HIPAA Compliance basics

HIPAA steht für den Healthcare Insurance Portability and Accountability Act, ein US-amerikanisches Gesetz, das 1996 verabschiedet wurde und sich mit dem Schutz von privaten, personenbezogenen Gesundheitsdaten (Protected Health Information, kurz PHI) befasst. Im Rahmen der HIPAA-Compliance Anforderungen müssen Gesundheitsdienstleister (z.B. Krankenhäuser, Pflegeeinrichtungen) sowie deren Geschäftspartner Regeln und Vorschriften bezüglich des Umgangs mit solchen vertraulichen Patientendaten umsetzen, um den Schutz dieser Daten zu gewährleisten.

„Moment mal – was hat HIPAA denn mit mir zu tun?“ fragen Sie sich nun vermutlich. Auf den ersten Blick hat das Gesetz im deutschsprachigen Raum nicht viel zu sagen. Auf den zweiten vielleicht aber doch. HIPAA wurde in den vergangenen 25 Jahren oftmals adaptiert, um sich unserer zunehmend digitalisierten Welt anzupassen. Auf der globalen, international stark vernetzten Weltbühne betrifft ein nationales Datenschutzgesetz durchaus mehr Unternehmen, als man denkt.

Lesen Sie weiter, um mehr über die HIPAA-Compliance-Anforderungen zu erfahren und wie Identity Access Management Ihnen dabei helfen kann, diesen Anforderungen gerecht zu werden.

Inhalte (verbergen)

Was bedeutet HIPAA-Compliance?

Während wir selbst entscheiden können, ob wir ein Foto in den sozialen Medien teilen möchten oder ob wir bei einer E-Mail auf „Senden” drücken, so gibt es andere kritische, persönliche Daten, bei den wir den Zugang nicht vollständig kontrollieren können – und das sind private Gesundheitsinformationen. Da solche Informationen zunehmend elektronisch verarbeitet und gespeichert werden ist auch die Weitergabe dieser Daten sehr leicht geworden. Wie also können wir vertrauliche Gesundheitsdaten vor neugierigen Blicken schützen und verhindern, dass sie in die falschen Hände geraten?

Genau hier setzt HIPAA an. Das Ziel des Gesetzes ist es, empfindliche Gesundheitsdaten vor unbefugtem Zugriff sowie der unbefugten Weitergabe an Dritte zu schützen.

So reichen die Vorgaben der HIPAA-Compliance-Richtlinien von Datenschutz über Sicherheitskonzepte bis hin zu Regeln für den Umgang mit Verstößen und Datenlecks. Bei Nichteinhaltung dieser Vorschriften kann es zu hohen Geldstrafen kommen. Ein Verstoß kann darüber hinaus zu zivil- oder strafrechtlichen Klagen führen und hat nicht zuletzt auch einen permanenten Eintrag in der HIPAA Wall of Shame zur Folge.

Welche Daten müssen laut HIPAA geschützt werden?

Der Health Insurance Portability and Accountability Act bezeichnet private Patientendaten als „Protected Health Information“ (PHI), also geschützte Gesundheitsinformationen. Darunter fallen jegliche Daten, die sich auf den Gesundheitszustand eines Patienten sowie auf dessen medizinische Versorgung und Behandlungskosten beziehen.

Es handelt sich also um jegliche gesundheitsbezogenen Informationen, die zur Identifizierung einer Person verwendet werden können und die von Gesundheits- und Krankenversicherungsdienstleistern, Verrechnungsstellen, deren Geschäftspartnern und jeglichen Subunternehmen erstellt, bezogen, gespeichert oder übermittelt werden. Elektronisch erfasste Patientendaten werden auch als „ePHI” bezeichnet.

Beispiele von personenbezogenen Gesundheitsdaten, PHI:

  • Namen & Adressen

  • Geburts- und Sterbedaten

  • Telefon- und Faxnummern, E-Mail Adressen

  • Sozialversicherungsnummern

  • Ärztliche Verordnungen, Rezepte

  • Befunde

  • Kontonummern

  • IP Adressen

  • Biometrische Identifikatoren (Fingerabdrücke, Sprachaufzeichnungen)

  • Fotos

  • Zahlungsinformationen


Wen betrifft das HIPAA-Gesetz?

