<div dir="ltr"><div dir="ltr"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><a href="https://healthitsecurity.com/news/building-a-secure-vendor-relationship-with-inventory-management">https://healthitsecurity.com/news/building-a-secure-vendor-relationship-with-inventory-management</a><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><b><span style="font-size:10pt"></span></b><span style="font-size:10pt"></span><span style="font-family:arial,helvetica,sans-serif"></span><br></div></div><div dir="ltr"><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">The healthcare sector has been a primary target of hackers for more than a year, and the attacks continue to increase in sophistication. While many providers have adjusted their security posture in attempt to shore up some of these threats, vendor management is a vulnerability often mishandled.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">In fact, to Jane Harper, Director of Privacy and Security for the Henry Ford Health System, it’s an emerging risk that can wind up being a disaster if not properly managed. The problem is that there’s a lot of data shared between vendors and business associates, but often providers don’t know what’s being shared — and with whom.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">Consider some of the bigger health data breaches of the last few years caused by vendor error. For example, a medical<a href="https://healthitsecurity.com/news/texas-health-says-3808-affected-by-healthcare-data-breach" style="box-sizing:border-box;background-color:transparent;color:rgb(0,86,145);text-decoration-line:none;font-weight:600"> transcription vendor</a> left a portion of a database exposed to the internet with data from at least 2,300 providers.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">In another transcriptionist case, an <a href="https://healthitsecurity.com/news/19k-orlando-orthopaedic-patients-at-risk-from-lax-vendor-security" style="box-sizing:border-box;background-color:transparent;color:rgb(0,86,145);text-decoration-line:none;font-weight:600">Orlando Orthopaedic Center</a> vendor misconfigured access to a database during a software upgrade — and waited six months to report. The breach serves as a prime example for why vendor management is crucial, especially when it comes to contractual obligations.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“The golden days, several years ago, when people thought of vendor onboarding as similar to doing a transaction are over,” said Pam Hepp, a healthcare attorney and shareholder of Buchanan, Ingersoll and Rooney.</p><p class="gmail-article-read-more" style="box-sizing:border-box;margin:15px 0px 10px;line-height:20px;font-size:16px;font-family:"Open Sans Condensed",sans-serif;color:rgb(51,51,51)"><span style="box-sizing:border-box;font-weight:700;color:rgb(102,102,102)">READ MORE:</span> <a href="https://healthitsecurity.com/news/hospital-leaders-feel-underprepared-for-cybersecurity-threats" style="box-sizing:border-box;background-color:transparent;color:rgb(0,86,145);text-decoration-line:none;font-weight:600">Hospital Leaders Feel Underprepared for Cybersecurity Threats</a></p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)"></p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“Originally, [healthcare organizations] looked at policies as they touched the surface: They may have asked about whether the vendor had a breach, but they didn’t do the deep dive on security,” she added. “And that’s assuming they knew the number of vendors they had.”</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">As the Office for Civil Rights has ramped up enforcement efforts, the point is being driven home that vendors are “just one more entry point into an organization,” Hepp explained.</p><h3 style="box-sizing:border-box;line-height:1.1;margin-top:20px;margin-bottom:10px;text-transform:uppercase;font-family:"Open Sans Condensed",sans-serif;color:rgb(0,0,0);font-size:18px"><span style="box-sizing:border-box">BUILDING A VENDOR RELATIONSHIP</span></h3><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">One of the biggest challenges with vendor management comes with both inventory and risk assessment. For Hepp, organizations should approach third-party risk by treating vendor risk as they would their own organization.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">To start, organizations need to perform a risk assessment around the vendor’s IT environment, along with the policies and procedures in place from a privacy and security standpoint, explained Hepp. The frequency will be determined by the size of the organization.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">Larger organizations will have the resources to perform annual risk assessments on their vendors, which will correlate with the assessment performed on their own systems, Hepp said.