Home Blog Compliance
Joe Köller · 20.07.2023
HIPAA, derHealthcare Insurance Portability and Accountability Act, ist ein US-amerikanisches Gesetz zum Schutzprivater Gesundheitsdaten(Protected Health Information, kurz PHI). Krankenhäuser, Versicherungen und andere Gesundheitsdienstleister müssen im Rahmen der HIPAA Compliance strenge Regeln bezüglich des Umgangs Patientendaten befolgen.
HIPAA Deutschland: Gibt es hier ähnliche Regeln?
HIPAA richtet sich an Gesundheitseinrichtungen in den USA und gilt nicht für Deutschland. Allerdings existieren hierzulande vergleichbare Richtlinien zum Schutz sensibler Patientendaten. Einerseits wird die Verarbeitung von medizinischen Informationen als besondere Kategorie von personenbezogenen Daten durch die DSGVO geregelt. Darüber hinaus unterliegen Krankenhäuser auch dem Patientendatenschutzgesetz (PDSG), welches sie zur Einhaltung angemessener Sicherheitsmaßnahmen verpflichtet.
Je nach ihrer Größe zählen Krankenhäuser zudem als wichtige, besonders wichtige bzw. kritische Einrichtungen im Rahmen der KRITIS-Verordnung bzw. der neueren NIS2-Richtlinie der EU. Kliniken, die den Schutz von Daten und die Cybersicherheit vernachlässigen, müssen entsprechend mit erheblichen Strafen rechnen.
Welche Daten müssen laut HIPAA geschützt werden?
Der Health Insurance Portability and Accountability Act bezeichnet private Patientendaten als „Protected Health Information“ (PHI), also geschützte Gesundheitsinformationen. Darunter fallen jegliche Daten, die sich auf den Gesundheitszustand eines Patienten sowie auf dessen medizinische Versorgung und Behandlungskosten beziehen. Elektronisch erfasste Patientendaten werden auch als „ePHI” bezeichnet.
Beispiele von personenbezogenen Gesundheitsdaten, PHI:
Namen & Adressen
Geburts- und Sterbedaten
Telefon- und Faxnummern, E-Mail Adressen
Sozialversicherungsnummern
Ärztliche Verordnungen, Rezepte
Befunde
Kontonummern
IP Adressen
Biometrische Identifikatoren (Fingerabdrücke, Sprachaufzeichnungen)
Fotos
Zahlungsinformationen
Wen betrifft das HIPAA-Gesetz?
Um persönliche Patientendaten zu schützen wurde das Gesetz so entworfen, dass es auf alle Organisationen zutrifft, die Zugang zu privaten Gesundheitsdaten in den USA haben. Es gibt drei Hauptkategorien von Einrichtungen oder Personen, die PHI schützen müssen, um den Anforderungen des Gesetzgebers zu entsprechen:
| Kategorie | Beschreibung | Beispiele |
|---|---|---|
| Betroffene Einrichtungen (Covered Entities) | Gesundheits- und Krankenversicherungsdienstleister sowie Verrechnungsstellen, die Patientendaten speichern, verarbeiten oder übermitteln. | Kliniken, Ärzte, Pflegepersonal, Pflegeheime, Apotheken, Krankenkassen |
| Geschäftspartner (Business Associates) | Unternehmen oder Personen, die zwar selbst keine medizinische Versorgung anbieten, jedoch mit solchen Einrichtungen zusammenarbeiten und somit Zugang zu Patientendaten haben. | Steuerberater, Rechtsanwälte, IT-Dienstleister |
| Subunternehmer (Subcontractors) | Firmen oder Personen, die von Geschäftspartnern beauftragt wurden und ebenfalls Zugang zu personenbezogenen Daten haben. | Aktenvernichter, Anbieter von Hosting Services (z. B. Amazon Web Services), Cloud-Anbieter |
HIPAA-Compliance: Die 4 Grundregeln
Der Healthcare Insurance Portability and Accountability Act ist in vier Hauptkategorien bzw. Regeln unterteilt, die die Grundlage für die gesetzeskonforme Datenverarbeitung bilden. Grundsätzlich müssen alle betroffenen Einrichtungen sowie Geschäftspartner und Subunternehmer sowohl technische, physische als auch administrative Maßnahmen umsetzen und beibehalten, um den Schutz von Patientendaten zu gewährleisten. Natürlich müssen sie auch sicherstellen, dass alle Mitarbeiter innerhalb der Organisation über die Maßnahmen Bescheid wissen, sie befolgen und auch mittragen.