Um persönliche Patientendaten zu schützen wurde das Gesetz so entworfen, dass es auf alle Organisationen zutrifft, die Zugang zu privaten Gesundheitsdaten in den USA haben. Es gibt drei Hauptkategorien von Einrichtungen oder Personen, die PHI schützen müssen, um den Anforderungen des Gesetzgebers zu entsprechen:


KATEGORIE BESCHREIBUNG BEISPIELE
Betroffene Einrichtungen (Covered Entities) Gesundheits- und Krankenversicherungsdienstleister sowie Verrechnungsstellen, die Patientendaten speichern, verarbeiten oder übermitteln. Kliniken, Ärzte, Pflegepersonal, Pflegeheime, Apotheken, Krankenkassen
Geschäftspartner (Business Associates) Unternehmen oder Personen, die zwar selbst keine medizinische Versorgung anbieten, jedoch mit solchen Einrichtungen zusammenarbeiten und somit Zugang zu Patientendaten haben. Steuerberater, Rechtsanwälte, IT-Dienstleister
Subunternehmer (Subcontractors) Firmen oder Personen, die von Geschäftspartnern beauftragt wurden und ebenfalls Zugang zu personenbezogenen Daten haben. Aktenvernichter, Anbieter von Hosting Services (z. B. Amazon Web Services), Cloud-Anbieter

Was ist der HITECH-Act?

Als HIPAA im Jahr 1996 in Kraft gesetzt wurde war es in den meisten medizinischen Einrichtungen in den USA noch weitestgehend üblich, Patientendaten und Krankenakten händisch zu führen. Zwölf Jahre später, im Jahr 2008, waren die Entwicklung des Internets und anderer Technologien weit vorangeschritten – trotzdem war die Verwendung elektronischer Gesundheitsakten unter betroffenen Einrichtungen noch überhaupt nicht weit verbreitet. Nur etwa 10 % der Krankenhäuser in den USA hatten zu diesem Zeitpunkt die Umstellung auf EDV vollzogen.

Die Erlassung des Health Information Technology for Economic and Clinical Health (HITECH) Act im Jahr 2009 war ein Versuch, betroffene Einrichtungen dazu zu motivieren, vermehrt auf Healthcare-Technologien zu setzen und somit den Umstieg auf elektronische Patientendatenerfassungssysteme voranzutreiben. Die Hoffnung war, dass dies den Austausch von Gesundheitsdaten unter betroffenen Einrichtungen erleichtern und allgemein die Effizienz steigern würde. Und tatsächlich ging dieser Plan auf.

Dieser Vorstoß bedingte allerdings auch, dass die Anforderungen an Datenschutz- und Sicherheitsvorgaben stark ausgebaut wurden, einschließlich einer Verschärfung der Haftung von betroffenen Einrichtungen und Geschäftspartnern bei Nichteinhaltung von HIPAA-Compliance sowie einer strengeren Durchsetzung und höheren Strafen bei Verstößen.

HIPAA-Compliance: Aktenordner verschmelzen mit digitalen Computern

HIPAA-Compliance: Die 4 Grundregeln

Der Healthcare Insurance Portability and Accountability Act ist in vier Hauptkategorien bzw. Regeln unterteilt, die die Grundlage für die gesetzeskonforme Datenverarbeitung bilden. Grundsätzlich müssen alle betroffenen Einrichtungen sowie Geschäftspartner und Subunternehmer sowohl technische, physische als auch administrative Maßnahmen umsetzen und beibehalten, um den Schutz von Patientendaten zu gewährleisten. Natürlich müssen sie auch sicherstellen, dass alle Mitarbeiter innerhalb der Organisation über die Maßnahmen Bescheid wissen, sie befolgen und auch mittragen.

Regel #1: HIPAA Datenschutzregel (Privacy Rule)

Die HIPAA Datenschutzregel erteilt PatientInnen bestimmte Befugnisse und Rechte bezüglich ihrer Gesundheitsdaten (PHI) und regelt zudem, welche weiteren Personen auf diese Informationen zugreifen dürfen. PatientInnen können mitbestimmen, wie ihre Daten verwendet und an wen sie weitergegeben werden. Diese Regel gilt nur für betroffene Einrichtungen (Covered Entities), nicht aber für deren Geschäftspartner (Business Associates) oder Subunternehmer (Subcontractors).