</p><p class="gmail-article-read-more" style="box-sizing:border-box;margin:15px 0px 10px;line-height:20px;font-size:16px;font-family:"Open Sans Condensed",sans-serif;color:rgb(51,51,51)"><span style="box-sizing:border-box;font-weight:700;color:rgb(102,102,102)">READ MORE:</span> <a href="https://healthitsecurity.com/features/how-to-comply-with-the-hipaa-breach-notification-rule" style="box-sizing:border-box;background-color:transparent;color:rgb(0,86,145);text-decoration-line:none;font-weight:600">How to Comply with the HIPAA Breach Notification Rule</a></p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)"></p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">However, inventory may just be the most critical risk area — but also the hardest to protect. Many organizations don’t know just how much data is on their system, let along who has access. So Hepp explained that having an actual inventory of the access and vendor programs is critical.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“A number of health systems struggle with knowing what they have,” said Hepp. “And there are a number of vendors that will interact with physical systems and others don’t now if they have the same sort of privacy and security privileges when they onboard a vendor.”</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“That’s been a struggle: How to get their arms around with what [data] they do have and vendor relationships,” she added.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">Hepp also noted there are some software programs now with AI and machine learning components that can determine what’s on a system. Some of Hepp’s clients are using that around the inventory side of management to help monitor activity with those devices and even vendor products – just like they would for their own organization.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“There are some software tools to get their arms on what vendors are out there,” she added. “It’s becoming easier in that regard, from a software perspective to determine what’s on the system and those vendors.”</p><p class="gmail-article-read-more" style="box-sizing:border-box;margin:15px 0px 10px;line-height:20px;font-size:16px;font-family:"Open Sans Condensed",sans-serif;color:rgb(51,51,51)"><span style="box-sizing:border-box;font-weight:700;color:rgb(102,102,102)">READ MORE:</span> <a href="https://healthitsecurity.com/news/nj-fines-vendor-behind-virtua-healthcare-data-breach-200k" style="box-sizing:border-box;background-color:transparent;color:rgb(0,86,145);text-decoration-line:none;font-weight:600">NJ Fines Vendor Behind Virtua Healthcare Data Breach $200K</a></p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)"></p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">And organizations “need to take steps to limit access on those systems, just like with EHR access: It needs to be processed on accessing those vendor portals,” she added.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“Pen testing, patch management and updates have been an issue, as well, as some vendors want to control that,” said Hepp. Organizations should push to the do the upgrades and patch management testing with vendor involvement.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">As ransomware attacks have increased, “proper patch management is absolutely critical in the vendor space,” she explained.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“Covered entities should be requesting copies of the vendor’s risk assessments and evidence that they have implemented a risk management plan (either in addition to, or perhaps for smaller organizations in lieu of conducting their own risk assessment of the vendor),” said Hepp.</p><h3 style="box-sizing:border-box;line-height:1.1;margin-top:20px;margin-bottom:10px;text-transform:uppercase;font-family:"Open Sans Condensed",sans-serif;color:rgb(0,0,0);font-size:18px"><span style="box-sizing:border-box">VENDOR MANAGEMENT CHECKLIST</span></h3><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">Harper provided a third-party management checklist to simplify just how to build a secure vendor relationship.</p><ol style="box-sizing:border-box;margin-top:0px;margin-bottom:10px;list-style-position:inside;overflow:hidden;padding-left:15px;font-size:16px;line-height:22px;color:rgb(51,51,51);font-family:Georgia,Helvetica,Arial"><li style="box-sizing:border-box;padding-bottom:15px">Include the appropriate internal stakeholders</li><li style="box-sizing:border-box;padding-bottom:15px">Monitor post contract signature not just for SLA metrics but security, privacy and general risk management considerations</li><li style="box-sizing:border-box;padding-bottom:15px">Make sure any insurable risk related to the relationship are covered in insurance policies</li><li style="box-sizing:border-box;padding-bottom:15px">Ensure the appropriate contracts are in place before data sharing occurs</li><li style="box-sizing:border-box;padding-bottom:15px">In addition to any regulatory mandated