Inhaltsverzeichnis
Definition
HIPAA steht für „Health Insurance Portability and Accountability Act“. Dieses US-amerikanische Gesetz soll Gesundheitsdaten schützen. Es verlangt von Unternehmen, die mit solchen geschützten Daten arbeiten, dass sie bestimmte physische sowie netzwerk- und prozessbezogene Sicherheitsmaßnahmen umsetzen und befolgen.
Cybersicherheits-Schulungen beginnen hier
So können Sie Ihre kostenlose Testversion nutzen:
- Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
- Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
- Lernen Sie unsere Technologie in Aktion kennen!
- Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.
Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.
Vielen Dank
Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.
Gilt HIPAA auch für deutsche Unternehmen?
HIPAA ist zwar ein US-Gesetz, doch es kann auch für deutsche Unternehmen relevant sein – nämlich dann, wenn sie Gesundheitsdaten aus den USA verarbeiten oder darauf Zugriff haben. In der heutigen global vernetzten Welt betrifft dies eine große Zahl an Unternehmen, die ihren Sitz außerhalb der USA haben, so auch in Deutschland.
Konkret bedeutet dies, dass alle, die im Gesundheitswesen Behandlungen, Zahlungen und Operationen durchführen, die US-Patientendaten involvieren, den HIPAA-Compliance-Regeln unterliegen. Dazu gehören auch Geschäftspartner: Alle, die Zugang zu Patientendaten haben und Unterstützung bei der Behandlung, Zahlung oder dem Betrieb leisten, müssen ebenfalls die HIPAA-Gesetzesanforderungen erfüllen. Auch andere Unternehmen, wie z. B. Unterauftragnehmer und verbundene Geschäftspartner, sind an HIPAA gebunden.[1]
Woraus besteht HIPAA?
HIPAA besteht aus einer Reihe von Regulierungsstandards, die in den USA auf Bundesebene gelten und die festlegen, wie geschützte Gesundheitsinformationen in den Vereinigten Staaten offengelegt und verwendet werden dürfen. Die Einhaltung des HIPAA wird durch das Department of Health and Human Services (HHS) geregelt und durch das Office for Civil Rights (OCR) durchgesetzt.
Was ist der Unterschied zwischen HIPAA und DSGVO?
Manche sprechen von HIPAA als dem US-amerikanischen Pendant zur DSGVO, nur eben für Gesundheitsdaten. Das ist jedoch nicht richtig. Wer DSGVO-konform ist, kann nicht automatisch davon ausgehen, auch HIPAA zu erfüllen, denn bei HIPAA geht es um viel mehr als „nur“ Datenschutz: HIPAA regelt zum Beispiel auch Interoperabilität sowie die Rechte von Behörden. Außerdem wird HIPAA im Vergleich zur DSGVO konkreter bei der Definition notwendiger Maßnahmen. Sie sollten also, wenn Sie Gesundheitsdaten aus den USA und der EU verarbeiten und damit sowohl HIPAA als auch DSGVO erfüllen müssen, genau hinschauen und sich mit den spezifischen Anforderungen vertraut machen.
Was ist HIPAA-Compliance?
HIPAA-Compliance ist das Erfüllen der HIPAA-Anforderungen. Es handelt sich aber nicht um eine einfache Checkliste, die Unternehmen abhaken und wieder vergessen. HIPAA-Compliance ist eine gelebte Kultur, die Einrichtungen im Gesundheitswesen implementieren müssen, um die Privatsphäre, Sicherheit und Integrität geschützter Gesundheitsdaten zu wahren.[2]
Geschichte und Ziele von HIPAA
Der Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 vom US-Kongress verabschiedet und von Präsident Bill Clinton in Kraft gesetzt.
Die HIPAA-Gesetzesrichtlinien wurden in erster Linie erlassen, um:
- den Informationsfluss im Gesundheitswesen zu modernisieren.
- festzulegen, wie persönlich identifizierbare Informationen (PII), die von der Gesundheits- und Krankenversicherungsbranche verwaltet werden, vor Betrug und Diebstahl geschützt werden sollen.
