Verzoek informatie
+31(0)88 – 428 31 11

Verzoek informatie

or Call +31(0)88 – 428 31 11

HITRUST’s Evolution and Important Role in Strengthening HIPAA

januari 11, 2018 / jbrooks

Excerpts from HITRUST and Cybersecurity 2018: Part 1- Evolution and Adoption

As recently announced, Evolve IP is proud to have achieved the honor of being HITRUST CSF certified. View the HITRUST certification press release here. Certification to the HITRUST Common Security Framework (CSF) affirms that all of Evolve IP’s cloud computing and cloud communications services adhere to the strictest security standards for electronic protected health information (PHI). The reason that HITRUST is a critical component of today’s healthcare conversation is that it focuses on the most important issue facing the industry today: data security. Our 250+ healthcare clients have always received HIPAA compliant cloud services. But HITRUST is in a different class.

HIPAA compliance is certainly very important, but being “compliant” is far different from “providing a culture of data security”.  That’s the difference that HITRUST makes.

To help our clients and all participants in the healthcare community (ranging from covered entities as well as any service providers who touch PHI data) understand the implications of HITRUST, Evolve IP recently hosted a seminar entitled HITRUST and Cybersecurity 2018.  The day’s first keynote speaker was Omar Khawaja, the Chief Information Security Officer (CISO) at Highmark Inc. in Pittsburgh. Below are some excerpts from his keynote address (47 minute video clip) that explain how HITRUST changes the game. Specifically, the excerpts answer the following questions:

  • What problem were you trying to solve when you began thinking about HITRUST?
  • Why is HITRUST a great fit for the security demands of healthcare?
  • How did you decide to start requiring HITRUST certification for your vendors?
  • How and why is support for HITRUST growing?
  • Are your third parties complying with the HITRUST requirement?

What problem were you trying to solve when you began thinking about HITRUST?

I realized that the amount of risk posed by our information that was (being held by business associates) outside of our four walls was significantly greater than the risk posed by what is inside our four walls. That’s simply because of the math. We’ve got probably 10, or 20, or 30 times more of our members’ information that we are sharing with some third party through the course of doing business than that which actually exists within our own four walls. So it’s important for us to have a good security program at Highmark Health, but it’s probably MORE important for us to have a phenomenal strategy for ensuring that our members’ information, and our patients’ information, is just as secure when it leaves our four walls.

We run eight hospitals with about 400 physician offices. We also provide medical vision and dental insurance to customers all over the country. All told we have about 45 million customers across the country who were responsible for. Protecting their information is the thing that keeps me up at night because that is that is my responsibility.

Why is HITRUST a great fit for the security demands of healthcare?

The HITRUST CSF is a risk-based control framework and it actually maps to 20 different compliance requirements and authoritative documents (2 minute video clip). If you’re concerned with PCI, HIPAA/HITECH, various state privacy laws, ISO 27001, NIST, FFIEC requirements and probably about 8 or 10 others, HITRUST essentially harmonizes them. It doesn’t come up with something new, it just takes a lot of those existing compliance requirements and build crosswalks against them.

In order to achieve the HITRUST certification an approved CSF assessor must validate every single control. Further, the recertification happens every two years and upkeep of the control framework is every single year. Consistently, HITRUST has updated the common security framework based on feedback from the industry from the auditors from the assessors and from the government. So it does evolve based on the needs of the industry.

How did you decide to start requiring HITRUST certification for your vendors?

In early 2016 Highmark got together with four other healthcare payers – HCSC, UnitedHealthcare Group, Anthem and Humana – to agree on an approach, because if we do something individually it’s probably not going to be as effective as if we do something as a group. We all decided on three things:

  • We’re going to have our control requirements defined by the HITRUST Common Security Framework (CSF)
  • Controls must be validated by an approved HITRUST assessor, and
  • Our business associates must obtain a HITRUST CSF certification within two years (2018)

In our approach, five large health plans partner together to convey consistent and easy-to-understand requirements. Among us we actually had 7500 third parties that this requirement went out to. The requirement is easy. You just have to go get HITRUST certified (1 minute video clip). The requirements get updated every year. Every two years you have to go get recertified. We don’t have to update our contracts every year just because there’s a new cyber threat out there.