requirements, ensure the contracting language and process includes:</li></ol><blockquote style="box-sizing:border-box;font-size:17.5px;font-family:Georgia,Helvetica,Arial;color:rgb(51,51,51);padding:15px;margin:10px 0px;border:none;background-color:rgb(245,245,245);font-style:italic"><ul style="box-sizing:border-box;margin-top:0px;margin-bottom:0px;list-style-position:inside;padding-left:15px;overflow:hidden;font-size:16px;line-height:22px"><li style="box-sizing:border-box;padding-bottom:15px">Clearly defined service to be provided</li><li style="box-sizing:border-box;padding-bottom:15px">Data protection considerations</li><li style="box-sizing:border-box;padding-bottom:15px">Data privacy considerations</li><li style="box-sizing:border-box;padding-bottom:15px">Data ownership consideration</li><li style="box-sizing:border-box;padding-bottom:15px">De-identification of data if applicable</li><li style="box-sizing:border-box;padding-bottom:15px">Data destruction, return and archival considerations</li><li style="box-sizing:border-box;padding-bottom:15px">Right to audit</li><li style="box-sizing:border-box;padding-bottom:15px">Appropriate use</li><li style="box-sizing:border-box;padding-bottom:15px">Breach notification and remediation considerations</li><li style="box-sizing:border-box;padding-bottom:15px">Credit monitoring and reporting obligations in case of breach</li></ul></blockquote><h3 style="box-sizing:border-box;line-height:1.1;margin-top:20px;margin-bottom:10px;text-transform:uppercase;font-family:"Open Sans Condensed",sans-serif;color:rgb(0,0,0);font-size:18px"><span style="box-sizing:border-box">CONTRACTUAL CONSIDERATIONS</span></h3><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">Prior to HHS extending HITECH obligations directly to business associates, vendor contracts were stiff and there was little leverage. Hepp explained that prior to HIPAA, when organizations had to consider business associate agreements, it was merely to fill the contractual obligations for HIPAA compliance.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">The HITECH changes — which went into effect around 2009 — made it so that business associates are now subject to enforcement under OCR. In fact, OCR conducted Phase II audits last year with a focus on business associates, which included conducting risk assessments and having in place a risk management plan. Timeliness of notice of security incidents and breaches to covered entities was also included.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“That leveled the playing field with negotiating,” said Hepp. “Originally, vendors wouldn’t negotiated with agreements, wanting to insist on limitation of liability and not wanting to have responsibility in this area. But we’ve seen a shift because now they’re directly responsible from an OCR enforcement standpoint.”</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">For Hepp, the critical contractual obligations lie with the limitation of liability: this should not exist in the vendor-healthcare provider arrangement. This means that if there is a breach, those fines can be enforced on the liable party — vendor or the covered entity.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">The costs of the breach add up, from the fines, breach notifications, risk assessments, credit monitoring and the like. If an organization allows a liability limitation with a vendor, it could be costly — especially when consider remediation efforts, fines and litigation.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“Organizations will need to negotiate,” said Hepp. “There also needs to be a strong awareness around compliance — and again keeping in mind to do due diligence on how breach notification is handled. Typically, the providers are going to want to control notice to their own patients.”</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">Hepp also noted that it’s critical that vendors have cyber insurance to protect liability. And indemnification itself, with respect to a breach, must also be included in the contract.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">As for the red flags to avoid, Hepp said any hint to a limitation of liability and an unwillingness to indemnify are the biggest. Another would be that they don’t have cyber insurance.</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“Obviously, those are business decisions,” she said. “They are legal provisions, and an organization will need to decide on whether they still want to do business. But at the end of the day, it becomes a business decision.”</p><p style="box-sizing:border-box;margin:15px 0px 10px;line-height:22px;font-size:16px;font-family:Georgia,Times,serif;color:rgb(51,51,51)">“If [the vendor] is not willing to stand behind their own negligence or breaches/incident that would be a red flag,” Hepp added. “They need to stand behind their own performance.”</p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>