What is HIPAA Compliance?

Der Gesetz über die Portabilität und Zugänglichkeit von Krankenversicherungen (HIPAA) ist eine Verordnung zum Schutz der Gesundheitsinformationen von Patienten in den USA. Bestimmte Organisationen, die Zugang zu geschützten Gesundheitsinformationen (PHI) haben, sind verpflichtet, die in der HIPAA-Verordnung beschriebenen Sicherheitskontrollen, Prozesse und Verfahren umzusetzen.

Compliance-Datenblatt Demo anfordern

What is HIPAA Compliance?

Wer muss HIPAA-konform sein und warum?

HIPAA definiert zwei Arten von Organisationen, die seine Anforderungen erfüllen müssen:

  • Abgedeckte Unternehmen: HIPAA definiert „abgedeckte Einrichtungen“ als Gesundheitsorganisationen und deren Mitarbeiter, die Zugang zu PHI haben. Dazu gehören Ärzte, Krankenschwestern und Versicherungsunternehmen.
  • Geschäftspartner: Gemäß HIPAA sind „Geschäftspartner“ Organisationen, die Dienstleistungen für betroffene Unternehmen erbringen, die den Zugang zu PHI beinhalten. Beispielsweise hat eine Organisation, die die Abrechnung für einen Gesundheitsdienstleister abwickelt, Zugriff auf den Namen, die Adresse usw. von Patienten, die gemäß HIPAA als PHI geschützt sind.

 

Gemäß HIPAA müssen sowohl betroffene Unternehmen als auch Geschäftspartner HIPAA einhalten. Abgedeckte Einrichtungen werden direkt vom Office for Civil Rights (OCR) des Department of Health and Human Services (HHS) reguliert. HIPAA-Anforderungen werden für Geschäftspartner durch ihre Verträge mit abgedeckten Unternehmen durchgesetzt.

 

Die Verordnung gilt jedoch nur für Organisationen, die der Definition von erfassten Unternehmen oder Geschäftspartnern im Sinne des Gesetzes entsprechen. Andere Organisationen, die Zugang zu Gesundheitsinformationen haben, diese aber nicht von abgedeckten Unternehmen erhalten, unterliegen nicht den HIPAA-Vorschriften. Beispielsweise sind Entwickler von Gesundheits- und Fitness-Apps, die Gesundheitsinformationen direkt von Benutzern sammeln, aber keine Gesundheitsorganisation sind, nicht verpflichtet, deren Richtlinien einzuhalten.

 

Allerdings könnten diese Organisationen davon profitieren. HIPAA beschreibt Best Practices zum Schutz von PHI und die Einhaltung dieser Best Practices kann die Gefährdung eines Unternehmens durch Cyber-Bedrohungen sowie die Wahrscheinlichkeit und Auswirkungen einer potenziellen Datenschutzverletzung verringern. Darüber hinaus trägt die Einhaltung der Vorschriften im Falle einer Sicherheitsverletzung oder eines Sicherheitsvorfalls dazu bei, nachzuweisen, dass das Unternehmen die gebotene Sorgfalt walten ließ und sich gut darum bemühte, die Daten seiner Kunden zu schützen.

Was sind die HIPAA-Regeln?

HIPAA ist in zwei Hauptregeln unterteilt: die Datenschutzregel und die Sicherheitsregel. Zusätzlich zu diesen Regeln gibt es die Breach Notification Rule, die beschreibt, wie Unternehmen einen Verstoß gegen PHI melden sollten, und die Omnibus Rule, die die HIPAA-Anforderungen auch auf Geschäftspartner ausdehnt.

