DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

HIPAA Compliance

HIPAA Compliance

HIPAA, oder das Health Insurance Portability and Accountability Act, schützt sensible Informationen von Patienten. Es wurde 1996 eingeführt und enthält verschiedene Regeln, die regeln, wie private Gesundheitsdaten geschützt, verwendet und offen gelegt werden sollten, unabhängig von ihrer Existenzphase. Alle betroffenen Parteien, Geschäftspartner und Dritte, die mit sensiblen Daten arbeiten, müssen diese Regeln befolgen und die geschützten Gesundheitsinformationen (Protected Health Information, PHI) schützen und sichern. Dieses Gesetz betrifft die Gesundheitsbranche in den USA. Das Gesetz besteht aus strengen Datenschutzrichtlinien, da Patientendaten für Kriminelle sehr attraktive Informationen sind. HIPAA wird vom Department of Health and Human Services (HHS) geregelt und vom Office for Civil Rights (OCR) durchgesetzt. Lassen Sie uns näher auf die Definitionen und Regeln eingehen, um zu klären, wie man HIPAA-konform ist.

Wichtige Definitionen

HIPAA enthält einige wichtige Definitionen zum Verständnis. Hier werden wir sie beschreiben.

PHI oder Protected Health Information umfasst die Gesundheitsdaten jeder Person. Dazu gehören Informationen wie Name, Adresse, Geburtsdatum, Sozialversicherungsnummer und viele andere sensible Daten wie Berichte über alle medizinischen Behandlungen, psychische Gesundheitszustände, Zahlungen usw.

ePHI oder Elektronische Gesundheitsinformationen sind dieselben wie die PHI, aber alle Informationen werden in elektronischem Format gespeichert, übertragen und empfangen.

Betroffene Parteien sind alle, die mit PHI arbeiten. Dazu können Ärzte, Krankenschwestern und andere Gesundheitsmitarbeiter gehören, die Zugriff auf Informationen haben, Clearingstellen im Gesundheitswesen und Versicherungsagenturen. Es ist erwähnenswert, dass betroffene Parteien für die Meldung von Verstößen und die Zahlung von Geldbußen verantwortlich sind, wenn Verstöße auftreten.

Geschäftspartner sind alle, die verschiedene Dienstleistungen für betroffene Parteien erbringen und Zugriff auf PHI haben, z.B. Anwälte, IT-Unternehmen, Buchhalter und andere nicht-medizinische Mitarbeiter.

Sie müssen diese Dinge kennen, um zu verstehen, wie und mit wem die HIPAA-Compliance funktioniert.

HIPAA Datenschutz- und Sicherheitsregeln

Die HIPAA-Datenschutzregel ist eine grundlegende Regel des Gesetzes. Sie gilt nur für betroffene Parteien, was bedeutet, dass jeder Gesundheitsdienstleister, Clearingstelle im Gesundheitswesen und jede andere Gesundheitsagentur sie einhalten muss. Dies sollte Ihr erster Schritt zur HIPAA-Konformität sein. Diese Regel legt Schutzmaßnahmen für PHI fest, beschränkt den Zugriff auf Informationen und stellt Bedingungen für die Nutzung und Offenlegung von privaten Informationen ohne Zustimmung des Patienten bereit. Außerdem haben Patienten einige besondere Rechte, z.B. die Korrektur ihrer PHI zu beantragen und eine Kopie dieser Informationen zu erhalten.

Die HIPAA-Sicherheitsregel gilt nur für ePHI und befasst sich nicht mit mündlich oder schriftlich übermittelten PHI. Diese Regel spezifiziert administrative und technische Schutzmaßnahmen, die betroffene Parteien zur Datensicherung umsetzen sollten. Die Sicherheitsregel schützt die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten, die betroffene Parteien erstellen, pflegen oder übermitteln. Zudem gibt es Punkte, die besagen, dass Sie Informationssicherheitsbedrohungen identifizieren und beseitigen müssen. Auch das gesamte Personal der betroffenen Parteien muss die regulatorischen Anforderungen einhalten. Die Sicherheitsregel lässt Ihnen die Wahl der zu implementierenden Sicherheitslösungen. Dies hängt von der Größe, den Ressourcen und der Art der betroffenen Partei ab.

