HIPAA-konformes File Sharing und Cloud-Speicherung
Gewährleisten Sie HIPAA-Compliance mit sicheren Lösungen zur Speicherung in der Cloud und für das File Sharing
Was ist HIPAA-Compliance?
HIPAA steht für Health Insurance Portability and Accountability Act. Dieses US-Gesetz von 1996 regelt die Sicherheit und den Datenschutz im Zusammenhang mit geschützten Patientendaten (Protected Health Information, PHI) sowie den Zugriff der Patienten auf medizinische Datensätze.
HIPAA wurde seit seiner Verabschiedung mehrfach angepasst, um neuen Technologien und den modernen Datenschutzrisiken Rechnung zu tragen. Im Jahr 2009 stärkte das Health Information Technology for Economic and Clinical Health (HITECH) Act (US-Gesetz zum Einsatz von IT im Gesundheitswesen) die juristische Durchsetzung des HIPAA und reagierte auf Bedenken bezüglich Datenschutz und Sicherheit bei der elektronischen Freigabe von Gesundheitsdaten. Im Jahr 2013 erweiterte die letzte HIPAA Omnibus Rule die Datenschutzrechte und die Sicherheit der Patienten, einschließlich der Rechenschaftspflicht aller Treuhänder von PHI mit den gleichen Anforderungen an Datenschutz und Sicherheit.
HIPAA-Compliance: wichtige Begriffe
Geschützte Gesundheitsdaten (Protected Health Information, PHI) sind individuell identifizierbare Daten, die sich auf den medizinischen oder psychischen Zustand eines Patienten, die Bereitstellung medizinischer Dienste oder deren Bezahlung (in der Vergangenheit, Gegenwart oder Zukunft) beziehen. PHI beinhalten ebenfalls allgemeine Identifikationsmerkmale wie Name, Adresse, Sozialversicherungsnummer und Geburtsdatum des Patienten.
Betreffende Instanzen umfassen alle Organisationen im Gesundheitswesen, die PHI erstellen, erhalten oder übertragen. Krankenhäuser, Ärzte, Kliniken und andere Dienstleister im Gesundheitswesen, die als „betreffende Instanzen“ angesehen werden, sind für die Konformität mit HIPAA und HITECH verantwortlich.
Die HIPAA-Datenschutzregel legt Standards für den Schutz der PHI fest. Im Rahmen der Datenschutzregel müssen Dienstleister im Gesundheitswesen geeignete Sicherheitsvorkehrungen treffen, um persönliche Gesundheitsdaten zu schützen, sowie die Nutzung und Offenlegung von PHI einschränken.
Die HIPAA-Sicherheitsregel definiert Sicherheitsvorkehrungen, die von Dienstleistern im Gesundheitswesen zum Schutz und zur Steuerung des Zugriffs auf PHI getroffen werden müssen. Im Rahmen der Sicherheitsregel sind sie zu Folgendem verpflichtet:
- Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der PHI, die sie erstellen, erhalten, übertragen oder führen
- Erkennung von und Schutz vor Bedrohungen ihrer PHI
- Schutz vor unzulässiger Verwendung oder Offenlegung von PHI
- Sicherstellung, dass die Mitarbeiter die HIPAA-Regeln befolgen
- Überprüfung und Änderung der Sicherheitsmaßnahmen zum Schutz der PHI bei veränderten Umständen
Die HIPAA-Regelung zur Meldung bei Verstößen verlangt von Dienstleistern im Gesundheitswesen, bei Sicherheitsverstößen mit ungesicherten PHI die Benachrichtigung der betroffenen Patienten, der Gesundheitsbehörden und manchmal auch der Presse. Die meisten Meldungen müssen innerhalb von 60 Tagen nach Entdeckung des Verstoßes erfolgen (es gibt Ausnahmen bei Verstößen mit weniger als 500 betroffenen Personen).
Das bedeutet HIPAA-Compliance für Dienstleister im Gesundheitswesen
Vertrauen hat in der Gesundheitsbranche höchste Priorität. HIPAA legt die staatliche Norm für Patientensicherheit und -datenschutz fest und Verstöße können zu zivilrechtlichen Strafzahlungen, strafrechtlichen Sanktionen und zur Schädigung des guten Rufs eines Gesundheitsdienstleisters führen.
Der Schutz von PHI ist unternehmenskritisch – manche Quellen besagen jedoch, er sei schwieriger als je zuvor. Dienstleister im Gesundheitswesen müssen sich gegen unglaublich ausgefeilte Sicherheitsbedrohungen und versuchten Datendiebstahl behaupten. Außerdem gehen immer mehr Unternehmen zu “Bring Your Own Device (BYOD)”-Regelungen über, also der geschäftlichen Nutzung der privaten Geräte der Mitarbeiter, was den plattform- und geräteübergreifenden Schutz von PHI noch schwieriger macht — und gleichzeitig noch wichtiger.
In der Gesundheitsbranche sind Mobilität, Zusammenarbeit, Informations- und Patientenorientiertheit auf dem Vormarsch. Die Wahrung der HIPAA-Konformität ist ungemein wichtig, jedoch kann es die richtige Wahl der Datensicherheits- und Speichertools sein, die den ganzen Unterschied ausmacht.
Box für das Gesundheitswesen: HIPAA-konforme Cloud-Speicherung
Die Box-Plattform und die zugehörigen Produkte sind seit November 2012 mit HIPAA, HITECH und der letzten HIPAA Omnibus Rule compliant. Alle in Box gespeicherten PHI sind im Einklang mit HIPAA geschützt. Box unterzeichnet außerdem mit allen Kunden, die planen PHI in der Cloud zu speichern, ein Business Associate Agreements (BAAs).
Box aktualisiert regelmäßig seine Produkte, Richtlinien und Vorgehensweisen, um durchgängige HIPAA-Compliance sicherzustellen. Zusätzlich wurde Box durch einen externen Auditor geprüft, der in seinem Bericht bestätigt, dass Box über alle erforderlichen Kontrollen verfügt, um den Anforderungen von HIPAA bezüglich Datenschutz und Sicherheit zu entsprechen.
Box gewährleistet HIPAA-Compliance durch diverse wichtige Funktionen und Unternehmensrichtlinien:
- Datenverschlüsselung (sowohl bei der Übertragung als auch im Speicher)
- Eingeschränkter physischer Zugang zu Produktionsservern
- Strenge logische Systemzugriffskontrollen
- Berichte und Audit-Trails für Account-Aktivitäten (Benutzer und Inhalte)
- Mitarbeiterschulung zu Sicherheitsrichtlinien und -kontrollen
- Stark begrenzter Mitarbeiterzugang zu Kundendaten
- Gespiegelte Aktiv-Aktiv-Rechenzentrumseinrichtungen zur Abmilderung von Katastrophensituationen
Unternehmen jeder Größe und Spezialisierung im Gesundheitswesen vertrauen beim Schutz sensibler Patientendaten und bei der Einhaltung der HIPAA-Compliance auf Box. Es ist jedoch wichtig anzumerken, dass es in der Veranwortung dieser Unternehmen liegt, Box so konfigurieren, dass die HIPAA-Compliance gewährleistet wird und die erforderlichen Unternehmensrichtlinien umgesetzt werden.
„Box ist der perfekte Aufbewahrungsort für Informationen — nicht nur für die Übermittlung von Informationen in alle Richtungen, sondern auch für die sichere und konforme Unterbringung dieser Informationen sowie ihre Aufbereitung und Nutzung zur Erstellung der vorgeschriebenen Dokumentation. Box hat meine tägliche Arbeit als Arzt verändert, indem ich sofort Zugriff auf die aktuellen Daten erhalte, die mir bei der Versorgung meiner Patienten helfen“
Dr. Joseph Ducey, VP Business Development, Providence Anesthesiology Associates