HIPAA Compliance: Datenschutz im US-Gesundheitswesen

HIPAA richtet sich an Gesundheitseinrichtungen in den USA und gilt nicht für Deutschland. Allerdings existieren hierzulande vergleichbare Richtlinien zum Schutz sensibler Patientendaten. Einerseits wird die Verarbeitung von medizinischen Informationen als besondere Kategorie von personenbezogenen Daten durch die DSGVO geregelt. Darüber hinaus unterliegen Krankenhäuser auch dem Patientendatenschutzgesetz (PDSG), welches sie zur Einhaltung angemessener Sicherheitsmaßnahmen verpflichtet.

Je nach ihrer Größe zählen Krankenhäuser zudem als wichtige, besonders wichtige bzw. kritische Einrichtungen im Rahmen der KRITIS-Verordnung bzw. der neueren NIS2-Richtlinie der EU. Kliniken, die den Schutz von Daten und die Cybersicherheit vernachlässigen, müssen entsprechend mit erheblichen Strafen rechnen.

Der Health Insurance Portability and Accountability Act bezeichnet private Patientendaten als „Protected Health Information“ (PHI), also geschützte Gesundheitsinformationen. Darunter fallen jegliche Daten, die sich auf den Gesundheitszustand eines Patienten sowie auf dessen medizinische Versorgung und Behandlungskosten beziehen. Elektronisch erfasste Patientendaten werden auch als „ePHI” bezeichnet.

Beispiele von personenbezogenen Gesundheitsdaten, PHI:

Um persönliche Patientendaten zu schützen wurde das Gesetz so entworfen, dass es auf alle Organisationen zutrifft, die Zugang zu privaten Gesundheitsdaten in den USA haben. Es gibt drei Hauptkategorien von Einrichtungen oder Personen, die PHI schützen müssen, um den Anforderungen des Gesetzgebers zu entsprechen:

Kategorie	Beschreibung	Beispiele
Betroffene Einrichtungen (Covered Entities)	Gesundheits- und Krankenversicherungsdienstleister sowie Verrechnungsstellen, die Patientendaten speichern, verarbeiten oder übermitteln.	Kliniken, Ärzte, Pflegepersonal, Pflegeheime, Apotheken, Krankenkassen
Geschäftspartner (Business Associates)	Unternehmen oder Personen, die zwar selbst keine medizinische Versorgung anbieten, jedoch mit solchen Einrichtungen zusammenarbeiten und somit Zugang zu Patientendaten haben.	Steuerberater, Rechtsanwälte, IT-Dienstleister
Subunternehmer (Subcontractors)	Firmen oder Personen, die von Geschäftspartnern beauftragt wurden und ebenfalls Zugang zu personenbezogenen Daten haben.	Aktenvernichter, Anbieter von Hosting Services (z. B. Amazon Web Services), Cloud-Anbieter

Der Healthcare Insurance Portability and Accountability Act ist in vier Hauptkategorien bzw. Regeln unterteilt, die die Grundlage für die gesetzeskonforme Datenverarbeitung bilden. Grundsätzlich müssen alle betroffenen Einrichtungen sowie Geschäftspartner und Subunternehmer sowohl technische, physische als auch administrative Maßnahmen umsetzen und beibehalten, um den Schutz von Patientendaten zu gewährleisten. Natürlich müssen sie auch sicherstellen, dass alle Mitarbeiter innerhalb der Organisation über die Maßnahmen Bescheid wissen, sie befolgen und auch mittragen.

Die HIPAA Datenschutzregel erteilt PatientInnen bestimmte Befugnisse und Rechte bezüglich ihrer Gesundheitsdaten (PHI) und regelt zudem, welche weiteren Personen auf diese Informationen zugreifen dürfen. PatientInnen können mitbestimmen, wie ihre Daten verwendet und an wen sie weitergegeben werden. Diese Regel gilt nur für betroffene Einrichtungen (Covered Entities), nicht aber für deren Geschäftspartner (Business Associates) oder Subunternehmer (Subcontractors).