Regel #1: HIPAA Datenschutzregel (Privacy Rule)
Die HIPAA Datenschutzregel erteilt PatientInnen bestimmte Befugnisse und Rechte bezüglich ihrer Gesundheitsdaten (PHI) und regelt zudem, welche weiteren Personen auf diese Informationen zugreifen dürfen. PatientInnen können mitbestimmen, wie ihre Daten verwendet und an wen sie weitergegeben werden. Diese Regel gilt nur für betroffene Einrichtungen (Covered Entities), nicht aber für deren Geschäftspartner (Business Associates) oder Subunternehmer (Subcontractors).
Die HIPAA Datenschutzregel verlangt von Einrichtungen im Gesundheitswesen, dass diese die vorgegebenen Standards in ihre internen Richtlinien aufnehmen und sicherstellen, dass alle Mitarbeiter der Organisation jährlich im Hinblick auf diese Vorschriften geschult werden.
Regel #2: HIPAA Sicherheitsregel (Security Rule)
Die Sicherheitsregel schreibt Standards vor, die sicherstellen sollen, dass elektronische personenbezogene Gesundheitsdaten (ePHI) ausreichend gegen Manipulation und vor unbefugtem Zugriff geschützt sind. Es werden hier drei Schlüsselbereiche definiert, für die betroffene Einrichtungen Sicherheitsmaßnahmen implementieren müssen, um die Sicherheit von ePHI zu gewährleisten:
1
Administrative Sicherheitsmaßnahmen
Administrative Sicherheitsmaßnahmen werden definiert als „Verwaltungsmaßnahmen sowie Strategien und Verfahren zur Verwaltung der Auswahl, Entwicklung, Umsetzung und Aufrechterhaltung von Sicherheitsmaßnahmen zum Schutz elektronischer Gesundheitsdaten.“ Solche Sicherheitsmaßnahmen beinhalten, unter anderem:
Durchführung einer Risikobewertung
Konzepte und Verfahren zur Begrenzung von Zugriffen auf ePHI, einschließlich Systemen, die Sicherheitslücken erkennen und beheben können
Strategien, wie im Falle einer Panne oder eines Verstoßes vorgegangen werden soll
Krisenpläne, die den Schutz von ePHI im Falle von Notfällen oder Naturkatastrophen gewährleisten
Regelmäßige Audits und laufende Evaluierung von Maßnahmen und deren Umsetzungsstrategien
Regelmäßige Mitarbeiterschulungen
Beschränkung von Zugriffsrechten auf sensible Daten durch Drittanbieter auf ein notwendiges Mindestmaß
2
Technische Sicherheitsmaßnahmen (Technical Safeguards)
Technische Sicherheitsmaßnahmen dienen dem Schutz von Systemen, die zur Datenspeicherung und -übertragung von ePHI verwendet werden. Einige Beispiele solcher Sicherheitsmaßnahmen sind:
Zugangskontrollen in Form von individuellen Benutzernamen und PIN-Codes
Überwachung und Antivirus-Software
Audit-Berichte undchange tracking
Verschlüsselungs- und Entschlüsselungs-Tools
Digitale Signaturen
Automatische Abmeldung von PCs und anderen Geräten
Systeme zur Erkennung von verdächtigen Aktivitäten
Regelmäßige Daten-Backups
3
Physische Sicherheitsmaßnahmen (Physical Safeguards)
Physische Sicherheitsmaßnahmen dienen dem Schutz von physischen Geräten, die zur Speicherung und Verarbeitung von ePHI verwendet werden (z. B. Computer, Datenspeichersysteme, Router, andere Hardware). Das heißt, dass auch Büros und Gebäude, in denen sich Computer und andere Geräte befinden, vor Diebstahl und unbefugtem Zugang geschützt werden müssen. Zum Beispiel durch:
Richtlinien zur Nutzung und Positionierung von Arbeitsplätzen
Hardware-Inventarlisten
Ausweise, Namensschilder
Zutrittskarten
Schlösser
Sicherheitspersonal
Regel #3: HIPAA Bestimmung zur Benachrichtigung bei Verstößen (Breach Notification Rule)
Kommt es, trotz all dieser Vorsichtsmaßnahmen, zu einem Verstoß, bei dem PHI gestohlen, unrechtmäßig eingesehen, weitergegeben oder auf sonstige Weise gefährdet wird oder verloren geht, muss die betroffene Einrichtung gemäß der HIPAA Breach Notification Rule den Secretary of Health and Human Services sowie betroffene PatientInnen innerhalb von 60 Tagen nach dem Verstoß informieren.
