Skip to main content
Blog
Blog

Account sharing-preventie in de gezondheidszorg: patiëntenportal-inloggegevens beschermen en HIPAA-naleving

Credential sharing in de gezondheidszorg is geen omzetprobleem. Het is een nalevingsprobleem.

Jun 30, 2026 15 min read
Account sharing-preventie in de gezondheidszorg: patiëntenportal-inloggegevens beschermen en HIPAA-naleving

Account sharing in de gezondheidszorg is geen omzetprobleem. Het is een regelgevings- en patiëntveiligheidsprobleem.

Wanneer een abonnee hun streamingaccount deelt, is de primaire consequentie een gemiste conversie. Wanneer een patiënt hun portalinloggegevens deelt, is de primaire consequentie dat een niet-geverifieerde persoon toegang krijgt tot beschermde gezondheidsinformatie (PHI) zonder enige registratie van die toegang. Wanneer een verpleegkundige een klinisch platform-login deelt met ondersteunend personeel, is de primaire consequentie een audittrail-storing die mogelijk een HIPAA-overtreding vormt en, als er voorschrijf- of factureringsacties worden ondernomen onder dat gedeelde credential, een potentieel fraudegeval.

De Global eCommerce Payments and Fraud Report 2026 van de Merchant Risk Council stelde vast dat 64% van de verkopers een betekenisvolle toename van first-party misuse rapporteert in 2026. Gezondheidszorgplatformen vallen binnen die populatie, maar het kader dat voor hen van belang is, is niet het conversiepercentage. Het is de nalevingspositie. De vraag voor een CISO of compliance-officer in de gezondheidszorg is niet "hoeveel omzet verliezen we door credential sharing?" Het is: "kunnen we aan een HIPAA-auditor aantonen dat we controles hebben om ongeautoriseerde toegang tot beschermde gezondheidsinformatie te detecteren en te voorkomen?"

De Verizon 2026 Data Breach Investigations Report stelde vast dat credential-gebaseerde aanvallen aanwezig zijn in 39% van alle inbreuken in de volledige aanvalsketen. Gezondheidszorgorganisaties behoren consistent tot de meest doelgerichte sectoren in dat rapport. Het credential-risico in de gezondheidszorg is niet hypothetisch.

Dit artikel behandelt de specifieke credential sharing-patronen die HIPAA-blootstelling creëren in patiëntenportalen en klinische platformen, legt uit hoe device fingerprint-geschiedenis geautoriseerde toegang onderscheidt van ongeautoriseerde deling, en beschrijft waarom een cookieloze detectiearchitectuur past in de beperkingen van een HIPAA-gereguleerde omgeving.

Het credential sharing-probleem in de gezondheidszorg

Kort antwoord: Gezondheidszorgplatformen worden geconfronteerd met drie afzonderlijke credential sharing-patronen: geautoriseerde mantelzorgertoegang geconfigureerd via proxyfuncties, ongeautoriseerde deling van patiëntenportal-inloggegevens met familie of vrienden, en credential sharing op klinische platformen tussen zorgprofessionals voor gemak. Het eerste is legitiem en mag geen fout-positieven activeren. Het tweede en derde creëren directe HIPAA-blootstelling door niet-geverifieerde personen toegang te geven tot beschermde gezondheidsinformatie zonder audittrail. Het commerciële argument voor detectie is naleving, niet omzetherstel.

De meeste product- en complianceteams in de gezondheidszorg zijn bekend met het geautoriseerde mantelzorgersprobleem: het volwassen kind van een patiënt beheert afspraken, bekijkt testresultaten en communiceert met zorgverleners namens de patiënt. Veel patiëntenportalen ondersteunen dit nu via proxytoegangsfeatures die een benoemde persoon toegang geven tot een account met de uitdrukkelijke toestemming van de patiënt en een geverifieerd identiteitsrecord gekoppeld aan die toegang. Dit is een opgelost probleem voor platforms die proxytoegang correct hebben geïmplementeerd. Detectiemechanismen mogen geautoriseerde proxytoegang niet markeren als een delingsovertreding.

De ongeautoriseerde deelpatronen zijn anders en creëren echte nalevingsrisico's.