The number one thing I was looking for is that 100% of my third parties have an evidential review of policies and validation of every single security control. I just want 100% of my vendors to be HITRUST certified. Otherwise I don’t feel comfortable going to my customers and saying “trust us, we’re on it.”

How and why is support for HITRUST growing?

  • At this point there’s probably close to 90 or a hundred organizations out there that have done the same thing that the five of us did to begin with: they have now required all of their third parties to be HITRUST certified.
  • Organizations are convinced that HITRUST is here to stay (38 seconds). I can tell you that because I’m now starting to see a lot of demand and growth from the financial services industry. And I’m starting to see it from the technology sector. And for other areas where they aren’t in healthcare. They don’t have protected health information (PHI) but they’re looking at this framework and saying “this is what we want to do” and “this is what we’re going to use.
  • Today we’re seeing it work because organizations are seeing value (35 seconds). In just the month of September my team had three questionnaires that we were able to go back to our customers and say “hey, we’ve got this HITRUST certification. Do you really want us to respond to your questionnaire or would you like the three hundred page report from HITRUST based on an on-site audit that lasted three months. In all three of those cases they said “forget about the questionnaire, just send us the report.” That is value right there.

Are your third parties complying with the HITRUST requirement?

To date the vast majority of our third parties see the value in the approach and have committed to it. There’s one vendor that was escalated to me and I had to have about two or three conversations with them to say “why aren’t you getting HITRUST certified? And if you really aren’t, let me know because then we need to start making plans to stop doing business with you.” Because we were serious. They came back to me in spring of this year and said they are going to go and get HITRUST certified.

I was talking to one of the Fortune 10 technology vendors earlier this year and they said “we have certification A and we have certification B and we have this in terms of our certifications” and I said “but none of them work for healthcare. This (HITRUST) is what you need to do for healthcare (43 seconds). What you’re doing doesn’t really work for me in healthcare. Give me something that works for me. It’s okay if you don’t want to serve the healthcare industry. We can go to a different vendor. But I can tell you that this is the expectation within healthcare.

Contact us today for more information about Evolve IP’s HITRUST certified communications and computing solutions, or about our upcoming educational events.
Categories: Business Continuity & Disaster Recovery Healthcare
De Evolve IP Compliance CloudTM

Compliance is voor Evolve IP méér dan voldoen aan wet- & regelgeving. Compliance is een manier van zakendoen die het onze klanten mogelijk maakt om zaken te doen.

Bij Evolve IP zorgen we ervoor dat onze systemen en werkwijzen voldoen aan de laatste wet- & regelgeving en dat de data die wij verwerken optimaal beveiligd is. Op deze manier kunnen onze klanten erop vertrouwen dat hun data en de data van hún klanten met de grootst mogelijke zorg wordt behandeld en beschermd. Dat doen wij met een combinatie van bewezen technologie, processen en adequate controles. Evolve IP is ISO 27001 gecertificeerd en onze worden beveiligings- en privacymaatregelen worden regelmatig geauditeerd, zowel door externe partijen als via interne audits. De Evolve IP Compliance Cloud wordt door een team van Security Officers bewaakt en uitgevoerd, zowel binnen Europa als wereldwijd.


Compliance may vary by region

Wat Onze Klanten Zeggen
  • “Op papier zag het voorstel van Evolve IP er goed uit, maar ze moesten zich in de praktijk bewijzen met een 'proof of concept'.”

    Don van Arem, Service Desk Manager - Knab

  • “De contact center oplossing zorgt voor minder werkdruk op de afdeling. Uiteindelijk zorgt dat voor meer tevreden klanten”

    Robert Jonker, Manager Customer Service - iBOOD

  • "Met ons oude systeem werkten we zonder sturingsinformatie. Nu krijg ik, wanneer ik dat wil, een overzicht van alle KPI’s."

    Willie Brouwer, Sales Coördinator - Prénatal

Wat de experts denken

Onze door analisten geprezen oplossingen zijn gebouwd op een conforme architectuur van wereldklasse. Deze architectuur gebruikt de blue-chip-technologieën die organisaties al kennen en vertrouwen.