Sie sollten folgende Maßnahmen zum Schutz der Informationen umsetzen:

  • Technischer Schutz dreht sich um den Schutz und die Gewährung des Zugriffs auf die Informationen. Wenn Sie HIPAA-konform sein möchten, müssen Sie sicherstellen, dass die Daten in allen Phasen ihrer Existenz sicher sind, indem Sie Richtlinien und Verfahren implementieren. Dieser Schutz besteht aus 4 Kategorien: Zugriffskontrolle, Audit-Kontrollen, Integritätskontrollen und Übertragungssicherheit.
  • Physischer Schutz dreht sich um die Verhinderung des physischen Zugriffs auf die ePHI, unabhängig von ihrem Standort. Nur autorisierte Personen sollten Zugriff auf die Nutzung dieser Informationen und deren Standort haben.
  • Administrativer Schutz dreht sich um die Implementierung von Richtlinien und Verfahren. Datenschutz- und Sicherheitsbeauftragte werden für die Schulung des Personals, die Analyse und Identifizierung von Sicherheitsrisiken usw. verantwortlich sein.

Häufige Verstöße

Um HIPAA-konform zu sein, müssen Sie verstehen, dass die meisten Verstöße intern sind. Wenn jemand unbeabsichtigt ein Papier mit Patienteninformationen verlegt oder den Arbeitsplatz unverschlossen lässt – all dies sind immer noch Verstöße. Hier sind einige häufige Verstöße:

  • Gestohlene Geräte mit PHI oder ePHI;
  • Cyberangriffe (Malware, Ransomware-Angriffe usw.);
  • Büroeinbruch;
  • Versenden von PHI an die falsche Person oder den falschen Partner;
  • Diskutieren von PHI in der Öffentlichkeit;
  • Veröffentlichen von PHI in sozialen Medien.

Um sich zu schützen, müssen Sie die Natur Ihres Geschäfts und die Partner, mit denen Sie zusammenarbeiten, analysieren. Es ist wichtig, nur mit Partnern zu arbeiten, die ebenfalls HIPAA-konform sind. Dies wird Ihnen helfen, die Wahrscheinlichkeit von Geldbußen bei einem Verstoß zu verringern.

Die HIPAA-Benachrichtigungsregel bei Datenverletzungen

Zunächst müssen wir klären, was ein Datenverstoß gemäß HIPAA ist. Hier haben wir, dass ein Verstoß eine „unerlaubte Nutzung oder Offenlegung ist, die die Sicherheit oder Privatsphäre der geschützten Gesundheitsinformationen gefährdet“. Mit anderen Worten, ein Datenverstoß ist einfach ein unbefugter Zugriff auf die PHI. Sie können Datenverstöße durch starke Sicherheitsmaßnahmen, Schulung und Software zur Erkennung von Angriffen und Bedrohungen verhindern.

Die Benachrichtigungsregel bei Verstößen hat 2 Arten von Verstößen, die sich in der Anzahl der Betroffenen unterscheiden. Wenn ein Verstoß weniger als 500 Personen betrifft, muss eine betroffene Partei das HHS einmal im Jahr informieren, spätestens 60 Tage vor Ende des Kalenderjahres, in dem der Verstoß entdeckt wurde. Außerdem müssen betroffene Parteien die betroffenen Personen innerhalb von 60 Tagen benachrichtigen, nachdem der Verstoß aufgetreten ist.

Wenn ein Verstoß mehr als 500 Personen betrifft, muss eine betroffene Partei das HHS und das OCR innerhalb von 60 Tagen nach Entdeckung des Verstoßes benachrichtigen. Zudem müssen Sie die örtlichen Strafverfolgungsbehörden benachrichtigen. Darüber hinaus werden alle wesentlichen Verstöße auf dem U.S. Department of Health and Human Services Portal veröffentlicht.