Het eerste patroon is ongeautoriseerde familie- of vriendtoegang tot een patiëntenportal. Een patiënt deelt hun inloggegevens met een familielid dat vervolgens gezondheidsrecords, testresultaten of afspraakinformatie benadert zonder medeweten van het platform. In tegenstelling tot proxytoegang is er geen toestemmingstrail, geen identiteitsverificatie en geen registratie dat dit individu het account benadert. Vanuit het perspectief van het platform ziet de login eruit alsof de patiënt toegang heeft tot hun eigen dossier. Vanuit HIPAA-perspectief is PHI verstrekt aan een niet-geverifieerde persoon buiten de accountrelatie.

Het tweede patroon is credential sharing op klinische platformen. Een login van een arts wordt voor gemak gebruikt door een verpleegkundige of administratief personeel, om records te benaderen, gegevens in te voeren of acties uit te voeren onder het credential van de arts. Dit patroon komt veel voor in klinische omgevingen met beperkte middelen waar credentialprovisioning traag is en de werkdruk hoog is. Het is ook een directe HIPAA-overtreding. De gebruikersauthenticatievereiste van HIPAA onder 45 CFR §164.312(d) vereist procedures om te verifiëren dat een persoon die toegang zoekt tot elektronische beschermde gezondheidsinformatie, de persoon is die wordt geclaimd. Een gedeeld credential ondermijnt deze verificatie op het moment van toegang.

Als facturerings- of voorschrijfacties worden uitgevoerd onder een gedeeld klinisch credential, strekt het risico zich uit voorbij HIPAA tot potentiële gezondheidszorgfraude. Het audittrail registreert de inloggegevenshouder als de actor. De werkelijke actor is een ander individu. Die discrepantie is geen gegevenskwaliteitskwestie. Het is een bewijsprobleem.

Het 2026 Identity Fraud Study van Javelin Strategy and Research stelde vast dat nieuwe accountfraude met 31% steeg naar 5,4 miljoen slachtoffers in 2025. Gezondheidszorginloggegevens, die toegang bieden tot identiteitsgegevens die bruikbaar zijn bij nieuwe accountfraude, zijn steeds waardevolere doelwitten. Ongeautoriseerde credential sharing in de gezondheidszorg is niet alleen een intern nalevingsprobleem. Het is ook een aanvalsoppervlak voor downstream fraude.

Geautoriseerde mantelzorgertoegang versus ongeautoriseerde credential sharing

Kort antwoord: Geautoriseerde mantelzorgertoegang en ongeautoriseerde credential sharing zien er identiek uit in een logingebeurtenissenlog. Beide verschijnen als het credential van de accounthouder dat een sessie verifieert. Het onderscheid zit in de device fingerprint-geschiedenis: een geautoriseerde mantelzorger benadert het portal consequent vanaf een klein aantal erkende devices in een geografische context die gecorreleerd is met de patiënt, terwijl een ongeautoriseerde deler verschijnt vanaf een device fingerprint die het account nog nooit eerder heeft benaderd, vaak in een geografische context die niet gerelateerd is aan de bekende locaties van de patiënt.

Het logrecord voor een geautoriseerde mantelzorger-login en een ongeautoriseerde credential sharing-login is structureel identiek. Het credential is hetzelfde. De authenticatie slaagt. De PHI-toegang wordt verleend. Niets in de logingebeurtenis zelf onthult dat de accessor niet de accounthouder is.

Dit is waarom detectiemechanismen die uitsluitend vertrouwen op logingebeurtenisanalyse onvoldoende zijn voor het voorkomen van credential sharing in de gezondheidszorg. IP-adresanalyse is ook beperkt: een familielid dat toegang heeft tot een portal vanuit hetzelfde huishouden heeft hetzelfde IP-adres als de patiënt; een mantelzorger die afspraken beheert namens een bejaarde ouder bezoekt regelmatig vanuit dezelfde locatie. Deze zien er identiek uit als de eigen toegang van de patiënt.

Device fingerprint-geschiedenis lost de dubbelzinnigheid op via een ander signaal: de consistentie van de browser- en hardwareconfiguratie die voor het account wordt gepresenteerd over tijd.

Een geautoriseerde mantelzorger benadert het patiëntenportal doorgaans op hetzelfde device of dezelfde devices gedurende vele maanden. Als een volwassen kind de gezondheidszorg van hun ouder op afstand beheert, doen ze dat vanaf hun eigen laptop, hun eigen telefoon of hun thuiscomputer. Die devices ontwikkelen een erkend fingerprint-profiel dat is geassocieerd met het account. De fingerprint is consistent. De geografische context is stabiel. De toegangsfrequentie is periodiek en gecorreleerd met afsprakenschema's.