Regel #4: HIPAA Omnibus-Regel (Omnibus Rule)
Es folgten zwei weitere Gesetze, mit denen der Geltungsbereich der HIPAA-Compliance-Anforderungen erweitert wurde: Der Genetic Information Nondiscrimination Act (GINA) im Jahr 2008 sowie der Health Information Technology for Economic and Clinical Health Act (HITECH) im Jahr 2009. Mit der HIPAA Omnibus Rule im Jahr 2013 wurden sowohl GINA als auch HITECH in das HIPAA-Gesetz integriert.
HIPAA Compliance & Cloud-Anbieter
Der Umstieg von analogen Patientenakten auf elektronische Erfassungssysteme war die erste signifikante Umstellung, die betroffene Einrichtungen zwischen der Einführung von HITECH im Jahr 2009 und heute vollziehen mussten. Derzeit erleben wir den nächsten Wandel, nämlich die Umstellung auf die Cloud, die durch die anhaltende weltweite Covid-19-Krise zusätzlich angetrieben wird.
Gemäß HIPAA wird ein Cloud-Dienstanbieter wie Microsoft in dem Moment zu einem Geschäftspartner (Business Associate), sobald eine betroffene Einrichtung dessen Dienste in Anspruch nimmt. Das Gleiche gilt, wenn ein Geschäftspartner einen Cloud-Dienstanbieter mit der Erstellung, Übertragung oder Sammlung von PHI beauftragt. In diesem Fall wird der Cloud-Anbieter zu einem Subunternehmer und unterliegt daher ebenfalls den gleichen Compliance-Anforderungen.
Cloud-Migration: Was bedeutet das für HIPAA-Compliance und Datensicherheit? Adobe Stock (c) ipopba
Wie kann man HIPAA-Verstößen vorbeugen?
Um einen Verstoß zu verhindern, ist es zunächst wichtig zu verstehen, dass es einen Unterschied zwischen einem Regelverstoß und einer Regelverletzung gibt. Eine Verletzung von HIPAA-Regeln, wie zum Beispiel ein Mangel an Sicherheitsvorkehrungen, kann potenziell zu einem Verstoß führen. Der Verstoß selbst ist dann passiert, wenn auf Grund der Sicherheitslücke unrechtmäßig auf Daten (PHI) zugegriffen wurde.
Angenommen, Sie bearbeiten Patientendaten auf Ihrem Laptop und verlassen dann Ihren Arbeitsplatz, um z.B. auf Mittagspause zu gehen. Den Laptop lassen Sie aber geöffnet und somit einsehbar. Das ist die Verletzung der HIPAA-Bestimmung – doch ein Verstoß ist das noch nicht. Der Verstoß ist dann passiert, wenn jemand Ihren Laptop unerlaubterweise einsieht und die Daten womöglich ausdruckt und weitergibt.
Was gilt als HIPAA-Verstoß?
Wie man anhand dieses Beispiels erkennt, ist es für Gesundheitseinrichtungen mindestens genauso wichtig, versehentliche Datenlecks und unberechtigte Zugriffe zu verhindern, wie sich vor externen Bedrohungen wie Ransomware zu schützen. Unter den häufigsten HIPAA-Verstößen findet man beide Arten von Vorfällen, also sowohl interne als auch externe Angriffe:
Unbefugter Zugriff
Hacking-Angriffe
Malware- oder Ransomware-Angriffe
Verlust oder Diebstahl von Equipment (Laptop, Telefon)
Betrug
Unbefugtes Teilen (mündlich oder schriftlich) von Patientendaten in der Öffentlichkeit oder im Internet
Versehentliche Übermittlung von Patientendaten an die falschen Empfänger
Einbrüche in die Büroräumlichkeiten
Mangelhafte oder keine angemessenen Sicherheits- und Zugangskontrollen
Fehlende oder mangelhafte Risikoanalyse
Keine Verschlüsselung von Patientendaten
Was sind die Konsequenzen eines HIPAA-Verstoßes?
Ein Verstoß gegen die Privacy- bzw. Security-Regeln kann sehr kostspielig sein, mit Strafen von bis zu 1,5 Millionen Dollar pro Verstoß. Jeder, der mit dem Verlust von PHI in Verbindung gebracht wird, kann von diesen Strafen betroffen sein.