Die HIPAA Datenschutzregel verlangt von Einrichtungen im Gesundheitswesen, dass diese die vorgegebenen Standards in ihre internen Richtlinien aufnehmen und sicherstellen, dass alle Mitarbeiter der Organisation jährlich im Hinblick auf diese Vorschriften geschult werden.

Regel #2: HIPAA Sicherheitsregel (Security Rule)

Die Sicherheitsregel schreibt Standards vor, die sicherstellen sollen, dass elektronische personenbezogene Gesundheitsdaten (ePHI) ausreichend gegen Manipulation und vor unbefugtem Zugriff geschützt sind. Es werden hier drei Schlüsselbereiche definiert, für die betroffene Einrichtungen Sicherheitsmaßnahmen implementieren müssen, um die Sicherheit von ePHI zu gewährleisten:

1. Administrative Sicherheitsmaßnahmen

Administrative Sicherheitsmaßnahmen werden definiert als „Verwaltungsmaßnahmen sowie Strategien und Verfahren zur Verwaltung der Auswahl, Entwicklung, Umsetzung und Aufrechterhaltung von Sicherheitsmaßnahmen zum Schutz elektronischer Gesundheitsdaten.“ Solche Sicherheitsmaßnahmen beinhalten, unter anderem:

  • Durchführung einer Risikobewertung

  • Konzepte und Verfahren zur Begrenzung von Zugriffen auf ePHI, einschließlich Systemen, die Sicherheitslücken erkennen und beheben können

  • Strategien, wie im Falle einer Panne oder eines Verstoßes vorgegangen werden soll

  • Krisenpläne, die den Schutz von ePHI im Falle von Notfällen oder Naturkatastrophen gewährleisten

  • Regelmäßige Audits und laufende Evaluierung von Maßnahmen und deren Umsetzungsstrategien

  • Regelmäßige Mitarbeiterschulungen

  • Beschränkung von Zugriffsrechten auf sensible Daten durch Drittanbieter auf ein notwendiges Mindestmaß

2. Technische Sicherheitsmaßnahmen (Technical Safeguards)

Technische Sicherheitsmaßnahmen dienen dem Schutz von Systemen, die zur Datenspeicherung und -übertragung von ePHI verwendet werden. Einige Beispiele solcher Sicherheitsmaßnahmen sind:

  • Zugangskontrollen in Form von individuellen Benutzernamen und PIN-Codes

  • Überwachung und Antivirus-Software

  • Audit-Berichte und change tracking

  • Verschlüsselungs- und Entschlüsselungs-Tools

  • Digitale Signaturen

  • Automatische Abmeldung von PCs und anderen Geräten

  • Systeme zur Erkennung von verdächtigen Aktivitäten

  • Regelmäßige Daten-Backups

3. Physische Sicherheitsmaßnahmen (Physical Safeguards)

Physische Sicherheitsmaßnahmen dienen dem Schutz von physischen Geräten, die zur Speicherung und Verarbeitung von ePHI verwendet werden (z. B. Computer, Datenspeichersysteme, Router, andere Hardware). Das heißt, dass auch Büros und Gebäude, in denen sich Computer und andere Geräte befinden, vor Diebstahl und unbefugtem Zugang geschützt werden müssen. Zum Beispiel durch:

  • Richtlinien zur Nutzung und Positionierung von Arbeitsplätzen

  • Hardware-Inventarlisten

  • Ausweise, Namensschilder

  • Zutrittskarten

  • Schlösser

  • Sicherheitspersonal


Regel #3: HIPAA Bestimmung zur Benachrichtigung bei Verstößen (Breach Notification Rule)

Kommt es, trotz all dieser Vorsichtsmaßnahmen, zu einem Verstoß, bei dem PHI gestohlen, unrechtmäßig eingesehen, weitergegeben oder auf sonstige Weise gefährdet wird oder verloren geht, muss die betroffene Einrichtung gemäß der HIPAA Breach Notification Rule den Secretary of Health and Human Services sowie betroffene PatientInnen innerhalb von 60 Tagen nach dem Verstoß informieren. Sollte der Verstoß die Gesundheitsdaten von mehr als 500 PatientInnen betreffen, so muss die betroffene Einrichtung die örtliche Presse sowie Strafverfolgungsbehörden darüber informieren.