In de analyse van gezondheidszorgplatformaccounts door cside is het patroon dat een geautoriseerde mantelzorger het meest duidelijk onderscheidt van een ongeautoriseerde credential deler een consistente device-geschiedenis: een geautoriseerde mantelzorger benadert hetzelfde portal consequent vanaf hetzelfde device, en hun device fingerprint wordt na verloop van tijd een erkende aanwezigheid op het account. Een ongeautoriseerde deler verschijnt doorgaans op een device dat het account nog nooit eerder heeft benaderd, vanuit een geografische context die niet overeenkomt met de primaire locatie of het reispatroon van de patiënt.

Een ongeautoriseerde deler presenteert een nieuwe device fingerprint. Hun device heeft geen geschiedenis op het account. Hun geografische context kan onafhankelijk zijn van de bekende locaties van de patiënt. De toegangsgebeurtenis is structureel identiek aan de geautoriseerde mantelzorger-login, maar de devicesignatuur is niet-herkend.

Dit onderscheid is actioneerbaar. Een platform kan een drempel definiëren voor device-geschiedenis: een device dat meer dan N keer over M dagen toegang heeft gehad tot het account is een erkend device. Een device zonder accounthistorie is een niet-herkend device. Een niet-herkend device dat een account benadert vanuit een geografische context die onafhankelijk is van de bekende locaties van de patiënt, is een kandidaat voor markering en secundaire authenticatie.

Het klinische platformpatroon is eenvoudiger te detecteren omdat de deling doorgaans plaatsvindt tussen personen in verschillende rollen met verschillende toegangscontexten. Het credential van een arts dat wordt gebruikt door een verpleegkundige kan verschijnen vanuit het IP-adres van het verpleegstation op tijden die niet overeenkomen met de typische toegangstijden van de arts, vanaf een device dat de arts nooit heeft gebruikt, met een toegangspatroon dat inconsistent is met het historische gebruik van de arts. Device fingerprint-geschiedenis, gecombineerd met temporele toegangspatronen, brengt deze anomalieën duidelijk aan het licht.

Hoe device fingerprint-geschiedenis ongeautoriseerde toegang detecteert

Kort antwoord: Browser-laag device fingerprinting leidt een stabiele identificator af van hardware- en softwareconfiguratie-signalen, waaronder GPU-renderer-output, canvas-renderingskenmerken, audiocontextrespons en beschikbare lettertypen. Deze identificator is stabiel over sessies heen zonder dat gegevens op het device van de gebruiker hoeven te worden opgeslagen. Een rollend 30-dagen device-geschiedenis-venster op elk account stelt een platform in staat erkende toegangspatronen te onderscheiden van anomale device-verschijningen, waarbij step-up authenticatie wordt geactiveerd voor niet-herkende devices in nieuwe geografische contexten.

De technische basis voor het detecteren van credential sharing in de gezondheidszorg is dezelfde als voor elke andere sector: een stabiele device-identificator afgeleid van browser- en hardwarekenmerken op het moment van authenticatie. De implementatieoverwegingen specifiek voor de gezondheidszorg hebben betrekking op hoe dat detectiesignaal wordt verwerkt en hoe het integreert met klinische workflows.

De kern fingerprint-signalen zijn device-configuratiegegevens: GPU-renderingoutput, canvas pixel-niveau-kenmerken, audio-context-oscillatorrespons, beschikbaarheid van geïnstalleerde lettertypen, browser-engine-kenmerken en hardwareprestatiemetingen. Deze signalen worden verzameld op de browser-laag tijdens de authenticatiegebeurtenis. Ze vereisen geen cookies, vereisen niet dat gegevens worden opgeslagen op het device van de patiënt of clinicus, en vereisen geen client-side persistentiemechanisme.

De identificator afgeleid van deze signalen is probabilistisch stabiel over sessies heen op hetzelfde device. Een patiënt die hun portal benadert vanaf hun thuislaptop produceert elke sessie dezelfde fingerprint, ongeacht of ze hun cookies wissen, privébrowsen gebruiken of hun standaardbrowser wijzigen. De deviceconfiguratie is een eigenschap van de hardware en geïnstalleerde software, niet van de browsersessiestatus.

