
    • Ungültige Benutzer-ID und Passwort
    • Abgelaufenes oder gesperrtes Konto
  • Konto gesperrt
  • Anmeldung erfolgreich nach Passwortänderung
  • Leerlaufzeitüberschreitung bei der Anmeldung
  • Anmeldedaten nicht im Anwendungsspeicher gespeichert

Darüber hinaus hilft es, eine einheitliche Struktur der Testdaten zu erstellen, beispielsweise <PatientFirstName><PatientLastName><TestName><Datum><Uhrzeit>. Dies hilft bei der nahtlosen Identifizierung von Benutzern.

Offenlegung von Informationen

Die Offenlegung von Informationen funktioniert normalerweise mit zwei Kategorien – Rollenbasierter Zugriff und Patientenzuweisung. Bei ersteren werden die Benutzer in logische Klassen mit bestimmten Zugriffsebenen gruppiert, und bei letzteren weist der Vorgesetzte die Patienten für eine bestimmte Zeit einem Gesundheitsdienstleister zu.

Es ist hilfreich, Testfälle zu entwerfen, die angeben, wer Informationen anzeigen/ändern/hinzufügen/löschen kann, auf die er nicht zugegriffen hat. Darüber hinaus sollten Sie eine Praxis erstellen, bei der nach der Deinstallation der App alle EPHI-Informationen entfernt und aus dem System gelöscht werden sollten. Die ordnungsgemäße Offenlegung von Informationen sollte ein wichtiger Bestandteil der HIPAA-Compliance-Software-Checkliste sein.

Buchungsprotokolle

Wenn Sie sich mit dem Audit-Trail-Teil des HIPAA-Softwaretests befassen, sollten Sie die folgenden Faktoren berücksichtigen.

  • Jeder Audit-Trail-Eintrag muss folgende Informationen enthalten:
    • Datum und Uhrzeit der Aktion
    • ID oder Name des Benutzers, der die Aktion ausführt
    • Benutzerzugriffsebene
    • Die Patientendatensatz-ID, für die die Aktion ausgeführt wurde
    • Die Aktion, die ausgeführt oder versucht wurde
    • Das spezifische Ereignis, von dem aus es durchgeführt wurde (z. B. Zahlung oder Patientenakte)
    • Der Standort oder die System-ID, über die die Aktion ausgeführt wurde
  • Die Einträge müssen den Sicherheitsanforderungen der Software entsprechen, und der Prüfpfad sollte so erstellt werden, dass er für zukünftige Untersuchungen leicht nachverfolgt werden kann.
  • Einträge dürfen nicht aus dem Audit Trail entfernt werden.
  • Der Audit-Trail sollte so gestaltet sein, dass er von bestimmten Benutzerkonten angezeigt werden kann.
  • Alle Versuche, die Sicherheit zu verletzen, sollten im Audit-Trail überwacht werden.
  • Audit-Trail muss verschlüsselt werden.

Datenübertragungen

Die Datenübertragung ist ein weiterer Schlüsselbereich der HIPAA-Compliance-Tests, bei denen die Sicherheit gewährleistet werden muss während –

  • Datenzugriff zwischen physischen und mobilen Geräten, auf denen die App installiert ist
  • Datenübertragung an externes Gerät und Standort
  • Verschieben von Daten zum Offline-Speicherort.

Bei Datenübertragungen ist auch zu beachten, dass die Daten typischerweise verschlüsselt werden (die nur von autorisierten Benutzern entschlüsselt werden). Hier sind Best Practices für die Datenverschlüsselung, die Teil der HIPAA-Compliance-Anforderungen sein sollten.

  • Sichern Sie die Verschlüsselungsschlüssel, um zu verhindern, dass unbefugte Benutzer die Systemdaten verwenden.
  • Verschlüsseln Sie vertrauliche Daten, unabhängig davon, wo sie im System gespeichert wurden.
  • Analysieren Sie regelmäßig die Algorithmusleistung während der Datenverschlüsselung.

Informationen zur korrekten Datennutzung

Schließlich sollte die Anwendung vor dem Zugriff Details zur Datennutzung bereitstellen. Basierend auf der Anwendung könnte dies in Form einer Hilfeseite für jeden Vorgang, der EPHI beinhaltet, oder der Erstellung einer Trainingsversion der App erfolgen, die es den Benutzern ermöglicht, zu sehen, wie die Software funktioniert, bevor sie Zugriff auf die angesammelten EPHI gewähren.

Hier sind also die 5 kritischen Bereiche des HIPAA-Compliance-Softwaretests, aber wie stellen wir sicher, dass sie im Entwicklungsprozess von Anwendungen im Gesundheitswesen angewendet werden?

Was sind die Schritte, um die HIPAA-Konformität beim Softwaretesten zu erreichen und aufrechtzuerhalten?

Lassen Sie es uns in unserem nächsten Abschnitt herausfinden.