Die Geldstrafen für Verstöße sind in vier Stufen eingeteilt, die verschiedene Schweregrade abdecken und außerdem zwischen vorsätzlichen und unbeabsichtigten Verstößen unterscheiden.
| Stufe | Beschreibung | Geldstrafe |
|---|---|---|
| Stufe 1 | Die betroffene Einrichtung war sich des HIPAA-Verstoßes nicht bewusst und hätte ihn auch nicht verhindern können. Es wurde durch angemessene Vorsichtsmaßnahmen auf die Einhaltung der Compliance-Vorschriften geachtet. | $100 – $50,000 pro Verstoß. Max. $25,000 pro Jahr. |
| Stufe 2 | Die betroffene Einrichtung wusste von dem Verstoß oder hätte davon wissen müssen, hätte ihn aber auch durch angemessene Vorsichtsmaßnahmen nicht verhindern können. | $1,000 – $50,000 pro Verstoß. Max. $100,000 pro Jahr. |
| Stufe 3 | Verstoß aufgrund vorsätzlicher Vernachlässigung der HIPAA-Vorschriften; der Verstoß wurde innerhalb von 30 Tagen nach Entdeckung behoben oder es wurde versucht, den Verstoß zu beheben. | $10,000 – $50,000 pro Verstoß. Max. $250,000 pro Jahr. |
| Stufe 4 | Verstoß aufgrund vorsätzlicher Vernachlässigung der HIPAA-Vorschriften; es wurden keine Versuche unternommen, den Verstoß zu korrigieren. | $50,000 pro Verstoß. Max. $1.5 Mio pro Jahr. |
HIPAA-Verstöße verhindern: Compliance Checkliste
Im Folgenden finden Sie eine kurze Zusammenfassung von Maßnahmen, die dabei helfen, den HIPAA-Compliance-Anforderungen gerecht zu werden:
Machen Sie sich gut mit derHIPAA-Datenschutzregelvertraut
Verschaffen Sie sich einen Überblick darüber, welche Daten als PHI zählen und somit im Rahmen von HIPAA geschützt werden müssen
Umsetzung von wirksamen physischen sowie technischen Sicherheitsvorkehrungen, um den Schutz von PHI gemäß derHIPAA Sicherheitsregelzu gewährleisten
Führen Sie eine Risikobewertung und -analyse durch: Sie müssen genau wissen, welche Arten von Vorfällen als potenzielle HIPAA-Verstöße gelten und welche Bereiche in Ihrem Unternehmen potenzielle Sicherheitsbedrohungen darstellen
Personalschulungen. Jeder Mitarbeiter muss wissen, wie mit PHI umzugehen ist, wer auf welche Daten zugreifen darf und was als Verstoß gegen die HIPAA-Compliance-Vorschriften gilt
Durchführung regelmäßiger interner Audits, um Lücken hinsichtlich der Erfüllung von Datenschutz- und Sicherheitsvorschriften zu ermitteln
Dokumentieren Sie sämtliche Maßnahmen, die Sie zur Einhaltung der HIPAA-Richtlinien umsetzen
HIPAA-Compliance garantieren – mit tenfold
Access Management, oder auch Berechtigungsverwaltung, bedeutet zu wissen und die Kontrolle darüber zu haben, wer Zugriff auf welche Patientendaten hat. Auf technischer Ebene ist dies der Schlüssel zur Erfüllung der HIPAA-Compliance-Richtlinien. Trotzdem haben nach wie vor viele Unternehmen kein Bewusstsein dafür gebildet, welch weitreichende Folgen unzureichende Zugriffskontrollen haben können; oder sie haben schlichtweg nicht die Zeit und Ressourcen, um eine angemessene Strategie zur Berechtigungsverwaltung umzusetzen.
Eine Lösung unterstützt Ihr Unternehmen dabei, den strengen HIPAA-Anforderungen gerecht zu werden. Die IAM-Lösung tenfold bietet Unternehmen eine schnelle und einfache Möglichkeit, den Zugriff auf sensible Patientendaten auf jene Personen zu beschränken, die diesen auch wirklich brauchen, um Ihre Arbeit machen zu können. tenfold setzt das Least-Privilege-Prinzip automatisch um und bietet somit weitreichenden Schutz von Daten gemäß den HIPAA-Compliance-Anforderungen.
Warum tenfold?
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?
Verfasst von: Joe Köller
Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.