Das System der Geldstrafen und Sanktionen

Unabhängig davon, wie gut Sie auf die HIPAA-Compliance vorbereitet sind, sollten Sie sich immer der Geldstrafen und Sanktionen bewusst sein. HIPAA hat 2 Kategorien von Strafen: Zumutbarer Grund und Vorsätzliche Vernachlässigung. Die Mindeststrafe für Verstöße aus Zumutbarem Grund beträgt 100 US-Dollar pro Vorfall, und die Höchststrafe für beide Kategorien beträgt 50.000 US-Dollar pro Vorfall.

Die Höhe hängt davon ab, wie viel Sie über einen Verstoß wussten und wie viel Fahrlässigkeit vorlag. Wenn Sie von dem Verstoß nichts wussten und ihn nicht verhindern konnten, beträgt die Mindeststrafe 100 US-Dollar pro Verstoß. Die nächste Stufe ist, wenn die betroffene Partei von dem Verstoß hätte wissen sollen, ihn aber aus irgendeinem Grund nicht verhindern konnte. Dies kann die Organisation bis zu 50.000 US-Dollar kosten. Wenn die Organisation fahrlässig handelte und den Verstoß innerhalb von 30 Tagen nicht behoben hat, beträgt die Mindeststrafe 50.000 US-Dollar pro Verstoß. Zudem kann eine Strafe in Form von Freiheitsstrafe verhängt werden.

HIPAA und COVID-19

Seit der Pandemie hat sich die Situation in der Gesundheitsbranche verändert. Und HIPAA hat sich ebenfalls geändert. Es gibt neue Bulletins, Richtlinien und andere verschiedene Dinge, die betroffenen Parteien und Geschäftspartnern helfen, Compliance in dieser Zeit durchzuführen. Das wichtigste für die Compliance in dieser Zeit ist die Fernarbeit und Telemedizin. PHI wird an verschiedenen Orten gespeichert, sogar auf Geräten von Patienten. Daher wurden die Geldstrafen und Sanktionen vorübergehend ausgesetzt.

Unabhängig davon müssen alle medizinischen Anbieter die Informationen der Patienten schützen und zusätzliche Maßnahmen ergreifen, um sensible Informationen zu schützen. Sie müssen alle Verfahren und Richtlinien überprüfen, um das Risiko eines Verstoßes in dieser Zeit zu verringern. Auch eine aktive Schulung und Ausbildung des Personals zu den Regeln, wie man PHI beim Arbeiten von zu Hause aus schützt, wird Ihnen helfen, die Wahrscheinlichkeit eines Datenverstoßes zu verringern. Dies kann eine zusätzliche Schulung zu der jährlich obligatorischen sein. Außerdem können Sie eine Zwei-Faktor-Authentifizierung oder Biometrie für Geräte mit PHI implementieren.

HIPAA ist eine der strengsten und kompliziertesten Vorschriften zum Schutz sensibler Daten. Es wurde speziell entwickelt, um die PHI der Patienten unter allen Umständen privat zu halten. Um HIPAA-konform zu sein, müssen Sie alle Vorkommnisse und alle Organisationen, mit denen PHI geteilt wird, dokumentieren. Sie müssen auch Sanierungspläne haben und jede behobene Lücke und die Daten, an denen dies erfolgte, dokumentieren. Unser Datasunrise Database Regulatory Compliance (DDRC) wird Ihnen helfen, HIPAA und die meisten anderen Gesetze und Vorschriften einzuhalten. Unser Verschleierungsfeature verdeckt sensible Daten, sodass Cyberkriminelle nicht die Originaldaten haben. Außerdem bieten wir eine Bewertung von Schwachstellen an, mit der Sie Schwachstellen finden und beheben können, um Cyberangriffe zu vermeiden. Mit einem Datenbank-Audit können Sie die Datenbankaktivitäten überwachen und verschiedene Zugriffsebenen darauf zuweisen. Zudem können wir bei DataSunrise sensible Daten überall finden und verbergen.

Nächste

PCI DSS Compliance

PCI DSS Compliance

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Allgemeine Informationen
Vertrieb
Kundenservice und technischer Support
Partnerschafts- und Allianz-Anfragen
Allgemeine Informationen:
info@datasunrise.com
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
partner@datasunrise.com