- Lücken im Krankenversicherungsschutz anzugehnen, wie z. B. die Übertragbarkeit der Krankenversicherung und der Schutz von Personen mit Vorerkrankungen.[3]
HIPAA legt Standards fest, um zu verhindern, dass sensible Gesundheitsinformationen von Patienten ohne deren Wissen oder Zustimmung weitergegeben werden. Das U.S. Department of Health and Human Services (HHS) hat zur Umsetzung dieses Mandats die HIPAA Privacy Rule erlassen.[4]
Ausnahmen von der HIPAA Privacy Rule
Die Privacy Rule enthält 12 Ausnahmen, bei denen Patientendaten ohne die Zustimmung der Patienten weitergegeben werden können. Dazu gehören:
- Opfer von häuslicher Gewalt oder anderen Übergriffen.
- Gerichtliche und administrative Verfahren.
- Organ-, Augen- oder Gewebespende.
- Arbeiterunfallversicherung.[5]
Die HIPAA Security Rule
Ein weiteres Schlüsselelement von HIPAA ist die Security Rule, die innerhalb der Privacy Rule existiert. Diese Untergruppe umfasst alle individuell identifizierbaren Gesundheitsinformationen, die eine betroffene Einrichtung in elektronischer Form erstellt, empfängt, aufbewahrt oder überträgt. Zu den Schlüsselelementen der HIPPA-Security Rule gehören folgende Aspekte:
- Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller elektronischen geschützten Gesundheitsdaten.
- Erkennung und Schutz vor zu erwartenden Bedrohungen für die Sicherheit der Daten.
- Schutz vor zu erwartenden unzulässigen Verwendungen oder Offenlegungen.
- Zertifizierung der Einhaltung durch die Mitarbeiter.
Geschützte Gesundheitsinformationen (Protected Health Information, PHI) sind alle demografischen Informationen, die zur Identifizierung von Patienten oder Kunden einer HIPAA-pflichtigen Einrichtung verwendet werden können. Übliche Beispiele für PHI sind u.a. Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, medizinische Daten, finanzielle Informationen und Profilfotos.[6]
Analyse der HIPAA-Compliance
Gesundheitsdienstleister und andere Einrichtungen, die mit PHI zu tun haben, gehen immer häufiger zu automatisierten Abläufen über. Dazu gehören computergestützte Systeme zur Eingabe von Arztaufträgen, elektronische Gesundheitsakten sowie Radiologie-, Apotheken- und Laborsysteme. In ähnlicher Weise bieten auch Krankenkassen digitalen Zugang zu Leistungsansprüchen, Bescheinigungen sowie Tools zur Verwaltung persönlicher Informationen.
Zwar sorgen all diese elektronischen Methoden für mehr Effizienz und Mobilität, jedoch erhöhen sie gleichzeitig drastisch die Sicherheitsrisiken für die Gesundheitsdaten.[7] Und durch diese neuen Risiken ist die Einhaltung des HIPAA wichtiger denn je.
HHS beschreibt sowohl die physischen als auch die technischen Sicherheitsvorkehrungen, die Einrichtungen, die mit sensiblen Patientendaten umgehen, befolgen müssen:
- Begrenzter Zugang zur Einrichtung und Kontrolle mit autorisiertem Zugang.
- Richtlinien über die Nutzung und den Zugang zu Arbeitsplätzen und elektronischen Medien.
- Beschränkungen für die Übertragung, Entfernung, Entsorgung und Wiederverwendung von elektronischen Medien und ePHI.
Ebenso erfordern die technischen Sicherheitsvorkehrungen des HIPAA eine Zugriffskontrolle, die es nur autorisiertem Personal erlaubt, auf ePHI zuzugreifen. Die Zugriffskontrolle umfasst:
- Verwendung eindeutiger Benutzer-IDs.
- Zugriffsverfahren für Notfälle.
- Automatische Abmeldung.
- Verschlüsselung und Entschlüsselung.
- Audit-Berichte oder Verfolgungsprotokolle, die Aktivitäten auf Hardware und Software aufzeichnen.