Regel #4: HIPAA Omnibus-Regel (Omnibus Rule)

Es folgten zwei weitere Gesetze, mit denen der Geltungsbereich der HIPAA-Compliance-Anforderungen erweitert wurde: Der Genetic Information Nondiscrimination Act (GINA) im Jahr 2008 sowie der Health Information Technology for Economic and Clinical Health Act (HITECH) im Jahr 2009. Mit der HIPAA Omnibus Rule im Jahr 2013 wurden sowohl GINA als auch HITECH in das HIPAA-Gesetz integriert.

Die Omnibus-Regel macht auch Geschäftspartner von betroffenen Einrichtungen für Verstöße haftbar.


HIPAA-Compliance: 7 Grundsätze

Laut dem US Department of Health & Human Services (HHS) sind die “sieben grundlegenden Elemente eines wirksamen Compliance-Programms” wie folgt festgelegt:

  1. Umsetzung von Richtlinien, Prozessen und Standards
  2. Ernennung eines Compliance-Beauftragten
  3. Überprüfung und Bewertung von Mitarbeitern, Ärzten, Händlern und anderen
  4. Schulung und Ausbildung des Personals hinsichtlich Compliance-Vorgaben
  5. Interne Überwachung, Audits und Reporting
  6. Festlegung und Durchsetzung von Disziplinarrichtlinien bei Nichteinhaltung von Compliance-Vorgaben
  7. Untersuchung von eventuellen Verstößen und Festlegung von Maßnahmen zur Behebung von Verstößen

HIPAA Compliance & Cloud-Anbieter

Der Umstieg von analogen Patientenakten auf elektronische Erfassungssysteme war die erste signifikante Umstellung, die betroffene Einrichtungen zwischen der Einführung von HITECH im Jahr 2009 und heute vollziehen mussten. Derzeit erleben wir den nächsten Wandel, nämlich die Umstellung auf die Cloud, die durch die anhaltende weltweite Covid-19-Krise zusätzlich angetrieben wird.

Gemäß HIPAA wird ein Cloud-Dienstanbieter wie Microsoft in dem Moment zu einem Geschäftspartner (Business Associate), sobald eine betroffene Einrichtung dessen Dienste in Anspruch nimmt. Das Gleiche gilt, wenn ein Geschäftspartner einen Cloud-Dienstanbieter mit der Erstellung, Übertragung oder Sammlung von PHI beauftragt. In diesem Fall wird der Cloud-Anbieter zu einem Subunternehmer und unterliegt daher ebenfalls den gleichen Compliance-Anforderungen.

Ist Microsoft Office 365 HIPAA-konform?

Um diese Frage zu beantworten, erklärt Microsoft auf seiner Website zum Thema HIPAA und HITECH: „Microsoft unterstützt Kunden bei der Einhaltung der Bestimmungen von HIPAA und des HITECH Acts und hält sich in seiner Funktion als Geschäftspartner an die Sicherheitsrichtlinien von HIPAA.” Microsoft behauptet also, dass seine Dienste mit den HIPAA-Compliance-Auflagen übereinstimmen. Aber sehen wir uns das doch mal genauer an.

Wie jeder Geschäftspartner muss auch Microsoft mit der betroffenen Einrichtung (Covered Entity), die seine Dienste in Anspruch nimmt, ein so genanntes Business Associate Agreement (BAA), also eine Geschäftspartner-Vereinbarung abschließen. In dieser Vereinbarung wird schriftlich festgehalten, dass der Geschäftspartner angemessene physische, technische und administrative Sicherheitsvorkehrungen zum Schutz von Protected Health Information getroffen hat. Sobald die Vereinbarung von beiden Parteien unterzeichnet wurde, kann die betroffene Einrichtung Microsoft 365 zur Erstellung, Verarbeitung und Speicherung von ePHI nutzen.

Bedeutet also das Abschließen einer solchen Vereinbarung mit Microsoft automatisch, dass man HIPAA-konform ist? Die Antwort lautet: Jein. In der Praxis ist die Nutzung von Cloud-Diensten wie Microsoft Office 365 eine Art Grauzone.

Der Abschluss eines Business Associate Agreement mit Microsoft ist zwar eine Voraussetzung für die Compliance, garantiert aber nicht die konforme Nutzung von Office 365. Das bedeutet, dass Sie nicht nur ein Business Associate Agreement abschließen müssen, sondern auch unbedingt sicherstellen müssen, dass Ihre Firma und alle MitarbeiterInnen jegliche Cloud-Dienste korrekt anwenden. Hierzu sollten Sie sämtliche Prozesse protokollieren, regelmäßige Backups durchführen, Zugriffsbeschränkungen einführen, Multi-Faktor-Authentifizierung (MFA) anwenden, usw.