We zetten de beste oplossingen in, waaronder: Noodherstel, Contact Center, Geïntegreerde Communicatie, DaaS en IaaS. Onze services zijn door een analist gewaardeerd, door een leverancier gevalideerd, door klanten aanbevolen en bekroond.


Evolve IP is er trots op, dat het de eer heeft om HITRUST CSF gecertificeerd te zijn! Certificering aan het HITRUST Common Security Framework (CSF) bevestigt, dat alle cloudcomputing- en cloud communicatiediensten van Evolve IP, voldoen aan de strengste beveiligingsnormen voor elektronisch beschermde gezondheidsinformatie (PHI). De HITRUST-beveiligingsstandaard is ontwikkeld door en voor de gezondheidszorg als middel om verder te gaan dan de compliance benodigdheden van HIPAA.

Het HITRUST Common Security Framework (CSF) is ontwikkeld om de vele veiligheids-, privacy- en regulerende uitdagingen waarmee organisaties in de gezondheidszorg worden geconfronteerd aan te pakken. Het HITRUST CSF is ontwikkeld door zorgverleners en IT-professionals om een efficiënt en prescriptief structuur te bieden voor het beheer van de beveiligingsvereisten die inherent zijn aan HIPAA. HITRUST CSF rationaliseert voor de gezondheidszorg relevante regulaties en normen in één overkoepelend beveiligingskader. Een belangrijk gedeelte van het antwoord 'Wat is HITRUST' is dat de CSF op risico's is gebaseerd en op compliance is gebaseerd. Hierdoor kunnen de organisaties de baselines en vendor management-programma's die ze volgen aanpassen op basis van hun specifieke organisatietype, grootte, systemen en wettelijke vereisten.


De privacyreglementen van de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) vereisen dat zorgaanbieders, organisaties en hun zakelijke relaties, procedures ontwikkelen en volgen die de geheimhoudingsplicht en veiligheid van beschermde gezondheidsinformatie (PHI) waarborgen wanneer deze wordt overgedragen, ontvangen, behandeld of gedeeld. Dit geldt voor alle vormen van PHI - papier, mondeling en elektronisch, enz. Degenen die zich niet aan HIPAA houden, kunnen last hebben van hoge boetes die voor grote schendingen tot miljoenen dollars oplopen.

De Compliance Cloud ™ stelt gedekte entiteiten en hun zakenpartners die zich aan HIPAA-regulaties moeten houden, volledig in staat om gebruik te maken van een veilige omgeving. Deze kan gebruikt worden om beschermde gezondheidsinformatie (PHI), te verwerken, onderhouden en opslaan en meer.

SSAW 16 Service Organization Control II (SOC 2)

Evolve IP heeft een SSAE 16 SOC 2 Type II-rapport ontvangen over onze interne controles waarmee wij de potentiële risico's, de veiligheid, beschikbaarheid en vertrouwelijkheid beoordelen, van niet alleen onze cloud-gebaseerde diensten, maar ook de fysieke en logische infrastructuur. Evolve IP gebruikt de gecertificeerde openbare boekhouding firma van Grant Thornton om haar jaarlijkse audit en attest uit te voeren in overeenstemming met de “Uitspraken over Normen voor Attestbetrokkenheid No. 16” en de bijbehorende “Vertrouwde Diensten Principes”, zoals gepubliceerd door de AICPA, om de effectiviteit van Evolve IP’s serviceorganisatie controles te evalueren en controleren.


Hoewel Forbes regelmatig verslag en erkenning biedt over Evolve IP, hebben ze Evolve IP onlangs erkend als de "Best Cloud Computing Bedrijven en CEO's om voor te werken in 2017". Ze hebben Evolve IP gerangschikt in de top 3 net achter Google en Microsoft in de Cloud Infrastructuur-classificatie. (Feb 2017). Forbes heeft onlangs ook Evolve IP erkend voor het in de cloud brengen van “Singer Equipment Corporation”, (een mainstream-bedrijf gebaseerd in PA) door middel van uniforme communicatie. (September 2017). Vorig jaar erkende Forbes het onderzoek van Evolve IP van 1.080 leidinggevenden dat de nummer één reden om naar de cloud te gaan dezelfde reden is als dat het wordt vermeden. (Mrt 2016).