De detectielogica werkt op geschiedenis, niet alleen op identiteit. Één enkele fingerprint-observatie is niet informatief. Een rollend 30-dagen fingerprint-venster op het account is informatief. De geschiedenis onthult de stabiele device-ecologie van een account: de devices die er regelmatig toegang toe hebben, de geografische contexten van die devices en de temporele patronen van toegang op elk device.

Binnen die geschiedenis is het verschijnen van een niet-herkend device een detecteerbare gebeurtenis. Het platform weet dat het deze device fingerprint nooit eerder heeft gezien. Als de geografische context van het nieuwe device onafhankelijk is van de bekende device-locaties van het account, is dat een samengesteld signaal. Als de toegangstijd buiten het historische toegangsvenster van het account valt, is dat een derde signaal. Geen van deze signalen bevestigt op zichzelf ongeautoriseerde deling, maar in combinatie ondersteunen ze een hoge-betrouwbaarheidsanomalie.

De reactie op een anomaliemarkering in een gezondheidszorgcontext is step-up authenticatie, niet accountbeëindiging. Een patiënt die een nieuwe telefoon heeft aangeschaft, of die hun portal benadert terwijl ze op reis zijn, moet worden gevraagd hun identiteit te verifiëren via een secundair kanaal. Een klinisch personeelslid dat toegang heeft tot het account van een collega moet de step-up authenticatie op het credential van de collega niet kunnen voltooien, omdat ze geen toegang hebben tot de authenticatiefactoren van de collega.

Dit is het kritieke handhavingspunt: een secundaire authenticatie-uitdaging gericht aan de inloggegevenshouder kan niet worden voltooid door de ongeautoriseerde deler, omdat de deler het telefoonnummer, e-mailadres of de authenticatieapplicatie van de inloggegevenshouder niet beheert. Step-up authenticatie voor een niet-herkend device is een passief handhavingsmechanisme dat geautoriseerde gebruikers niet verstoort en een nalevingsgebeurtenisrecord creëert voor elke uitdaging die wordt uitgegeven en elke mislukking.

Voor diepere lectuur over de cookieloze detectiearchitectuur die ten grondslag ligt aan deze aanpak, behandelt de handleiding voor account sharing-preventie AVG cookieloos de technische principes in detail. Het onderstaande HIPAA-architectuurgedeelte behandelt de specifieke aanpassingen voor een gezondheidszorg-gereguleerde omgeving.

HIPAA-nalevingsarchitectuur voor cookieloze credential-monitoring

Kort antwoord: De HIPAA Security Rule vereist dat gedekte entiteiten technische beveiligingsmaatregelen implementeren, waaronder gebruikersauthenticatie (45 CFR §164.312(d)), auditcontroles (45 CFR §164.312(b)) en toegangscontroles (45 CFR §164.312(a)). Browser-laag device fingerprinting die geen gegevens client-side opslaat en alleen device-configuratiesignalen verwerkt (niet de gezondheidsinformatie van de patiënt) vormt op zichzelf geen verwerking van PHI. Het is een beveiligingscontrole binnen het HIPAA-beveiligingsprogramma, geen gegevensverwerkingsactiviteit onderworpen aan de Privacy Rule.

De HIPAA Privacy Rule regelt het gebruik en de openbaarmaking van beschermde gezondheidsinformatie. De HIPAA Security Rule regelt de technische en administratieve beveiligingsmaatregelen die nodig zijn om elektronische PHI te beschermen. Dit zijn afzonderlijke regelgevingskaders met afzonderlijke vereisten.

Device fingerprinting voor credential sharing-detectie functioneert als een beveiligingscontrole. Het doel is te verifiëren dat de entiteit die toegang heeft tot het account de entiteit is die wordt geclaimd, waarmee direct de gebruikersauthenticatievereiste bij 45 CFR §164.312(d) wordt aangesproken. Het fingerprinting-mechanisme verwerkt geen PHI. Het verwerkt device-configuratiegegevens: hardware- en browserkenmerken die worden gegenereerd tijdens de authenticatiegebeurtenis en worden gebruikt om te beoordelen of het toegangsdevice een erkende aanwezigheid is op het account.