Datenschutzregel. Die Standards für den Datenschutz individuell identifizierbarer Gesundheitsinformationen (Datenschutzregel) legen fest, wie Gesundheitsorganisationen bestimmte Arten von ihnen anvertrauten Gesundheitsinformationen schützen sollen. Die Datenschutzrichtlinie definiert Fälle, in denen auf PHI zugegriffen und diese offengelegt werden können. Darüber hinaus werden Schutzmaßnahmen festgelegt, die die betroffenen Einrichtungen zum Schutz personenbezogener Daten vorsehen sollten, und den Patienten werden bestimmte Rechte in Bezug auf ihre personenbezogenen Daten eingeräumt.

 

Sicherheitsregel. Die Sicherheitsstandards zum Schutz elektronischer geschützter Gesundheitsinformationen (Sicherheitsregel) beschreiben die IT-Sicherheitskontrollen, die Unternehmen für geschützte Gesundheitsinformationen (PHI), die elektronisch gespeichert oder übertragen werden, einrichten sollten. Es stellt konkrete IT-Sicherheitskontrollen, Prozesse und Verfahren bereit, über die Unternehmen verfügen müssen, um die in der Datenschutzregel dargelegten Datenschutzanforderungen zu erfüllen.

Die durch HIPAA geschützten Daten

HIPAA soll PHI schützen, die Patienten an versicherte Unternehmen und deren Geschäftspartner weitergeben. HHS definiert achtzehn Arten von PHI-Identifikatoren, darunter:

  1. Name
  2. Adresse
  3. Schlüsseldaten 
  4. Sozialversicherungsnummer
  5. Telefonnummer
  6. E-Mail-Adresse
  7. Faxnummer
  8. Nummer des Begünstigten des Krankenversicherungsplans
  9. Krankenaktennummer
  10. Zertifikats-/Lizenznummer
  11. Accountnummer
  12. Fahrzeugkennungen, Seriennummern oder Nummernschilder
  13. Gerätekennungen oder Seriennummern
  14. IP Adresse
  15. Web-URL
  16. Vollgesichtsfotos
  17. Biometrische Identifikatoren wie Fingerabdrücke oder Stimmabdrücke
  18. Alle anderen eindeutigen Identifikationsnummern, Merkmale oder Codes

Häufige HIPAA-Verstöße

Die HIPAA- Compliance ist für betroffene Unternehmen obligatorisch und diese Organisationen können beiCompliance bestraft werden. HIPAA definiert vier Stufen von Verstößen:

  • Stufe 1: Das betroffene Unternehmen war sich des Verstoßes nicht bewusst und der Verstoß hätte realistischerweise nicht verhindert werden können, wenn das betroffene Unternehmen nach Treu und Glauben Anstrengungen unternommen hätte, um HIPAA einzuhalten. Die Strafen liegen zwischen 100 und 50.000 US-Dollar.
  • Rang 2: Das betroffene Unternehmen war sich des Verstoßes bewusst, dieser war jedoch nicht vermeidbar, da er sich nach Treu und Glauben bemühte, HIPAA einzuhalten. Die Strafen liegen zwischen 1.000 und 50.000 US-Dollar.
  • Stufe 3: Der Verstoß erfolgte aufgrund einer „vorsätzlichen Missachtung“ der HIPAA-Regeln, die das betroffene Unternehmen zu korrigieren versuchte. Die Strafen liegen zwischen 10.000 und 50.000 US-Dollar.
  • Stufe 4: Der Verstoß erfolgte aufgrund „vorsätzlicher Fahrlässigkeit“, die das betroffene Unternehmen nicht zu korrigieren versuchte. Die Strafen beginnen bei 50.000 US-Dollar.

