Danışmanlık firması Bernstein Data’dan Matthew Bernstein, New York eyaletindeki bazı hastaneler için geçerli olan eyalet siber güvenlik düzenlemelerinin federal HIPAA güvenlik kuralına iyi uyum sağladığını ve sağlayıcılar için genişletilmiş veri yönetimi zorlukları ortaya çıkardığını söyledi.
New York Eyaleti’nin genel hastanelere yönelik siber güvenlik düzenlemeleri, Ekim 2024’ten itibaren hastanelerin siber olayları eyalet sağlık departmanına 72 saat içinde bildirmesi yönündeki uyumluluk zorunluluğuyla birlikte geçen yıl yürürlüğe girdi.
Ancak 1 Ekim 2025’te düzenlemelerin geri kalanına uyum için son tarih yürürlüğe girdi. Bu uzun gereksinim listesi, çok faktörlü kimlik doğrulamayı, risk analizini, bir CISO atamayı, olaya müdahaleyi ve diğer konuları kapsar.
Bernstein, kapsanan veri türlerinin de çok geniş olduğunu, yalnızca HIPAA korumalı sağlık bilgilerinin değil, aynı zamanda kişisel olarak tanımlanabilir bilgilerin, iş verilerinin ve daha fazlasının da olduğunu söyledi.
Hastanelerin karşılaştığı en büyük uyumluluk zorluklarının arasında bu genişletilmiş hassas veri kümesinin tanımlanması ve yönetilmesi olduğunu söyledi.
“Neyin korunacağına ilişkin gereksinimler ve korumaya ilişkin risk değerlendirmeleri, bu yeni yasa kapsamında gerçekten farklı” dedi. “Önemli olan, ilk gün tam olarak uyumlu olamasanız bile, düzenleyiciye uyumluluğa yönelik bir planınızın olduğunu göstermektir.”
Bilgi Güvenliği Medya Grubu ile yapılan bu sesli röportajda (fotoğrafın altındaki ses bağlantısına bakın), Bernstein ayrıca şunları da tartıştı:
- New York eyaleti düzenlemeleri ile HIPAA güvenlik kuralı arasındaki diğer karşılaştırmalar;
- Eyaletin yeni kuralcı, sistem çapında ve yıllık risk değerlendirme gereklilikleri;
- Sağlık hizmetleri ortamlarında veri yayılımıyla mücadele.
Danışmanlık firması Bernstein Data’nın kurucusu ve bilgi yönetişim stratejisti Bernstein, 20 yılı aşkın bir süre Deutsche Bank’ın çeşitli küresel finansal hizmetler işletmelerinde bilgi yönetimi uygulamalarına liderlik etti. Bernstein Data’yı başlatmadan önce, Deutsche Bank’ta grup bilgi ve kayıt yönetimi başkanıydı ve kayıt yönetimi, arşivleme ve e-Keşif operasyonlarından küresel sorumluydu.