Omdat browser-laag fingerprinting geen gegevens opslaat op het device van de patiënt of clinicus, impliceert het niet de ePrivacy- of HIPAA-regels met betrekking tot het benaderen of opslaan van informatie op het device van een gebruiker. Er wordt geen persistente identificator naar de browser van de patiënt geschreven. De device-configuratie wordt gelezen op het moment van authenticatie, verwerkt in het beveiligingssysteem, en het resultaat (erkend device / niet-herkend device) wordt toegepast op de authenticatiestroom. De device-configuratiegegevens worden verwerkt onder het HIPAA Security Rule-kader als een beveiligingsmaatregel, niet als PHI.

De cookieloze architectuur is een materieel nalevingsvoordeel in de gezondheidszorg. Veel gezondheidszorgplatformen hebben OCR-begeleiding of juridisch advies ontvangen dat waarschuwt tegen het inzetten van client-side trackingmiddelen (inclusief cookies en analytische pixels) zonder toestemming van de patiënt, omdat deze technologieën mogelijk PHI-context aan derde partijen doorgeven. Verschillende veelgesproken OCR-handhavingsacties in 2024 en 2025 betroffen trackingtechnologieën die patiënt-identificatoren of gezondheidscontext doorgaven aan advertentienetwerken. Browser-laag fingerprinting die werkt zonder client-side opslag en zonder gegevens door te sturen naar advertentie-infrastructuur valt niet binnen die bezorgdheid.

De auditcontrolevereiste bij 45 CFR §164.312(b) vereist dat gedekte entiteiten hardware-, software- of procedurele mechanismen implementeren die activiteit registreren en onderzoeken in informatiesystemen die elektronische PHI bevatten of gebruiken. Een device fingerprint-geschiedenissysteem dat elke authenticatiegebeurtenis registreert, de geobserveerde device fingerprint, de geografische context en het resultaat van de step-up authenticatie, produceert een auditrecord dat de HIPAA-auditcontrole-naleving direct ondersteunt. Elke toegangsgebeurtenis wordt gelogd met een device-niveau-identificator. Elke anomaliemarkering en elk uitdagingsresultaat wordt geregistreerd. Het audittrail is rijker dan standaard authenticatielogboeken omdat het device-niveau-herkomst omvat.

Voor gezondheidszorgplatformen die opereren onder een Business Associate Agreement-structuur valt de inzet van cside als beveiligingstechnologiepartner onder het BAA-kader als het platform de fingerprinting-dienst gebruikt in een context waar PHI incidenteel kan worden verwerkt. cside handhaaft SOC 2 Type II-certificering en beveiligingsdocumentatie relevant voor BAA-beoordeling op trust.cside.com. Platform beveiligings- en complianceteams die de inzet evalueren, moeten hun privacyadvocaat betrekken bij de BAA-beoordeling.

De minimale documentatie vereist voor een gezondheidszorgplatform dat browser-laag credential-monitoring inzet wordt behandeld in de FAQ hieronder.

Wat dit betekent voor beveiligings- en complianceteams van gezondheidszorgplatformen

Kort antwoord: Beveiligings- en complianceteams van gezondheidszorgplatformen moeten het voorkomen van credential sharing kaderen als een component van hun HIPAA-technische beveiligingsprogramma, niet als een fraudepreventieproduct. Het nalevingsargument is primair: het platform moet aantonen dat het procedures heeft geïmplementeerd om de gebruikersidentiteit bij toegang te verifiëren, anomale toegangspatronen te detecteren en auditrecords van toegangsgebeurtenissen bij te houden. Device fingerprint-geschiedenis biedt het technische mechanisme voor alle drie. Het omzetargument is secundair en minder relevant in een gezondheidszorgcontext waar het primaire risico regelgevend is, niet commercieel.

Het audit-gereedheidsargument is het duidelijkste startpunt voor beveiligings- en complianceteams van gezondheidszorg die credential sharing-detectie evalueren.

OCR (het HHS Office for Civil Rights, dat HIPAA handhaaft) heeft consequent gefocust op het vermogen van gedekte entiteiten om aan te tonen dat ze de technische beveiligingsmaatregelen hebben geïmplementeerd en werkelijk opereren die de Security Rule vereist. Een organisatie die een beleid heeft dat unieke gebruikersinloggegevens en individuele toegangscontroles vereist, maar geen detectiemechanisme heeft om te identificeren wanneer dat beleid wordt geschonden door credential sharing, heeft een kloof tussen haar gedocumenteerde beleid en haar operationele realiteit.