Illustration von Hipaa-Compliance. Konzept zur Cloud-Sicherheit, Datenschutz und Gesundheitsinformationen.Gesperrte Cloud und Ordner.

Wie kann man HIPAA-Verstößen vorbeugen?

Um einen Verstoß zu verhindern, ist es zunächst wichtig zu verstehen, dass es einen Unterschied zwischen einem Regelverstoß und einer Regelverletzung gibt. Eine Verletzung von HIPAA-Regeln, wie zum Beispiel ein Mangel an Sicherheitsvorkehrungen, kann potenziell zu einem Verstoß führen. Der Verstoß selbst ist dann passiert, wenn auf Grund der Sicherheitslücke unrechtmäßig auf Daten (PHI) zugegriffen wurde.

HIPAA definiert einen Verstoß als „den Zugriff auf oder das Erlangen bzw. die Verwendung oder Offenlegung von geschützten Gesundheitsdaten in einer unzulässigen Weise, die die Sicherheit oder den Schutz dieser Gesundheitsdaten gefährdet”.

Angenommen, Sie bearbeiten Patientendaten auf Ihrem Laptop und verlassen dann Ihren Arbeitsplatz, um z.B. auf Mittagspause zu gehen. Den Laptop lassen Sie aber geöffnet und somit einsehbar. Das ist die Verletzung der HIPAA-Bestimmung – doch ein Verstoß ist das noch nicht. Der Verstoß ist dann passiert, wenn jemand Ihren Laptop unerlaubterweise einsieht und die Daten womöglich ausdruckt und weitergibt. Ihre Verletzung der Datenschutz-Regeln hat somit zu einem Verstoß geführt. Daher ist es unbedingt notwendig, dass Sie verstehen, was genau als Verstoß gilt. Nur so können Sie Verstößen in Ihrem Unternehmen vorbeugen.

Was gilt als HIPAA-Verstoß?

Wie wir anhand unseres Beispiels eines unbeaufsichtigten Laptops sehen können, sind nicht alle Sicherheitsvorfälle oder Datenschutzverstöße auf Angriffe von außen zurückzuführen. Wenngleich Malware-, Ransomware– sowie gezielte Hackerangriffe eine wachsende Bedrohung für Organisationen im Gesundheitswesen darstellen, so ist es mindestens genauso wichtig darauf zu achten, dass versehentliche Datenlecks, die durch Unachtsamkeit, mangelndes Problembewusstsein oder unzureichende interne Sicherheitsmaßnahmen entstehen können, vermieden werden. Zu den häufigeren HIPAA-Verstößen zählen beide Arten von Vorfällen, also sowohl interne als auch externe Angriffe:

  • Unbefugter Zugriff

  • Hacking-Angriffe

  • Malware- oder Ransomware-Angriffe

  • Verlust oder Diebstahl von Equipment (Laptop, Telefon)

  • Betrug

  • Unbefugtes Teilen (mündlich oder schriftlich) von Patientendaten in der Öffentlichkeit oder im Internet

  • Versehentliche Übermittlung von Patientendaten an die falschen Empfänger

  • Einbrüche in die Büroräumlichkeiten

  • Mangelhafte oder keine angemessenen Sicherheits- und Zugangskontrollen

  • Fehlende oder mangelhafte Risikoanalyse

  • Keine Verschlüsselung von Patientendaten

Achtung: Keine Sicherheitsmaßnahme oder Kombination von Maßnahmen bietet einen 100-prozentigen Schutz vor Verstößen. Da elektronische Gesundheitsdaten zu den wertvollsten Gütern unserer Zeit gehören, zählen Gesundheitseinrichtungen inzwischen zu den meist gefährdeten Zielgruppen für Angriffe. Das Ziel sollte daher nicht sein, einen Angriff 100-prozentig zu verhindern, sondern das potenzielle Risiko auf ein vertretbares Minimum zu reduzieren.

Was sind die Konsequenzen eines HIPAA-Verstoßes?