Unified Communications Product of the Year

TMC en Internet Telephony Magazine hebben het Verenigde Communicatie -platform van Evolve IP uitgeroepen tot winnaar van het Verenigde Communicatie-product van het jaar 2017. Dit is de zesde keer dat Evolve IP is gehonoreerd met deze prestigieuze prijs en volgt een reeks productinnovaties waarmee het bedrijf zijn internationale dekking snel kon uitbreiden.

Evolve IP's zakelijke samenwerkingshulpmiddelen en IP-telefoonsysteem verbeteren de productiviteit van medewerkers op kantoor en op de weg drastisch met een “Verenigde Communicatie als een Dienst” (UCaaS) -platform. Dit platform integreert stem, video, instant messaging & aanwezigheid (IM & P), op pc delen, audio/ web conferenties en meer. Het bedrijf biedt ook een gesofisticeerd webgebaseerd beheer portaal, OSSmosis®, waarmee beheerders snel en eenvoudig systeemfuncties kunnen configureren en gebruikers kunnen wijzigen zonder dat ze contact hoeven op te nemen met een derde partij voor veranderingen.


Inc. Magazine heeft Evolve IP erkend in de 34e jaarlijkse Inc. 500 | 5000. Een exclusieve lijst van snelst groeiende particuliere bedrijven in de Verenigde Staten. De lijst wordt onthuld in het september nummer van Inc. Magazine.

Het verhaal van de Inc. 5000 van dit jaar is het verhaal van groot leiderschap. In een ongelooflijk concurrerend bedrijfsklimaat is er iets buitengewoons nodig om je bedrijf naar de top te brengen, "zegt de heer Eric Schurenberg, hoofd President en hoofdredacteur." Je moet niet vergeten dat het gemiddelde bedrijf op de Inc. 5000, bijna 6 keer zo groot is geworden - sinds 2012. Bedrijfseigenaren bereiken dit soort successen niet per ongeluk.

Payment Card Industry Data Security Standard (PCI DSS)

Evolve IP heeft de Kaart Betaling Industrie (PCI) dataveiligheid (DSS) -norm bereikt, die alle 12 secties van de PCI DSS bedekt. De PCI-standaard voor gegevensbeveiliging is een uitgebreide reeks van standaarden. Deze standaarden vereisen dat verkopers en serviceproviders die klant-kaartgegevens opslaan, verwerken of verzenden, zich houden aan strikte informatie-beveiligingscontroles en processen. Deze zijn gecreëerd door de merken die de “PCI Security Standards Council” hebben opgericht, waaronder American Express, Discover Financial, JCB International, MasterCard Worldwide en Visa Inc.


Evolve IP is een geregistreerd en deelnemend lid van het CSA Security, Trust & Assurance Registry (STAR). De CSA was opgericht om de transparantie van beveiligingspraktijken in cloud dienstverleners te bevorderen. Het is een gratis, openbaar toegankelijk register dat de beveiligingscontroles van verschillende cloud computing-aanbiedingen documenteert, zodat gebruikers de beveiliging kunnen beoordelen van cloud dienstverleners die zij momenteel gebruiken of overwegen in te huren. CSA STAR is vrij voor alle cloud dienstverleners en stelt hen in staat om beoordelingsrapporten in te dienen waarin wordt vastgesteld dat de CSA gepubliceerde beste praktijken worden nageleefd. Het doorzoekbare register stelt potentiële cloud-klanten in staat, de beveiligingspraktijken van aanbieders te beoordelen en hun zorgvuldigheid te versnellen. Dit leidt tot inkoopervaringen van hogere kwaliteit. CSA STAR betekent een grote stap voorwaarts in de transparantie van de industrie en moedigt aanbieders aan om beveiligingsmogelijkheden een onderscheidende markt te maken.

Deloitte’s Technology Fast 500TM

Evolve IP is voor het tweede achtereenvolgende jaar gerangschikt op Deloitte's Technology Fast 500 ™. Technology Fast 500, biedt een ranglijst aan van de 500 snelst-groeiende technologie-, media-, telecommunicatie-, levenswetenschappen - en energietechnologie bedrijven in Noord-Amerika - zowel publiek als privé.