Die kloof is een auditrisico. Een OCR-onderzoek dat wordt geactiveerd door een inbreuk of klacht kan vragen of de organisatie controles had om te detecteren dat PHI werd benaderd door niet-geverifieerde personen. Een organisatie die kan aantonen dat ze device fingerprint-geschiedenis-monitoring heeft op haar patiëntenportal- en klinische platformlogins, met gedocumenteerde step-up authenticatie voor niet-herkende devices en een auditrecord van elke uitdaging en elk resultaat, heeft een aanzienlijk sterkere respons dan een organisatie die alleen naar haar acceptabel-gebruik-beleid kan wijzen.

Het patiëntveiligheidsargument is specifiek van belang voor klinische platformen. Wanneer een gedeeld klinisch credential wordt gebruikt om een patiëntrecord te benaderen of te wijzigen, weerspiegelt het record de inloggegevenshouder als de actor. Als een medicatieorder, een zorgnotitie of een diagnostisch resultaat wordt ingevoerd onder een gedeeld credential, wordt de herkomst van die invoer verduisterd. Klinische audittrail-integriteit is niet alleen een HIPAA-vereiste. Het is een patiëntveiligheidsvoorwaarde.

Voor hoofden van productontwikkeling bij gezondheidszorgplatformen verandert de nalevingsinvalshoek de prioritering van de productroadmap. In andere sectoren wordt het voorkomen van account sharing doorgaans afgewogen tegen omzetimpact: hoeveel ARR gaat verloren, wat is het conversiepercentage op upgrade-prompts, wat zijn de gebruikerservaringskosten van handhaving. In de gezondheidszorg is de prioriteringsvraag: wat is de regelgevende blootstelling van het niet hebben van deze controle, en hoe verhoudt dat zich tot de implementatiekosten?

Het implementatiepad voor de meeste gezondheidszorgplatformen begint met alleen-lezen monitoring. Zet device fingerprint-geschiedenis in op authenticatiegebeurtenissen. Bouw het 30-daagse rollende device-profiel voor elk account op. Observeer de verdeling van niet-herkende device-verschijningen. Identificeer de accounts met de hoogste anomaliesnelheden. Beoordeel die accounts handmatig voordat u een geautomatiseerde handhavingsreactie inschakelt.

Deze aanpak produceert het auditbewijs van een operationeel detectieprogramma zonder onmiddellijk klinische workflows aan te raken. Het vestigt de basislijngegevens die zowel de nalevingszaak als de handhavingskalibrering ondersteunen.

De device fingerprinting-oplossing van cside is inzetbaar op de browser-laag zonder client-side opslag, integreert met authenticatiegebeurtenispijplijnen en produceert de device-geschiedenis en anomaliesignalen die nodig zijn voor het detecteren van credential sharing in de gezondheidszorg. De account sharing use case-pagina behandelt de implementatiepatronen voor meerdere sectoren. SOC 2 Type II-certificering en vertrouwensdocumentatie zijn beschikbaar op trust.cside.com voor nalevingsbeoordeling.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

FAQ

Frequently Asked Questions

Geautoriseerde mantelzorgertoegang is een door het platform beheerde regeling: de patiënt wijst uitdrukkelijk een benoemde persoon aan als proxygebruiker, die aanwijzing is geregistreerd in het platform, en de toegang van de proxy is geassocieerd met een geverifieerde identiteit. Het platform weet wie toegang heeft tot het account en heeft de toestemming van de patiënt op record. Ongeautoriseerde credential sharing is onzichtbaar voor het platform: de patiënt heeft hun inloggegevens gegeven aan een familielid of vriend, en dat individu benadert het account zonder enige registratie van hun identiteit of de toestemming van de patiënt. Vanuit het perspectief van het platform verschijnen beide patronen als het credential van de patiënt dat een sessie verifieert. Device fingerprint-geschiedenis onderscheidt ze door te herkennen of het toegangsdevice een bekende aanwezigheid is op het account of een niet-herkend device dat voor het eerst verschijnt.