Die meisten HIPAA-Verstöße beinhalten die absichtliche oder unbeabsichtigte Verletzung von PHI. Zu den häufigsten HIPAA-Verstößen gehören:

  • Verlorenes oder gestohlenes Gerät
  • Ransomware und andere Malware
  • Kompromittierte Benutzeranmeldeinformationen
  • Versehentliche Datenweitergabe per E-Mail, sozialen Medien usw.
  • Einbruch ins Büro
  • Verstoß gegen elektronische Gesundheitsakten (EHR)

HIPAA-Compliance-Checkliste

Das Erreichen der HIPAA- Compliance ist ein mehrstufiger Prozess. Zu den wichtigsten Schritten gehören:

  1. Bestimmen Sie Ihre Compliance-Verpflichtungen: Wie bereits erwähnt, gilt HIPAA für betroffene Unternehmen und – über sie – ihre Geschäftspartner. Im Rahmen des HIPAA werden als abgedeckte Unternehmen Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen definiert. Ihre Geschäftspartner sind alle Organisationen, mit denen sie PHI teilen. 
  2. Lernen Sie die HIPAA-Regeln kennen: Die HIPAA-Datenschutz- und Sicherheitsregeln definieren die Verantwortlichkeiten eines abgedeckten Unternehmens oder Geschäftspartners gemäß HIPAA. Das Verständnis der erforderlichen Kontrollen, Richtlinien und Prozesse ist für die Erreichung und Aufrechterhaltung der Compliance von entscheidender Bedeutung. 
  3. Identifizieren Sie den Umfang der Compliance: HHS definiert achtzehn Arten von Daten, die als PHI gelten und gemäß HIPAA geschützt werden müssen. Die Identifizierung, wo diese Arten von Daten in der IT-Umgebung einer Organisation gespeichert, verarbeitet und übertragen werden, ist für die Bestimmung, welche Systeme und Mitarbeiter den HIPAA-Vorgaben unterliegen, von entscheidender Bedeutung. 
  4. Perform a Gap Assessment: Eine Organisation verfügt möglicherweise über einige der erforderlichen HIPAA-Kontrollen, andere fehlen jedoch möglicherweise. Eine Lückenbewertung im Hinblick auf die HIPAA-Anforderungen ist erforderlich, um festzustellen, wo das Unternehmen die Compliance-Anforderungen nicht erfüllt. 
  5. Fehlende Steuerelemente bereitstellen: Eine Lückenbewertung kann Stellen identifizieren, an denen die Organisation derzeit nicht konform ist. Nachdem Sie diese Lücken identifiziert haben, entwickeln und implementieren Sie eine Strategie zum Schließen der Lücken. 
  6. Erforderliche Dokumentation erstellen: HIPAA verlangt, dass betroffene Unternehmen über bestimmte dokumentierte Richtlinien und Prozesse verfügen. Wenn Prozesse fehlen oder nicht dokumentiert sind, erstellen Sie die erforderlichen Dokumente. 
  7. Bereiten Sie sich auf Compliance-Audits vor: Um ein Compliance-Audit zu bestehen, muss man einem Prüfer nachweisen können, dass die Sicherheitskontrollen, -prozesse und -verfahren einer Organisation den Anforderungen der Verordnung entsprechen. Entwickeln Sie einen Plan für die Durchführung des Audits und sammeln Sie vor dem Audit alle erforderlichen Daten und Berichte.

Wie Check Point helfen kann

Das Hauptziel von HIPAA besteht darin, die PHI zu schützen, die den abgedeckten Unternehmen und ihren Geschäftspartnern anvertraut werden. Die HIPAA-Datenschutz- und Sicherheitsregeln schreiben vor, dass Organisationen den Zugriff auf PHI kontrollieren und überwachen und diese vor unbefugtem Zugriff schützen.

Check Point bietet eine Vielzahl von Lösungen, die helfen Gesundheitsdienstleister und andere Organisationen, um Compliance von HIPAA und anderen Vorschriften zu erreichen. Check Point CloudGuard führt durch Compliance-Überwachung, Datenerfassung und Berichtserstellung für Cloud-basierte Umgebungen. Wenn Sie mehr über das Erreichen von Cloud-Compliance mit CloudGuard erfahren möchten, sind Sie herzlich willkommen Melden Sie sich für eine kostenlose Demo an.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK