Skip Navigation
 
   

Mitgliedskommentar für Zertifizierungsänderungen

15. Januar 2014

Ab sofort können Kommentare zu den Änderungen am NAID-AAA-Zertifizierungsprogramm 2014 online abgegeben werden. Um die Änderungen zu überprüfen und Kommentare zu hinterlassen, klicken Sie bitte hier. Ein Benutzername und ein Passwort sind erforderlich, um auf diese Seite zuzugreifen. Wenn Sie Ihre Login-Daten nicht kennen, können Sie diese anfordern, indem Sie eine E-Mail an admin@naidonline.org senden. Bis zum 1. Februar 2014 können Kommentare hinterlassen werden. Nachfolgend finden Sie eine Zusammenfassung der neuen Anforderungen für das Zertifizierungsprogramm 2014, wie es vom NAID-Verwaltungsrat genehmigt wurde:

HIPAA Risikobewertung: Mit den jüngsten Änderungen an HITECH ist es für die Datenvernichtungsdienstleister und Geschäftspartner (BA) unter HIPAA wichtig - heute mehr als je zuvor - HIPAA einzuhalten und die Einhaltung zu überprüfen, vor allem, wenn es um die Risikobewertung geht. Daher wurden mehrere neue Anforderungen in dem Bemühen aufgenommen, die NAID-Zertifizierung sowohl für BAs als auch für die betroffenen Einrichtungen (CE) gleichbedeutend mit der HIPAA-Einhaltung zu gestalten.

Prüfungsberichte sind auf Anfrage erhältlich: Ausführliche Prüfungsberichte sind nun für zertifizierte Unternehmen auf ihren Antrag erhältlich. Das Unternehmen kann sie für seine eigenen Aufzeichnungen behalten, oder sie kann es verteilen, um die Einhaltung der NAID-Zertifizierungskriterien und HIPAA zu bestätigen. NAID gibt Prüfungsberichte lediglich an das zertifizierte Mitglied, auf das sie sich beziehen.

Dateneinbruchsmitteilung an NAID (Vereinbarung 20 und Abschnitt 2.1c): Sollte ein zertifiziertes Unternehmen eine Datensicherheitspanne haben, über die sie aufgrund von einschlägigen Landes- und/oder Bundesgesetzen ihre(n) Kunden informieren muss/müssen, muss das Unternehmen dies auch NAID mitteilen. Dies ermöglicht NAID sicherzustellen, dass alle Nicht-Einhaltungen von Zertifizierungskriterien und/oder der NAID–Richtlinien und -Ethik rechtzeitig korrigiert werden.

Datensicherheitspannen-Reaktionsplan (Abschnitt 2.1d): Das Unternehmen muss einen schriftliche Reaktionsplan für den Umgang mit Datensicherheitspannen haben. Dieser Plan muss eine Betriebsauswirkungsanalyse nach dem Vorfall und, in Übereinstimmung mit HIPAA Sicherheitsregel 164,308 (a) (6) (ii), ein Verfahren zur Dokumentation aller Vorfälle und ihre Ergebnisse einschließen.

Zugangsmitarbeiter müssen geschult werden (Abschnitt 2.1g): Zugangsmitarbeiter müssen geschult werden, um den NAID-AAA-Zertifizierungsanforderungen zu genügen. Die Ausbildung muss die Anforderungen der HIPAA-Sicherheitsregel 164,308 (a) (d) (i) erfüllen.

Übernahme und Umzugsaudits (Vereinbarung 25 und 26): Seit seiner Gründung hat die NAID-Zertifizierung von Unternehmen, die eine Änderung der Eigentumsverhältnisse oder einen Umzug von Betriebsstandorten durchliefen, verlangt, innerhalb von sechs Monaten nach der Änderung einen Audit durchführen zu lassen. Um Verwirrung zu klären, wird diese Richtlinie nun auf dem Zertifizierungsantrag als Vereinbarung aufgenommen, die während des Bewerbungsverfahrens unterzeichnet werden muss.

Benachrichtigen Sie NAID über Probleme mit dem CCTV-System (Abschnitt 2.15): Wenn es ein Problem mit dem CCTV-System gibt, das zum Verlust von Daten führt, müssen zertifizierte Unternehmen NAID innerhalb von 48 Stunden benachrichtigen. Dies ermöglicht NAID, Hilfestellungen zu leisten und sicherzustellen, dass das System in einer angemessenen Zeit wieder in Einklang mit den Richtlinien gebracht wird. Das zertifizierte Unternehmen profitiert auch davon, indem sichergestellt wird, dass, wenn eine Prüfung während der CCTV-Stillstandszeiten durchgeführt wird, es nicht gegen das Unternehmen gerechnet wird, sofern NAID innerhalb des vorgegebenen Zeitrahmens benachrichtigt wurde und das Unternehmen das Problem behoben hat.

Bitte beachten Sie, dass Unternehmen, die bereits zertifiziert sind, sich an die Regeln des neuesten Antrags, den sie bei NAID eingereicht haben, halten müssen; daher wird NAID es nicht von ihnen erfordern, diese neuen Kriterien zu erfüllen, bis ein neuer Antrag auf Verlängerung eingereicht wird. Allerdings ist es eine gute Idee, die Umsetzung dieser Änderungen so schnell wie möglich durchzuführen, da sie aufgenommen wurden, um die Zertifizierungskriterien den letzten Änderungen von HITECH/HIPAA anzupassen, die Auswirkungen auf die Dienstleister haben werden.

Bei Fragen oder wenn Sie zur Einreichung von Stellungnahmen zu diesen Programmänderungen Hilfe brauchen, wenden Sie sich bitte an NAID unter 602-788-6243 oder schicken Sie eine E-Mail an certification@naidonline.org.