DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

HIPAA Compliance

HIPAA Compliance

HIPAA, oder das Health Insurance Portability and Accountability Act, schützt sensible Informationen von Patienten. Es wurde 1996 eingeführt und enthält verschiedene Regeln, die regeln, wie private Gesundheitsdaten geschützt, verwendet und offen gelegt werden sollten, unabhängig von ihrer Existenzphase. Alle betroffenen Parteien, Geschäftspartner und Dritte, die mit sensiblen Daten arbeiten, müssen diese Regeln befolgen und die geschützten Gesundheitsinformationen (Protected Health Information, PHI) schützen und sichern. Dieses Gesetz betrifft die Gesundheitsbranche in den USA. Das Gesetz besteht aus strengen Datenschutzrichtlinien, da Patientendaten für Kriminelle sehr attraktive Informationen sind. HIPAA wird vom Department of Health and Human Services (HHS) geregelt und vom Office for Civil Rights (OCR) durchgesetzt. Lassen Sie uns näher auf die Definitionen und Regeln eingehen, um zu klären, wie man HIPAA-konform ist.

Wichtige Definitionen

HIPAA enthält einige wichtige Definitionen zum Verständnis. Hier werden wir sie beschreiben.

PHI oder Protected Health Information umfasst die Gesundheitsdaten jeder Person. Dazu gehören Informationen wie Name, Adresse, Geburtsdatum, Sozialversicherungsnummer und viele andere sensible Daten wie Berichte über alle medizinischen Behandlungen, psychische Gesundheitszustände, Zahlungen usw.

ePHI oder Elektronische Gesundheitsinformationen sind dieselben wie die PHI, aber alle Informationen werden in elektronischem Format gespeichert, übertragen und empfangen.

Betroffene Parteien sind alle, die mit PHI arbeiten. Dazu können Ärzte, Krankenschwestern und andere Gesundheitsmitarbeiter gehören, die Zugriff auf Informationen haben, Clearingstellen im Gesundheitswesen und Versicherungsagenturen. Es ist erwähnenswert, dass betroffene Parteien für die Meldung von Verstößen und die Zahlung von Geldbußen verantwortlich sind, wenn Verstöße auftreten.

Geschäftspartner sind alle, die verschiedene Dienstleistungen für betroffene Parteien erbringen und Zugriff auf PHI haben, z.B. Anwälte, IT-Unternehmen, Buchhalter und andere nicht-medizinische Mitarbeiter.

Sie müssen diese Dinge kennen, um zu verstehen, wie und mit wem die HIPAA-Compliance funktioniert.

HIPAA Datenschutz- und Sicherheitsregeln

Die HIPAA-Datenschutzregel ist eine grundlegende Regel des Gesetzes. Sie gilt nur für betroffene Parteien, was bedeutet, dass jeder Gesundheitsdienstleister, Clearingstelle im Gesundheitswesen und jede andere Gesundheitsagentur sie einhalten muss. Dies sollte Ihr erster Schritt zur HIPAA-Konformität sein. Diese Regel legt Schutzmaßnahmen für PHI fest, beschränkt den Zugriff auf Informationen und stellt Bedingungen für die Nutzung und Offenlegung von privaten Informationen ohne Zustimmung des Patienten bereit. Außerdem haben Patienten einige besondere Rechte, z.B. die Korrektur ihrer PHI zu beantragen und eine Kopie dieser Informationen zu erhalten.

Die HIPAA-Sicherheitsregel gilt nur für ePHI und befasst sich nicht mit mündlich oder schriftlich übermittelten PHI. Diese Regel spezifiziert administrative und technische Schutzmaßnahmen, die betroffene Parteien zur Datensicherung umsetzen sollten. Die Sicherheitsregel schützt die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten, die betroffene Parteien erstellen, pflegen oder übermitteln. Zudem gibt es Punkte, die besagen, dass Sie Informationssicherheitsbedrohungen identifizieren und beseitigen müssen. Auch das gesamte Personal der betroffenen Parteien muss die regulatorischen Anforderungen einhalten. Die Sicherheitsregel lässt Ihnen die Wahl der zu implementierenden Sicherheitslösungen. Dies hängt von der Größe, den Ressourcen und der Art der betroffenen Partei ab.

Sie sollten folgende Maßnahmen zum Schutz der Informationen umsetzen:

  • Technischer Schutz dreht sich um den Schutz und die Gewährung des Zugriffs auf die Informationen. Wenn Sie HIPAA-konform sein möchten, müssen Sie sicherstellen, dass die Daten in allen Phasen ihrer Existenz sicher sind, indem Sie Richtlinien und Verfahren implementieren. Dieser Schutz besteht aus 4 Kategorien: Zugriffskontrolle, Audit-Kontrollen, Integritätskontrollen und Übertragungssicherheit.
  • Physischer Schutz dreht sich um die Verhinderung des physischen Zugriffs auf die ePHI, unabhängig von ihrem Standort. Nur autorisierte Personen sollten Zugriff auf die Nutzung dieser Informationen und deren Standort haben.
  • Administrativer Schutz dreht sich um die Implementierung von Richtlinien und Verfahren. Datenschutz- und Sicherheitsbeauftragte werden für die Schulung des Personals, die Analyse und Identifizierung von Sicherheitsrisiken usw. verantwortlich sein.

Häufige Verstöße

Um HIPAA-konform zu sein, müssen Sie verstehen, dass die meisten Verstöße intern sind. Wenn jemand unbeabsichtigt ein Papier mit Patienteninformationen verlegt oder den Arbeitsplatz unverschlossen lässt – all dies sind immer noch Verstöße. Hier sind einige häufige Verstöße:

  • Gestohlene Geräte mit PHI oder ePHI;
  • Cyberangriffe (Malware, Ransomware-Angriffe usw.);
  • Büroeinbruch;
  • Versenden von PHI an die falsche Person oder den falschen Partner;
  • Diskutieren von PHI in der Öffentlichkeit;
  • Veröffentlichen von PHI in sozialen Medien.

Um sich zu schützen, müssen Sie die Natur Ihres Geschäfts und die Partner, mit denen Sie zusammenarbeiten, analysieren. Es ist wichtig, nur mit Partnern zu arbeiten, die ebenfalls HIPAA-konform sind. Dies wird Ihnen helfen, die Wahrscheinlichkeit von Geldbußen bei einem Verstoß zu verringern.

Die HIPAA-Benachrichtigungsregel bei Datenverletzungen

Zunächst müssen wir klären, was ein Datenverstoß gemäß HIPAA ist. Hier haben wir, dass ein Verstoß eine „unerlaubte Nutzung oder Offenlegung ist, die die Sicherheit oder Privatsphäre der geschützten Gesundheitsinformationen gefährdet“. Mit anderen Worten, ein Datenverstoß ist einfach ein unbefugter Zugriff auf die PHI. Sie können Datenverstöße durch starke Sicherheitsmaßnahmen, Schulung und Software zur Erkennung von Angriffen und Bedrohungen verhindern.

Die Benachrichtigungsregel bei Verstößen hat 2 Arten von Verstößen, die sich in der Anzahl der Betroffenen unterscheiden. Wenn ein Verstoß weniger als 500 Personen betrifft, muss eine betroffene Partei das HHS einmal im Jahr informieren, spätestens 60 Tage vor Ende des Kalenderjahres, in dem der Verstoß entdeckt wurde. Außerdem müssen betroffene Parteien die betroffenen Personen innerhalb von 60 Tagen benachrichtigen, nachdem der Verstoß aufgetreten ist.

Wenn ein Verstoß mehr als 500 Personen betrifft, muss eine betroffene Partei das HHS und das OCR innerhalb von 60 Tagen nach Entdeckung des Verstoßes benachrichtigen. Zudem müssen Sie die örtlichen Strafverfolgungsbehörden benachrichtigen. Darüber hinaus werden alle wesentlichen Verstöße auf dem U.S. Department of Health and Human Services Portal veröffentlicht.

Das System der Geldstrafen und Sanktionen

Unabhängig davon, wie gut Sie auf die HIPAA-Compliance vorbereitet sind, sollten Sie sich immer der Geldstrafen und Sanktionen bewusst sein. HIPAA hat 2 Kategorien von Strafen: Zumutbarer Grund und Vorsätzliche Vernachlässigung. Die Mindeststrafe für Verstöße aus Zumutbarem Grund beträgt 100 US-Dollar pro Vorfall, und die Höchststrafe für beide Kategorien beträgt 50.000 US-Dollar pro Vorfall.

Die Höhe hängt davon ab, wie viel Sie über einen Verstoß wussten und wie viel Fahrlässigkeit vorlag. Wenn Sie von dem Verstoß nichts wussten und ihn nicht verhindern konnten, beträgt die Mindeststrafe 100 US-Dollar pro Verstoß. Die nächste Stufe ist, wenn die betroffene Partei von dem Verstoß hätte wissen sollen, ihn aber aus irgendeinem Grund nicht verhindern konnte. Dies kann die Organisation bis zu 50.000 US-Dollar kosten. Wenn die Organisation fahrlässig handelte und den Verstoß innerhalb von 30 Tagen nicht behoben hat, beträgt die Mindeststrafe 50.000 US-Dollar pro Verstoß. Zudem kann eine Strafe in Form von Freiheitsstrafe verhängt werden.

HIPAA und COVID-19

Seit der Pandemie hat sich die Situation in der Gesundheitsbranche verändert. Und HIPAA hat sich ebenfalls geändert. Es gibt neue Bulletins, Richtlinien und andere verschiedene Dinge, die betroffenen Parteien und Geschäftspartnern helfen, Compliance in dieser Zeit durchzuführen. Das wichtigste für die Compliance in dieser Zeit ist die Fernarbeit und Telemedizin. PHI wird an verschiedenen Orten gespeichert, sogar auf Geräten von Patienten. Daher wurden die Geldstrafen und Sanktionen vorübergehend ausgesetzt.

Unabhängig davon müssen alle medizinischen Anbieter die Informationen der Patienten schützen und zusätzliche Maßnahmen ergreifen, um sensible Informationen zu schützen. Sie müssen alle Verfahren und Richtlinien überprüfen, um das Risiko eines Verstoßes in dieser Zeit zu verringern. Auch eine aktive Schulung und Ausbildung des Personals zu den Regeln, wie man PHI beim Arbeiten von zu Hause aus schützt, wird Ihnen helfen, die Wahrscheinlichkeit eines Datenverstoßes zu verringern. Dies kann eine zusätzliche Schulung zu der jährlich obligatorischen sein. Außerdem können Sie eine Zwei-Faktor-Authentifizierung oder Biometrie für Geräte mit PHI implementieren.

HIPAA ist eine der strengsten und kompliziertesten Vorschriften zum Schutz sensibler Daten. Es wurde speziell entwickelt, um die PHI der Patienten unter allen Umständen privat zu halten. Um HIPAA-konform zu sein, müssen Sie alle Vorkommnisse und alle Organisationen, mit denen PHI geteilt wird, dokumentieren. Sie müssen auch Sanierungspläne haben und jede behobene Lücke und die Daten, an denen dies erfolgte, dokumentieren. Unser Datasunrise Database Regulatory Compliance (DDRC) wird Ihnen helfen, HIPAA und die meisten anderen Gesetze und Vorschriften einzuhalten. Unser Verschleierungsfeature verdeckt sensible Daten, sodass Cyberkriminelle nicht die Originaldaten haben. Außerdem bieten wir eine Bewertung von Schwachstellen an, mit der Sie Schwachstellen finden und beheben können, um Cyberangriffe zu vermeiden. Mit einem Datenbank-Audit können Sie die Datenbankaktivitäten überwachen und verschiedene Zugriffsebenen darauf zuweisen. Zudem können wir bei DataSunrise sensible Daten überall finden und verbergen.

Nächste

PCI DSS Compliance

PCI DSS Compliance

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]