Schritte zum Erreichen und Aufrechterhalten der HIPAA-Konformität beim Softwaretesten

Wenn wir bei Appinventiv eine Gesundheits-App erstellen, machen wir die HIPAA-Softwareanforderungen zu einem Teil des End-to-End-Entwicklungszyklus, insbesondere Tests. Hier sind einige Möglichkeiten, wie wir dasselbe sicherstellen.

1. Zugangskontrolle

In Übereinstimmung mit den HIPAA-Compliance-Anforderungen sollte jedem Benutzer nur der Zugriff auf Informationen gestattet werden, die er zum Ausführen einer bestimmten Aufgabe benötigt. Das Erreichen dieses strengen Niveaus der Zugriffskontrolle kann durch die folgenden sieben Modi erreicht werden:

  • Eine Liste der Zugriffskontrolle, die dem Benutzer Zugriff auf bestimmte Module/Anwendungen/Bereiche gewährt.
  • Ein eindeutiger Name und eine eindeutige Nummer zum Identifizieren und Verfolgen der Identität jedes Benutzers innerhalb des Systems.
  • Benutzergesteuerter Zugriff, der eine Zwei-Faktor-Authentifizierung für den Zugriff auf das System erfordert.
  • Rollengesteuerter Zugriff, der von der Rolle der Benutzer abhängt, um die Zugriffsrechte zu finden und zu entscheiden.
  • Kontextgesteuerter Zugriff, der den Zugriff auf bestimmte Zeiten oder Daten in einem bestimmten Netzwerk oder Informationssystem beschränkt.
  • Spezieller Prozess für eine Notfallsituation, um kritische ePHI zu sammeln.
  • Elektronische Prozesse, die eine automatische Abmeldung von der elektronischen Sitzung nach einer vorher festgelegten Inaktivitätszeit erzwingen.
  • Verschlüsseln und entschlüsseln Sie die ePHI.

2. Gesundheitstest

Der erste Teil des HIPAA-Softwaretestprotokolls, dem wir folgen, ist die Durchführung eines Plausibilitätstests, bei dem wir nach Fehlern in den HIPAA-Compliance-Standards der App suchen. Es beinhaltet die Untersuchung von Bereichen wie –

  • Für jede Rolle oder Beziehung mit hohem Risiko überprüfen wir, ob der Benutzer einer bestimmten Rolle sich problemlos authentifizieren kann, Zugriff auf Ansicht, Änderung und Löschung erhält oder keinen Zugriff auf den Betrieb bestimmter Anwendungskomponenten hat. Sobald alle Aktionen durchgeführt wurden, werden sie im Audit-Trail aufgezeichnet.
  • Verschlüsselungen werden für Bereiche wie Audit-Trail-Einträge und EPHI in der Datenbank überprüft.

3. Rollenmatrix

Unter der Annahme, dass die App rollenbasierten Zugriff verwendet, ist es wichtig, die Rollen im System und die Zugriffsebene zu identifizieren, die sie in der Anwendung haben können. Dieser Schritt wird normalerweise durchgeführt, indem mit den Kunden gesprochen wird, die uns das Risikoniveau basierend auf der Offenlegung von Informationen, der Nutzungshäufigkeit, der Fehlerwahrscheinlichkeit und den Auswirkungen von Fehlern mitteilen.

Rollenmatrix

Wenn wir Gesundheitstests durchführen, hilft ein Diagramm wie dieses dabei, die mit jeder Beziehung verbundenen Risikostufen zu identifizieren und sicherzustellen, dass die Probleme gefunden und proaktiv behoben werden.

4. Testfälle

Der dritte Schritt, dem wir beim HIPAA-Compliance-Softwaretest folgen, ist das Erstellen detaillierter Testfälle, in denen die Benutzerbewegungen auf Aktions- und Ergebnisebene heruntergebrochen werden. Lassen Sie es uns anhand eines Beispiels einer Arzttermin-App erläutern.

Testfall Vorfall
Anmelden Der Anmeldebildschirm bietet mehrere Authentifizierungsoptionen.
Startbildschirm Ärzte erhalten eine Dashboard-Ansicht ihrer Termine.
Verfügbarkeitsslots verwalten Der Arzt erhält eine modifizierbare Kalenderansicht, um ein Verfügbarkeitsfenster hinzuzufügen.
Geplanten Termin anzeigen Ein Bildschirm kommt mit einer Liste geplanter Termine.
Termin annehmen/ablehnen/ändern Neben dem geplanten Termin erhält der Arzt die Option, den Termin anzunehmen, abzulehnen oder zu verschieben.
Nehmen Sie an einer virtuellen Beratungssitzung teil Der Arzt kann per Chat/Anruf/Video an einer virtuellen Beratungssitzung teilnehmen.
Rezept hochladen Der Arzt kann den Screenshot hochladen, indem er auf ein Foto seines Rezeptblocks klickt.
Profil verwalten Es öffnet sich ein Bildschirm, auf dem die Ärzte Termine und Zahlungsübersichten sehen und ihre Details bearbeiten können.
App schließen Wenn der Arzt die App schließt, endet die Sitzung.