Ein Verstoß gegen die Privacy- bzw. Security-Regeln kann sehr kostspielig sein, mit Strafen von bis zu 1,5 Millionen Dollar pro Verstoß. Jeder, der mit dem Verlust von PHI in Verbindung gebracht wird, kann von diesen Strafen betroffen sein.

Die Geldstrafen für Verstöße sind in vier Stufen eingeteilt, die verschiedene Schweregrade abdecken und außerdem zwischen vorsätzlichen und unbeabsichtigten Verstößen unterscheiden.

STUFE BESCHREIBUNG GELDSTRAFE
Stufe 1 …… Die betroffene Einrichtung war sich des HIPAA-Verstoßes nicht bewusst und hätte ihn auch nicht verhindern können. Es wurde durch angemessene Vorsichtsmaßnahmen auf die Einhaltung der Compliance-Vorschriften geachtet. $100 – $50,000 pro Verstoß.
Max. $25,000 pro Jahr.
Stufe 2 Die betroffene Einrichtung wusste von dem Verstoß oder hätte davon wissen müssen, hätte ihn aber auch durch angemessene Vorsichtsmaßnahmen nicht verhindern können. $1,000 – $50,000 pro Verstoß.

Max. $100,000 pro Jahr.

Stufe 3 Verstoß aufgrund vorsätzlicher Vernachlässigung der HIPAA-Vorschriften; der Verstoß wurde innerhalb von 30 Tagen nach Entdeckung behoben oder es wurde versucht, den Verstoß zu beheben. $10,000 – $50,000 pro Verstoß.
Max. $250,000 pro Jahr.
Stufe 4 Verstoß aufgrund vorsätzlicher Vernachlässigung der HIPAA-Vorschriften; es wurden keine Versuche unternommen, den Verstoß zu korrigieren. $50,000 pro Verstoß.
Max. $1.5 mio pro Jahr.

HIPAA Wall of Shame

Das US Department of Health & Human Resources (HHS) stellt alle Verstöße, die mehr als 500 Personen betreffen, auf das sogenannte „Breach Report Portal“, auch bekannt unter dem bezeichnenden Namen „HIPAA Wall of Shame“ – Mauer der Schande.

Auf der Liste sind Datenschutzverstöße bis ins Jahr 2009 festgehalten (das Jahr, in dem HIPAA in Kraft trat) sowie Vorfälle, die zurzeit noch untersucht werden.

Ein Eintrag in der Mauer der Schande ist dauerhaft vorhanden und kann nicht rückgängig gemacht werden. In Anbetracht des potenziellen und irreparablen Schadens für den Ruf einer jeden Firma, die es auf die Liste „schafft“, sollte daher ein Eintrag auch unter allen Umständen vermieden werden.

Insider-Threats vermeiden

Nimmt man die HIPAA Wall of Shame genauer unter die Lupe, so stellt man fest, dass die meisten Compliance-Vergehen in die Kategorie “Hacking/IT-Vorfall” oder “Unbefugter Zugriff/Offenlegung” fallen. Unbefugter Zugriff/Offenlegung bedeutet, dass jemand, ohne eine entsprechende Erlaubnis,  Gesundheitsdaten eingesehen oder anderweitig darauf zugegriffen und/oder sie weitergegeben hat.

Ein solches Beispiel auf der Liste ist ein Vorfall, der sich Ende 2020 in einem Krankenhaus in Chicago ereignete. Das Krankenhaus meldete, dass ein Mitarbeiter „unrechtmäßig auf die elektronischen Gesundheitsinformationen (ePHI) von 682 Personen zugegriffen hatte”. Zu den Daten zählten Namen, Geburtsdaten, Adressen, medizinische Rezepte sowie weitere Behandlungsinformationen.

Das Krankenhaus informierte das HHS, alle betroffenen Personen, die Medien und zuständige Aufsichtsbehörden. Der Mitarbeiter wurde sanktioniert und das Krankenhauspersonal entsprechend geschult, um zukünftige Vorfälle dieser Art zu verhindern.

Inschrift "Breach" mit schwarzer Farbe auf weißer Ziegelwand geschrieben.

Auch wenn der Grund, warum der Mitarbeiter auf die Daten zugegriffen hatte, unbekannt ist, so ist dies doch ein klassisches Beispiel von unbefugtem Zugriff. Zugleich ist es auch ein klassisches Beispiel für einen Insider-Threat, also eine Bedrohung von innen: Hierbei handelt es sich um Vorfälle, bei denen Mitarbeiter – egal ob absichtlich oder unabsichtlich – Datenverstöße verursachen und somit ihren Arbeitgebern Schaden zufügen.

Viele Unternehmen – nicht nur im Gesundheitswesen – stehen derzeit vor der Frage, wie solche Bedrohungen von innen zu verhindern sind. Vielleicht war es dem Mitarbeiter in dem oben genannten Fall einfach nicht bewusst, dass er mit dem Zugriff auf die betroffenen Dateien gegen Regeln verstößt. Sollte das der Fall sein, so trifft den Arbeitgeber die Schuld, denn dieser hat es versäumt, den Mitarbeiter entsprechend zum Thema Compliance zu schulen. Die viel wichtigere Frage ist jedoch, warum die betroffene Person überhaupt Zugang zu diesen Informationen hatte.

Um Vorkommnisse dieser Art zu verhindern, ist es unabdingbar, Datenzugriff nach dem Least-Privilege-Prinzip aufzubauen. Das bedeutet, dass jeder einzelne Benutzer im Unternehmen grundsätzlich nur über jene Zugriffsberechtigungen verfügt, die er für seine Arbeit tatsächlich benötigt. Diese Maßnahme verringert somit einerseits die Wahrscheinlichkeit eines internen Datenmissbrauchs als auch das Ausmaß des Schadens, den er verursachen kann – egal, ob der Vorfall seitens der verursachenden Person in böswilliger Absicht oder unabsichtlich geschah.

HIPAA-Verstöße verhindern: Compliance Checkliste

Im Folgenden finden Sie eine kurze Zusammenfassung von Maßnahmen, die dabei helfen, den HIPAA-Compliance-Anforderungen gerecht zu werden:

  • Machen Sie sich gut mit der HIPAA-Datenschutzregel vertraut

  • Verschaffen Sie sich einen Überblick darüber, welche Daten als PHI zählen und somit im Rahmen von HIPAA geschützt werden müssen

  • Umsetzung von wirksamen physischen sowie technischen Sicherheitsvorkehrungen, um den Schutz von PHI gemäß der HIPAA Sicherheitsregel zu gewährleisten

  • Führen Sie eine Risikobewertung und -analyse durch: Sie müssen genau wissen, welche Arten von Vorfällen als potenzielle HIPAA-Verstöße gelten und welche Bereiche in Ihrem Unternehmen potenzielle Sicherheitsbedrohungen darstellen

  • Personalschulungen. Jeder Mitarbeiter muss wissen, wie mit PHI umzugehen ist, wer auf welche Daten zugreifen darf und was als Verstoß gegen die HIPAA-Compliance-Vorschriften gilt

  • Durchführung regelmäßiger interner Audits, um Lücken hinsichtlich der Erfüllung von Datenschutz- und Sicherheitsvorschriften zu ermitteln

  • Dokumentieren Sie sämtliche Maßnahmen, die Sie zur Einhaltung der HIPAA-Richtlinien umsetzen

Wie relevant ist HIPAA in Europa?

Wie bereits ausgeführt trifft HIPAA auf alle Unternehmen zu, die mit Gesundheitsdienstleistern in den USA zusammenarbeiten und in irgendeiner Weise vertrauliche Patientendaten verarbeiten. Wenngleich HIPAA auf den ersten Blick in Europa bzw. im deutschsprachigen Raum keine direkte Anwendung findet (zuständig für den hiesigen Datenschutz ist, zu einem großen Teil, die DSGVO), so lassen sich in der globalisierten Welt, die wir unser Zuhause nennen, durchaus Beispiele für international tätige Firmen finden, auf die HIPAA zutrifft, obwohl diese nicht in den USA ansässig sind.

So obliegt jeder Cloud-Dienstleister, der z.B. von Kliniken oder Pflegeeinrichtungen in den USA zur Verarbeitung, Speicherung oder Weitergabe von Gesundheitsdaten genutzt wird, den HIPAA-Compliance-Bestimmungen. Auch Gesundheits-Apps oder sonstige Software-Lösungen, die von Kliniken oder anderen Gesundheitsdienstleistern in den USA genutzt werden, obliegen den HIPAA-Bestimmungen.