Browser-laag device fingerprinting die een identificator afleidt van hardware- en softwareconfiguratie-signalen, zonder gegevens naar het device van de patiënt te schrijven, vereist geen toestemming van de patiënt onder HIPAA. Het is een beveiligingscontrole die werkt onder de technische beveiligingsvereisten van de HIPAA Security Rule, geen gegevensverwerkingsactiviteit die wordt geregeld door de Privacy Rule. Omdat er geen gegevens worden opgeslagen op het device van de patiënt, impliceert het niet de vereisten met betrekking tot het benaderen of opslaan van informatie op het device van een gebruiker. Gezondheidszorgplatformen moeten een juridische beoordeling verkrijgen die specifiek is voor hun jurisdictie en inzetcontext, maar het algemene principe is dat beveiligingsmonitoring van authenticatiegebeurtenissen een kernverplichting van de HIPAA Security Rule is, geen kwestie van toestemming op grond van de Privacy Rule. De cookieloze architectuur van cside, in detail beschreven in de [AVG cookieloze handleiding](/nl/blog/account-sharing-prevention-gdpr-cookieless), past dezelfde privacy-by-design-principes toe die de HIPAA-inzet ondersteunen.

De HIPAA Security Rule bij 45 CFR §164.312(d) vereist dat gedekte entiteiten procedures implementeren om te verifiëren dat een persoon die toegang zoekt tot elektronische beschermde gezondheidsinformatie de persoon is die wordt geclaimd. Credential sharing ondermijnt deze vereiste: de persoon die toegang heeft tot het account is niet de persoon die wordt geclaimd (de inloggegevenshouder), en het platform heeft geen procedure om de discrepantie te detecteren. Wanneer PHI wordt benaderd door een niet-geverifieerde persoon via een gedeeld credential, heeft de gedekte entiteit mogelijk PHI verstrekt aan een persoon die niet bevoegd is om het te ontvangen, een potentiële HIPAA-openbaarmakingovertreding. De auditcontrolevereiste bij 45 CFR §164.312(b) is ook van belang: als het toegangslog PHI-toegang toeschrijft aan de inloggegevenshouder terwijl de werkelijke accessor een ander individu is, is het auditrecord onnauwkeurig. Beide blootstellingen zijn directe Security Rule-nalevingsfouten.

Ja. Het detectiemechanisme werkt op de laag van de authenticatiegebeurtenis, niet binnen de klinische workflow zelf. Device fingerprint-geschiedenismonitoring werkt stil op elke login zonder enige interactie met de sessie die de gebruiker uitvoert na authenticatie. Het enige workflowtouchpoint is de step-up authenticatie-uitdaging die wordt geactiveerd wanneer een niet-herkend device wordt gedetecteerd. Die uitdaging vindt plaats bij login, voordat de klinische sessie begint, en voegt 30 tot 60 seconden toe aan het authenticatieproces voor gemarkeerde gebeurtenissen. Voor een geautoriseerde gebruiker die voor het eerst inlogt vanaf een nieuw device, is dit een eenmalige verificatie die het nieuwe device als erkend registreert. Voor een ongeautoriseerde deler die de authenticatiefactoren van de inloggegevenshouder niet beheert, is de uitdaging een toegangsweigering. Klinische platformen moeten de implementatie faseren met een alleen-monitoring-periode om drempels te kalibreren voordat step-up authenticatie wordt ingeschakeld, zodat het fout-positievenpercentage op legitieme nieuwe device-toegang acceptabel laag is.

Als minimum moet een gezondheidszorgplatform dat browser-laag credential-monitoring inzet, documenteren: (1) het beveiligingsdoel en de HIPAA-regelgevingsbasis voor de monitoring (Security Rule §164.312(d) gebruikersauthenticatie, §164.312(b) auditcontroles); (2) een gegevensstroom-beoordeling die bevestigt dat het monitoringsysteem geen PHI verwerkt en dat device-configuratiesignalen niet worden doorgegeven aan reclame- of analytische infrastructuur van derden; (3) een Business Associate Agreement-beoordeling om te bepalen of de monitoringsleveranciersrelatie een BAA vereist gezien de inzetcontext; (4) het risicobeoordelingsrecord dat de beslissing documenteert om de controle te implementeren, consistent met de risicoanalyse-vereiste bij 45 CFR §164.308(a)(1). De vertrouwens- en beveiligingsdocumentatie van cside op [trust.cside.com](https://trust.cside.com) ondersteunt punten 2 en 3. Juridische en compliance-adviseurs moeten worden betrokken bij het produceren van de volledige documentatieset.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo