Zum Hauptinhalt springen Zum Footer springen 
DE
HIPAA
HIPAA, kurz für Health Insurance Portability and Accountability Act, ist ein US-amerikanisches Bundesgesetz, das den Schutz medizinischer Informationen und den Umgang mit Patientendaten regelt. Im Kontext von IT, Cloud-Services und Cybersicherheit wird HIPAA meist als Bündel von Anforderungen an Vertraulichkeit, Sicherheit und Zugriffskontrolle bei der Verarbeitung medizinischer Daten betrachtet.
HIPAA ist relevant für Einrichtungen des Gesundheitswesens, Versicherungen, Kliniken, Labore, Telemedizin-Dienste, Anbieter von IT-Lösungen und Cloud-Anbieter, die mit geschützten Gesundheitsinformationen, kurz PHI, arbeiten. PHI umfassen Informationen über den Gesundheitszustand einer Person, die Erbringung von Gesundheitsleistungen oder die Bezahlung von Gesundheitsdienstleistungen, sofern diese eine Person direkt oder indirekt identifizieren können. Dazu zählen Name, Anschrift, Geburtsdatum, Krankengeschichte, Untersuchungsergebnisse, Versicherungsdaten, Patientennummer, Zahlungsinformationen oder andere Identifikatoren.
Was HIPAA regelt
HIPAA legt Regeln für sogenannte Covered Entities und Business Associates fest. Zu den Covered Entities zählen beispielsweise Krankenversicherungen, Abrechnungsstellen im Gesundheitswesen sowie bestimmte Anbieter von Gesundheitsleistungen. Business Associates sind externe Dienstleister und Auftragnehmer, die im Auftrag einer Covered Entity mit PHI arbeiten: IT-Unternehmen, Cloud-Dienste, Abrechnungsplattformen, Anbieter von Datenspeichern, Analytics-Dienste oder Support-Dienste. Ist eine Organisation weder Covered Entity noch Business Associate, gelten die HIPAA-Regeln möglicherweise nicht für sie.
In der Praxis verlangt HIPAA von Organisationen, zu wissen, welche medizinischen Daten sie erheben, wo diese gespeichert sind, wer darauf Zugriff hat, wie sie übermittelt werden und wie sie vor unbefugter Nutzung geschützt sind. Dies betrifft nicht nur Datenbanken und medizinische Systeme, sondern auch Backups, Logs, E-Mails, Cloud-Speicher, CRM-Systeme, Support-Systeme und Integrationen.
HIPAA Privacy Rule und Security Rule
HIPAA umfasst mehrere Regelwerke, im IT-Kontext werden jedoch am häufigsten die Privacy Rule und die Security Rule besprochen. Die Privacy Rule schützt PHI in jeder Form: elektronisch, auf Papier oder mündlich. Sie legt fest, wann Daten verwendet oder offengelegt werden dürfen, welche Rechte Patienten haben und welche Einschränkungen Organisationen beachten müssen.
Die Security Rule konzentriert sich auf elektronisch geschützte Gesundheitsinformationen, kurz ePHI. Sie schreibt die Umsetzung administrativer, physischer und technischer Schutzmaßnahmen für elektronische medizinische Daten vor. Dazu gehören Zugriffsverwaltung, Aktivitätsprüfung, Schutz der Infrastruktur, Sicherheitsrichtlinien, Kontrollen am Arbeitsplatz, Backups und Verfahren zur Reaktion auf Vorfälle.
Für IT-Teams bedeutet das: HIPAA-Compliance lässt sich nicht auf die Installation einer Antivirus-Software oder die Verschlüsselung einer Datenbank reduzieren. Erforderlich ist ein Prozesssystem, das von der Benutzer- und Passwortverwaltung über das Monitoring bis hin zur Richtliniendokumentation und der Kontrolle von Auftragnehmern reicht.
HIPAA und IT-Infrastruktur
In der Infrastruktur wirkt sich HIPAA auf die Wahl der Architektur, der Anbieter und der Sicherheitseinstellungen aus. Speichert ein medizinischer Dienst ePHI in der Cloud, nutzt er ein externes Ticketsystem oder übermittelt Daten über eine API, müssen alle diese Komponenten hinsichtlich Sicherheit und Rolle des Anbieters bewertet werden.
Besondere Aufmerksamkeit gilt den Zugriffsrechten. Benutzer sollten nur die Berechtigungen erhalten, die sie für ihre Arbeit benötigen. Der Zugriff auf ePHI muss kontrolliert, protokolliert und regelmäßig überprüft werden. Ebenfalls wichtig sind die Verschlüsselung der Daten bei der Übertragung und im Ruhezustand, Backups, Netzwerkschutz, Multi-Faktor-Authentifizierung, Ereignisüberwachung sowie ein Disaster-Recovery-Plan.
Verarbeitet ein Auftragnehmer ePHI im Auftrag einer Covered Entity, ist in der Regel ein Business Associate Agreement erforderlich. Eine solche Vereinbarung legt die Verantwortlichkeiten der Parteien für den Datenschutz sowie die zulässigen Nutzungsformen der Daten fest.
Warum Unternehmen HIPAA-Compliance benötigen
HIPAA-Compliance trägt dazu bei, rechtliche, finanzielle und reputationsbezogene Risiken zu reduzieren. Für das Gesundheitswesen und verwandte Dienstleistungen ist sie nicht nur eine Frage formaler Einhaltung, sondern auch die Grundlage für das Vertrauen von Patienten, Partnern und Firmenkunden.
HIPAA hilft zudem dabei, das Datenmanagement zu strukturieren. Ein Unternehmen muss wissen, wo sich sensible Informationen befinden, wer sie einsehen kann, wie lange sie gespeichert werden und was im Falle eines Vorfalls passiert. Dadurch wird die Infrastruktur besser verwaltbar und das Risiko eines Datenlecks, einer versehentlichen Veröffentlichung oder eines unbefugten Zugriffs sinkt.
FAQ
HIPAA ist ein US-amerikanisches Gesetz, das Regeln für den Schutz der medizinischen Informationen von Patienten festlegt. Es regelt, wie solche Daten verwendet, gespeichert, übermittelt und geschützt werden dürfen.
HIPAA schützt PHI, also medizinische Informationen, die eine Person identifizieren können. Dazu zählen Krankenakten, Untersuchungsergebnisse, Versicherungsdaten, Zahlungsinformationen, Kontaktangaben und weitere Informationen, die mit Gesundheit oder Gesundheitsdienstleistungen in Zusammenhang stehen.
HIPAA gilt für Covered Entities wie Einrichtungen des Gesundheitswesens, Krankenversicherungen und Abrechnungsstellen sowie für Business Associates, also Auftragnehmer und Dienstleister, die in deren Auftrag PHI verarbeiten.
Die Privacy Rule regelt die Nutzung und Offenlegung von PHI in unterschiedlichen Formen: elektronisch, auf Papier und mündlich. Die Security Rule gilt für ePHI und legt Anforderungen an administrative, physische und technische Schutzmaßnahmen für elektronische medizinische Daten fest.
Für ein IT-Unternehmen bedeutet HIPAA-Compliance, dass Infrastruktur, Prozesse, Zugriffsrechte, Datenspeicherung, Backups, Monitoring und das Management von Auftragnehmern den Anforderungen an den Schutz von ePHI entsprechen müssen.