Die HIPAA Datenschutzregel verlangt von Einrichtungen im Gesundheitswesen, dass diese die vorgegebenen Standards in ihre internen Richtlinien aufnehmen und sicherstellen, dass alle Mitarbeiter der Organisation jährlich im Hinblick auf diese Vorschriften geschult werden.

Die Sicherheitsregel schreibt Standards vor, die sicherstellen sollen, dass elektronische personenbezogene Gesundheitsdaten (ePHI) ausreichend gegen Manipulation und vor unbefugtem Zugriff geschützt sind. Es werden hier drei Schlüsselbereiche definiert, für die betroffene Einrichtungen Sicherheitsmaßnahmen implementieren müssen, um die Sicherheit von ePHI zu gewährleisten:

Administrative Sicherheitsmaßnahmen werden definiert als „Verwaltungsmaßnahmen sowie Strategien und Verfahren zur Verwaltung der Auswahl, Entwicklung, Umsetzung und Aufrechterhaltung von Sicherheitsmaßnahmen zum Schutz elektronischer Gesundheitsdaten.“ Solche Sicherheitsmaßnahmen beinhalten, unter anderem:

Technische Sicherheitsmaßnahmen dienen dem Schutz von Systemen, die zur Datenspeicherung und -übertragung von ePHI verwendet werden. Einige Beispiele solcher Sicherheitsmaßnahmen sind:

Physische Sicherheitsmaßnahmen dienen dem Schutz von physischen Geräten, die zur Speicherung und Verarbeitung von ePHI verwendet werden (z. B. Computer, Datenspeichersysteme, Router, andere Hardware). Das heißt, dass auch Büros und Gebäude, in denen sich Computer und andere Geräte befinden, vor Diebstahl und unbefugtem Zugang geschützt werden müssen. Zum Beispiel durch:

Kommt es, trotz all dieser Vorsichtsmaßnahmen, zu einem Verstoß, bei dem PHI gestohlen, unrechtmäßig eingesehen, weitergegeben oder auf sonstige Weise gefährdet wird oder verloren geht, muss die betroffene Einrichtung gemäß der HIPAA Breach Notification Rule den Secretary of Health and Human Services sowie betroffene PatientInnen innerhalb von 60 Tagen nach dem Verstoß informieren.

Es folgten zwei weitere Gesetze, mit denen der Geltungsbereich der HIPAA-Compliance-Anforderungen erweitert wurde: Der Genetic Information Nondiscrimination Act (GINA) im Jahr 2008 sowie der Health Information Technology for Economic and Clinical Health Act (HITECH) im Jahr 2009. Mit der HIPAA Omnibus Rule im Jahr 2013 wurden sowohl GINA als auch HITECH in das HIPAA-Gesetz integriert.

Der Umstieg von analogen Patientenakten auf elektronische Erfassungssysteme war die erste signifikante Umstellung, die betroffene Einrichtungen zwischen der Einführung von HITECH im Jahr 2009 und heute vollziehen mussten. Derzeit erleben wir den nächsten Wandel, nämlich die Umstellung auf die Cloud, die durch die anhaltende weltweite Covid-19-Krise zusätzlich angetrieben wird.

Gemäß HIPAA wird ein Cloud-Dienstanbieter wie Microsoft in dem Moment zu einem Geschäftspartner (Business Associate), sobald eine betroffene Einrichtung dessen Dienste in Anspruch nimmt. Das Gleiche gilt, wenn ein Geschäftspartner einen Cloud-Dienstanbieter mit der Erstellung, Übertragung oder Sammlung von PHI beauftragt. In diesem Fall wird der Cloud-Anbieter zu einem Subunternehmer und unterliegt daher ebenfalls den gleichen Compliance-Anforderungen.

Um einen Verstoß zu verhindern, ist es zunächst wichtig zu verstehen, dass es einen Unterschied zwischen einem Regelverstoß und einer Regelverletzung gibt. Eine Verletzung von HIPAA-Regeln, wie zum Beispiel ein Mangel an Sicherheitsvorkehrungen, kann potenziell zu einem Verstoß führen. Der Verstoß selbst ist dann passiert, wenn auf Grund der Sicherheitslücke unrechtmäßig auf Daten (PHI) zugegriffen wurde.