Ein fiktives Beispiel: Angenommen, Sie betreiben ein Labor in Deutschland, das sich mit der Entwicklung von Vakzinen beschäftigt, für die es eine hohe globale Nachfrage gibt. Nun möchten Sie Ihr Vakzin auf den amerikanischen Markt bringen, dessen Behörden jedoch verlangen, dass sie dort eine breit angesetzte Studie vollziehen. Sie kontaktieren also Kliniken und Forschungseinrichtungen in Amerika, die solche Studien umsetzen. Da Sie selbst nicht vor Ort sind und ein Großteil Ihrer Belegschaft sich in Deutschland befindet, engagieren Sie zusätzlich den Dienst eines hiesigen Cloud-Anbieters, um die gewonnenen Daten mit den amerikanischen Firmen austauschen zu können. Außerdem installiert die amerikanische Klinik, über die die Studie durchgeführt wird, ein zusätzliches Datenverarbeitungsprogramm zur Erfassung der Daten.

Wie Sie sich denken können, obliegen alle hier involvierten Parteien zumindest als eine Form von „Business Associate“, also Geschäftspartner, den HIPAA-Compliance-Bestimmungen. Insofern hat dieses amerikanische Gesetz also durchaus Relevanz für viele Unternehmen in Europa.

HIPAA-Compliance garantieren – mit tenfold

Access Management, oder auch Berechtigungsverwaltung, bedeutet zu wissen und die Kontrolle darüber zu haben, wer Zugriff auf welche Patientendaten hat. Auf technischer Ebene ist dies der Schlüssel zur Erfüllung der HIPAA-Compliance-Richtlinien. Trotzdem haben nach wie vor viele Unternehmen kein Bewusstsein dafür gebildet, welch weitreichende Folgen  unzureichende Zugriffskontrollen haben können; oder sie haben schlichtweg nicht die Zeit und Ressourcen, um eine angemessene Strategie zur Berechtigungsverwaltung umzusetzen.

Eine Identity & Access Management Lösung unterstützt Ihr Unternehmen dabei, den strengen HIPAA-Anforderungen gerecht zu werden. Die IAM-Lösung tenfold bietet Unternehmen eine schnelle und einfache Möglichkeit, den Zugriff auf sensible Patientendaten auf jene Personen zu beschränken, die diesen auch wirklich brauchen, um Ihre Arbeit machen zu können. tenfold setzt das Least-Privilege-Prinzip automatisch um und bietet somit weitreichenden Schutz von Daten gemäß den HIPAA-Compliance-Anforderungen.

Effizientes Benutzer-Management & Audit-Trails

Mit tenfold können Sie kontrollieren, wer sowohl in Ihrem lokalen Netzwerk als auch in einer Cloud-Umgebung wie Microsoft 365, Zugriff auf sensible Patientendaten erhält. Die Person, die für die jeweiligen Daten verantwortlich ist, wird als „Dateneigentümer“, oder auch „Data Owner“ bezeichnet. Der Data Owner darf bzw. muss entscheiden, wer Zugang zu gewissen Daten, für die er oder sie zuständig ist, haben darf und wer nicht. Jede Person, die innerhalb einer Organisation auf diese Daten zugreifen möchte, muss zunächst die Genehmigung des Dateneigentümers hierfür einholen.

Um den Überblick darüber zu behalten, wer auf welche Daten Zugriff hat und um sicherzustellen, dass User nicht mehr Zugangsrechte sammeln als sie brauchen, müssen sich Data Owner regelmäßig einem so genannten Rezertifizierungsprozess unterziehen. Hierbei werden sie dazu angestoßen, die Zugriffsrechte auf jene Ressourcen, die in ihren Zuständigkeitsbereich fallen, zu überprüfen und entweder neu zu bestätigen oder diese zu entziehen.

Zur besseren Nachvollziehbarkeit protokolliert tenfold außerdem Änderungen, die an Benutzerrechten durchgeführt wurden und bietet auch die Möglichkeit Reports darüber zu erstellen, inklusive detaillierten Angaben darüber, wer den Zugriff genehmigt hat, wer ihn erhalten hat und wann der Zugang bewilligt wurde.

Und das Beste daran: all diese Prozesse laufen automatisiert ab, was bedeutet, dass die Fehlerquote aufgrund menschlichen Versagens deutlich reduziert wird.

Nutzen Sie tenfold, um die HIPAA-Compliance-Anforderungen in die Praxis umzusetzen!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!