Weitere technische Richtlinien für die Einhaltung des HIPAA umfassen die Notwendigkeit von Integritätskontrollen oder Maßnahmen, die sicherstellen, dass elektronische Gesundheitsdaten von Patienten (ePHI) nicht verändert oder zerstört werden. IT-Notfallwiederherstellung und Offsite-Backup sind Schlüsselkomponenten und garantieren, dass Fehler und Ausfälle elektronischer Medien schnell behoben werden, damit die Gesundheitsdaten der Patienten korrekt und unversehrt wiederhergestellt werden können.
Eine letzte technische Schutzmaßnahme ist die Netzwerk- oder Übertragungssicherheit, die sicherstellt, dass HIPAA-konforme Hosts vor unbefugtem Zugriff auf ePHI geschützt sind. Diese Schutzmaßnahme betrifft alle Methoden der Datenübertragung, einschließlich E-Mail, Internet oder private Netzwerke, wie z. B. eine private Cloud.
Personenzentrierter Schutz von Gesundheitsdaten
Die besten Lösungen zum Schutz von Daten im Gesundheitswesen erkennen an, dass Daten nicht von selbst verloren gehen. Sie sind durch Menschen gefährdet – Menschen, die fahrlässig oder böswillig handeln oder durch einen Angreifer von außen kompromittiert wurden.
Aus diesem Grund steht bei einer effektiven Compliance-Lösung der Mensch im Mittelpunkt. Sie konzentriert sich auf alle Möglichkeiten, wie Menschen versehentlich oder absichtlich Patientendaten preisgeben können – einschließlich strukturierter und unstrukturierter Daten, E-Mails, Dokumente und Scans – und ermöglicht es Gesundheitsdienstleistern, die Daten sicher auszutauschen, um die bestmögliche Patientenversorgung zu gewährleisten.
Patienten vertrauen ihre Daten den Einrichtungen des Gesundheitswesens an, und es ist die Pflicht dieser Einrichtungen, den Schutz der Gesundheitsinformationen zu gewährleisten.[5]
Die sieben Elemente eines effektiven HIPAA-Compliance-Programms
Das HHS Office of Inspector General (OIG) hat die „Seven Elements of an Effective Compliance Program“ erstellt, um Einrichtungen einen Leitfaden an die Hand zu geben, wenn sie HIPAA-Compliance-Lösungen prüfen oder eigene HIPAA-Compliance-Programme erstellen wollen.
Dabei handelt es sich um die absoluten Mindestanforderungen, die ein HIPAA-Compliance-Programm erfüllen muss. Ein solches Programm muss nicht nur den vollen Umfang der vorgeschriebenen HIPAA-Datenschutz- und Sicherheitsstandards erfüllen, sondern auch in der Lage sein, jedes der sieben Elemente abzudecken.
Die sieben Elemente eines effektiven Compliance-Programms sind:
- Implementierung von schriftlichen Richtlinien, Verfahren und Verhaltensstandards.
- Ernennung eines Compliance-Beauftragten und eines Compliance-Komitees.
- Durchführung von effektiven Schulungen und Trainings.
- Entwicklung effektiver Kommunikationswege.
- Durchführung von internen Überwachungen und Audits.
- Durchsetzung von Standards durch gut kommunizierte Disziplinarrichtlinien.
- Unverzügliche Reaktion auf erkannte Verstöße und Ergreifen von Korrekturmaßnahmen.
Im Laufe einer HIPAA-Untersuchung, die vom OCR als Reaktion auf einen HIPAA-Verstoß durchgeführt wird, werden die HIPAA-Auditoren das Compliance-Programm Ihrer Einrichtung mit diesen sieben Elementen abgleichen, um dessen Effektivität zu beurteilen.[8]
[1] Digital Guardian. „A Definition of HIPAA Compliance“
[2] Compliancy Group. „What is HIPAA Compliance?“
[3] The HIPAA Guide. „HIPAA for Dummies“
[4] Centers for Disease Control and Prevention
[5] Ibid.
[6] Compliancy Group. „What is Protected Health Information?“
[7] Digital Compliance. „The need for HIPAA compliance“
[8] Compliancy Group. „What are the Seven Elements of an Effective Compliance Program?“