Angenommen, Sie bearbeiten Patientendaten auf Ihrem Laptop und verlassen dann Ihren Arbeitsplatz, um z.B. auf Mittagspause zu gehen. Den Laptop lassen Sie aber geöffnet und somit einsehbar. Das ist die Verletzung der HIPAA-Bestimmung – doch ein Verstoß ist das noch nicht. Der Verstoß ist dann passiert, wenn jemand Ihren Laptop unerlaubterweise einsieht und die Daten womöglich ausdruckt und weitergibt.

Wie man anhand dieses Beispiels erkennt, ist es für Gesundheitseinrichtungen mindestens genauso wichtig, versehentliche Datenlecks und unberechtigte Zugriffe zu verhindern, wie sich vor externen Bedrohungen wie Ransomware zu schützen. Unter den häufigsten HIPAA-Verstößen findet man beide Arten von Vorfällen, also sowohl interne als auch externe Angriffe:

Ein Verstoß gegen die Privacy- bzw. Security-Regeln kann sehr kostspielig sein, mit Strafen von bis zu 1,5 Millionen Dollar pro Verstoß. Jeder, der mit dem Verlust von PHI in Verbindung gebracht wird, kann von diesen Strafen betroffen sein.

Die Geldstrafen für Verstöße sind in vier Stufen eingeteilt, die verschiedene Schweregrade abdecken und außerdem zwischen vorsätzlichen und unbeabsichtigten Verstößen unterscheiden.

Stufe	Beschreibung	Geldstrafe
Stufe 1	Die betroffene Einrichtung war sich des HIPAA-Verstoßes nicht bewusst und hätte ihn auch nicht verhindern können. Es wurde durch angemessene Vorsichtsmaßnahmen auf die Einhaltung der Compliance-Vorschriften geachtet.	$100 – $50,000 pro Verstoß. Max. $25,000 pro Jahr.
Stufe 2	Die betroffene Einrichtung wusste von dem Verstoß oder hätte davon wissen müssen, hätte ihn aber auch durch angemessene Vorsichtsmaßnahmen nicht verhindern können.	$1,000 – $50,000 pro Verstoß. Max. $100,000 pro Jahr.
Stufe 3	Verstoß aufgrund vorsätzlicher Vernachlässigung der HIPAA-Vorschriften; der Verstoß wurde innerhalb von 30 Tagen nach Entdeckung behoben oder es wurde versucht, den Verstoß zu beheben.	$10,000 – $50,000 pro Verstoß. Max. $250,000 pro Jahr.
Stufe 4	Verstoß aufgrund vorsätzlicher Vernachlässigung der HIPAA-Vorschriften; es wurden keine Versuche unternommen, den Verstoß zu korrigieren.	$50,000 pro Verstoß. Max. $1.5 Mio pro Jahr.

Im Folgenden finden Sie eine kurze Zusammenfassung von Maßnahmen, die dabei helfen, den HIPAA-Compliance-Anforderungen gerecht zu werden:

Access Management, oder auch Berechtigungsverwaltung, bedeutet zu wissen und die Kontrolle darüber zu haben, wer Zugriff auf welche Patientendaten hat. Auf technischer Ebene ist dies der Schlüssel zur Erfüllung der HIPAA-Compliance-Richtlinien. Trotzdem haben nach wie vor viele Unternehmen kein Bewusstsein dafür gebildet, welch weitreichende Folgen unzureichende Zugriffskontrollen haben können; oder sie haben schlichtweg nicht die Zeit und Ressourcen, um eine angemessene Strategie zur Berechtigungsverwaltung umzusetzen.

Eine Identity & Access Management Lösung unterstützt Ihr Unternehmen dabei, den strengen HIPAA-Anforderungen gerecht zu werden. Die IAM-Lösung tenfold bietet Unternehmen eine schnelle und einfache Möglichkeit, den Zugriff auf sensible Patientendaten auf jene Personen zu beschränken, die diesen auch wirklich brauchen, um Ihre Arbeit machen zu können. tenfold setzt das Least-Privilege-Prinzip automatisch um und bietet somit weitreichenden Schutz von Daten gemäß den HIPAA-Compliance-Anforderungen.