5. Lastausgleich

Failover- oder Load-Balancing-Pläne sind ein kritischer Bestandteil jeder Gesundheitsorganisation, da der Verlust von Patientendaten ihr Leben auf Eis legen kann.

Sie werden benötigt, um die Fähigkeit der Software zu überprüfen, den täglichen Betrieb fortzusetzen und gleichzeitig Backups für einen reibungslosen Arbeitsablauf zu erstellen. Sie helfen auch bei der Bestimmung, ob die Software in der Lage ist, bei Bedarf Ressourcen zuzuweisen, und ob sie in der Lage ist, eine Bedarfs-/Dringlichkeitssituation zu erkennen. Ein starker Failover-Plan muss, wenn er richtig implementiert und gründlich getestet wurde, einen nahezu vollständigen Datenschutz, wenig bis gar keinen Datenverlust und eine sofortige Wiederherstellung im Fehlerfall bieten.

Wie wir eine HIPAA-konforme Gesundheitsplattform aufgebaut haben

Prozess, den wir für HIPAA-Compliance-Tests befolgen

Der Prozess zum Testen einer Gesundheits-App auf HIPAA-Konformität unterscheidet sich von regulären App-Testansätzen. Hier ist der Ansatz, den wir verfolgen, um sicherzustellen, dass Ihre Anwendung gut getestet ist.

1. Dokumentationsanalyse

Unsere QA-Spezialisten sehen sich die Softwaredokumentation mit den funktionalen und nicht funktionalen Anforderungen an, um eine Checkliste der technischen Sicherheitsvorkehrungen zu erstellen, die in Ihrer Software erforderlich sein werden, und wir verfolgen dies mit einem HIPAA-Compliance-Testplan.

2. Erstellung der Rollenmatrix

Wir erstellen ein Rollenmatrixdiagramm, das dabei hilft, die aktuellen Benutzerrollen und das Risikoniveau zu identifizieren, das mit der Durchführung mehrerer Vorgänge wie dem Anzeigen, Hinzufügen, Löschen und Ändern von ePHI verbunden ist.

3. Testplanung und -design

  • Der Prozess beginnt mit der Definition der Testereignisse, die zur Überprüfung der Softwarekonformität mit den technischen HIPAA-Schutzmaßnahmen wie Schwachstellenbewertung, Funktionstests und Penetrationstests erforderlich sind.
  • Als nächstes definieren wir die Teamzusammensetzung der Testgruppe – die Anzahl der Testingenieure, Automatisierungsexperten, Sicherheitstester usw.
  • Anschließend werden relevante Testszenarien und Testfälle erstellt.
  • Als nächstes entscheiden wir über den Anteil der Testautomatisierung.
  • Dann schreiben wir Skripte rund um die Testautomatisierung, wählen und konfigurieren relevante Testautomatisierungstools.
  • Abschließend bereiten wir die obligatorische Testumgebung und Testdaten vor.

4. Durchführung und Berichterstattung des Tests

  • Wir führen manuelle und automatisierte Tests gemäß den vordefinierten Testszenarien durch.
  • Melden Sie die identifizierten HIPAA-Konformitätslücken.
  • Abschließend schlagen wir die notwendigen Sanierungsmaßnahmen vor.

Damit haben wir uns neben dem Prozess, dem wir zum Testen der Anwendung folgen, mit mehreren Aspekten des Testens einer App befasst, die alle HIPAA-Anforderungen erfüllt. Lassen Sie uns am Ende des Artikels einen Blick darauf werfen, wie sich all dies in Kosten niederschlägt.

Die Kosten für HIPAA-Compliance-Tests

Die Kosten für HIPAA-Tests, wenn sie auf individueller Ebene ausgewählt werden, hängen von Folgendem ab:

  • Die Art und Komplexität der Gesundheitssoftware
  • Die Anzahl der verschiedenen Benutzerrollen.
  • Die anwendbaren HIPAA-Schutzmaßnahmen für technische Tests.
  • Die benötigten Testtypen.
  • Der für die Testautomatisierung erforderliche Aufwand.
  • Die Komplexität und Anzahl der Testfälle.
  • Das gewählte Sourcing-Modell für Softwaretests (intern oder outsourcing).
  • Die Kosten für Sicherheitstest-Tools

Mit diesen fünf HIPAA-Softwaretestpraktiken und dem Prozess, den wir für HIPAA-Compliance-Tests befolgen, stellen wir sicher, dass wir eine Compliance-fähige Anwendung erstellen, die bereit ist, die digitale Welt zu verändern, und gleichzeitig jederzeit bruchsicher bleibt. Wir tun dies, indem wir die HIPAA-Compliance-Software-Checkliste als Grundlage für die Design-, Entwicklungs- und Wartungsbemühungen verwenden.

Wenn Sie Unterstützung beim Erstellen oder Testen einer bereits entwickelten HIPAA-fähigen Anwendung suchen, setzen Sie sich noch heute mit uns in Verbindung .