Technology Fast 500 onderscheiding winnaars worden geselecteerd op basis van de procentuele omzetgroei van 2012 tot 2015. De lijst is een echte “Wie is Wie” van technologie, met technologische bedrijven zoals Google, VMware en Facebook.

Red Herring

Red Herring heeft Evolve IP genoemd als een van de Top 100-bedrijven in Noord-Amerika. De Top 100 van Red Herring erkent de leidende en meest veelbelovende privébedrijven van over de hele wereld. Van de meer dan 20 criteria gebruikt om bedrijven te analyseren voor de prijs, werd Evolve IP gewaardeerd voor zijn financiële prestaties, technologische innovatie, klantvoetafdruk, het DNA van de oprichters en de adresseerbare markt.

Elk jaar selecteert Red Herring de prijswinnaars voor Noord-Amerika van ongeveer 1.200 privé gefinancierde bedrijven in de VS en Canada. Red Herring heeft bedrijven sinds 1996 in de gaten gehouden. Zijn organisaties en redacteuren waren een van de eersten die herkenden dat bedrijven zoals Facebook, Twitter, Google, Yahoo, Skype,, YouTube, Palo Alto Networks en eBay de manier waarop we leven en werken zouden veranderen.


Evolve IP is erkend als een van de "Beste Ondernemingsbedrijven in America" in de Entrepreneur360 ™ Performance Index van Entrepreneur magazine, een studie met een uitgebreide analyse van particuliere bedrijven in Amerika. Op basis van dit onderzoek dat door Entrepreneur is gesmeed, wordt Evolve IP erkend als een bedrijf dat de groei illustreert, niet alleen met bruto-inkomen en netto-inkomen maar ook in duurzaamheid en het vermogen om blijvend succes te behalen.

Volgens Entrepreneur, na het evalueren van ongeveer 10,000 VS gebaseerde bedrijven, verzamelde het team van redacteuren en onderzoekers achter de E360 Performance Index, meer dan 250 fragmenten van de finalisten, met de nadruk op groei ontwikkeling en uitdagingen, het stellen van doelen, toewijzing van hulpmiddelen en beloningssystemen. De analyse onthulde een klasse van vooraanstaande bedrijven, waaronder Evolve IP, waarvan het aanhoudende succes grotendeels is gebaseerd op het superieure waarden scheppen voor hun klanten, het bouwen van een adaptieve leercultuur en een agressieve geografische uitbreiding, waardoor ze vandaag tot de meest dynamische bedrijven in Amerika behoren.

Laatste persberichten

Evolve IP zet sterker in op partnersamenwerking
november 1, 2019 / Evolve IP
Evolve IP zet sterker in op partnersamenwerking ROTTERDAM, Evolve IP®, The Cloud Strategy Company™, heeft in oktober het team Partner management uitgebreid met Patrick Martinus (Manager indirect), Steven van...
Evolve IP behaalt recordomzet in eerste kwartaal van 2019 in Europa (EU) en het Verenigd Koninkrijk (VK)
mei 1, 2019 / Evolve IP
Cloud platform 100% uptime, nieuwe diensten gelanceerd en stijgende klanttevredenheidsscores ROTTERDAM, Nederland Evolve IP®, The Cloud Strategy Company™, heeft vandaag aangekondigd dat het recordverkopen in Europa en het Verenigd Koninkrijk...
Evolve IP leverancier en partner van Mediq Assist in Nederland en Duitsland
april 11, 2019 / Evolve IP
Mediq Assist Duitsland kiest voor implementatie Evolve IP Cloud oplossingen Met gepaste trots kondigen wij aan dat Mediq Assist en Evolve IP Europe het contract hebben ondertekend voor de...
Gratis naar de CCW Berlijn met Evolve IP!
januari 29, 2019 / Evolve IP
Germany is calling! 19 t/m 21 februari staat Evolve IP weer met een eigen stand op de CCW Berlijn! Komt u ons opzoeken? Lees hieronder hoe u aan een gratis...
Bekijk meer


or Call +31(0)88 – 428 31 11
Deze site gebruikt cookies voor analytische doeleinden om de inhoud van de site en de advertenties aan te passen aan jouw interesses. Door verder gebruik te maken van deze website ga je hiermee akkoord. Meer weten? Raadpleeg onze privacy statement.