9-Schritte-Checkliste zur HIPAA-Konformität

Was ist HIPAA?

HIPAA steht für Health Insurance Portability and Accountability Act, ein bedeutendes US-amerikanisches Gesetz aus dem Jahr 1996. Ursprünglich sollte es Einzelpersonen ermöglichen, ihren Krankenversicherungsschutz während Phasen der Arbeitslosigkeit oder bei einem Jobwechsel aufrechtzuerhalten. Das Gesetz entwickelte sich jedoch weiter und bietet heute einen umfassenden Rahmen für den Schutz und die Sicherheit von geschützten Gesundheitsdaten (PHI). (Leseempfehlung: KI-Cybersicherheit: KI-Systeme vor Cyberbedrohungen schützen)

HIPAA schreibt die Erstellung und Umsetzung nationaler Standards für elektronische Gesundheitstransaktionen und nationaler Kennungen für Leistungserbringer, Krankenversicherungen und Arbeitgeber vor. Im Kern stellt HIPAA sicher, dass die Gesundheitsdaten einer Person angemessen geschützt sind und gleichzeitig der Datenfluss ermöglicht wird, der für eine qualitativ hochwertige Gesundheitsversorgung und den Schutz der öffentlichen Gesundheit und des Wohlbefindens erforderlich ist.

Die Bestimmungen des Gesetzes sind umfassend und umfassen die Verwendung und Offenlegung persönlicher Gesundheitsdaten (sogenannte „geschützte Gesundheitsdaten“ oder PHI), die für Gesundheitsdienstleister, Krankenkassen und andere Einrichtungen, die Gesundheitsdaten verarbeiten, von entscheidender Bedeutung sind. Darüber hinaus gewährt es Patienten wichtige Rechte in Bezug auf ihre Gesundheitsdaten, darunter das Recht, ihre Gesundheitsakten einzusehen, eine Kopie davon zu erhalten und Korrekturen zu verlangen.

Die Bestimmungen des Gesetzes zielen darauf ab, ein Gleichgewicht zwischen dem Schutz der Privatsphäre des Einzelnen und der Bereitstellung notwendiger Informationen für die Gesundheitsversorgung zu schaffen. Die Einhaltung wird vom Gesundheitsministerium überwacht und vom Amt für Bürgerrechte durchgesetzt.

Wer muss HIPAA einhalten?

Die HIPAA-Konformität ist nicht nur Krankenhäusern oder großen Gesundheitssystemen vorbehalten. Jede Organisation, die mit geschützten Gesundheitsinformationen (PHI) arbeitet, muss HIPAA einhalten. Dazu gehören kleine Privatpraxen, Krankenkassen und sogar Drittanbieter, die Dienstleistungen für diese Einrichtungen erbringen.

Zu den abgedeckten Einheiten im Sinne des HIPAA gehören Krankenversicherungen, Clearingstellen im Gesundheitswesen und Gesundheitsdienstleister, die Gesundheitsinformationen elektronisch übermitteln. Sie tragen die Hauptverantwortung für die Einhaltung des HIPAA. Das bedeutet, dass sie Maßnahmen zum Schutz geschützter Gesundheitsdaten ergreifen, Einzelpersonen über ihre Datenschutzpraktiken informieren und geschützte Gesundheitsdaten nur im gesetzlich zulässigen Umfang weitergeben müssen.

Auch „Geschäftspartner“ unterliegen der HIPAA-Konformität. Dabei handelt es sich um alle Organisationen oder Personen, die mit einer betroffenen Einheit zusammenarbeiten und mit geschützten Gesundheitsdaten (PHI) umgehen. Das Spektrum reicht vom Abrechnungsunternehmen bis zum Cloud-Speicheranbieter. Genau wie die betroffenen Einheiten müssen auch Geschäftspartner Sicherheitsvorkehrungen zum Schutz geschützter Gesundheitsdaten treffen und haften für etwaige Verstöße gegen diese Daten.

Worauf bezieht sich die HITECH-Novelle?

Der Health Information Technology for Economic and Clinical Health (HITECH) Act von 2009 wurde als Teil des American Recovery and Reinvestment Act erlassen. Die HITECH-Änderung erweitert den Umfang der Datenschutz- und Sicherheitsbestimmungen des HIPAA. Sie verschärft zudem die Strafen für Gesundheitsorganisationen, die gegen die Datenschutz- und Sicherheitsbestimmungen des HIPAA verstoßen.

Der HITECH Act fördert zudem die Einführung und sinnvolle Nutzung von Gesundheitsinformationstechnologie. Er hat der Entwicklung elektronischer Patientenakten und der Gesundheits-IT einen deutlichen Schub verliehen. Die Änderung gilt für alle Einrichtungen wie HIPAA und hat die möglichen rechtlichen und finanziellen Strafen bei Nichteinhaltung erhöht.

Die Bestimmungen des HITECH Act sind umfangreich und erfordern von den betroffenen Unternehmen eine Anpassung ihrer Vereinbarungen, Verfahren, Schulungen und Kommunikation. Eine der wichtigsten Änderungen im Rahmen des HITECH Act ist die Ausweitung der vollständigen HIPAA-Konformitätsanforderungen auf Geschäftspartner.

Eine 9-stufige HIPAA-Compliance-Checkliste

Hier finden Sie eine kurze Checkliste, die Ihnen bei den ersten Schritten zur HIPAA-Konformität helfen kann. Unsere Checkliste ist nicht vollständig, deckt aber die wichtigsten Punkte ab, auf die Sie sich vorbereiten sollten.

1. Verstehen Sie die drei HIPAA-Regeln

Ein zentraler Bestandteil der HIPAA-Konformität sind die drei HIPAA-Regeln: die Datenschutzregel, die Sicherheitsregel und die Regel zur Benachrichtigung bei Verstößen:

• Die Datenschutzbestimmungen legen nationale Standards für den Schutz bestimmter Gesundheitsinformationen fest. Sie regeln die Verwendung und Weitergabe dieser Informationen und gewähren Patienten bestimmte Rechte an ihren Gesundheitsinformationen. Das Verständnis der Anwendung dieser Bestimmungen ist entscheidend für die Einhaltung der Vorschriften durch Ihr Unternehmen.
• Die Sicherheitsregel legt Standards für den Schutz von Gesundheitsinformationen fest, die in elektronischer Form gespeichert oder übertragen werden. Sie legt eine Reihe administrativer, physischer und technischer Sicherheitsvorkehrungen fest, die Unternehmen treffen müssen, um die Vertraulichkeit, Integrität und Verfügbarkeit elektronisch geschützter Gesundheitsinformationen zu gewährleisten.
• Die Breach Notification Rule verpflichtet HIPAA-Unternehmen und ihre Geschäftspartner, bei einer Verletzung ungesicherter, geschützter Gesundheitsdaten eine Benachrichtigung zu veranlassen. Die Benachrichtigung muss ohne unangemessene Verzögerung und spätestens 60 Tage nach Entdeckung der Verletzung erfolgen.

2. Finden Sie heraus, welche Regeln für Ihre Organisation gelten

Abgedeckte Einrichtungen, zu denen Krankenversicherungen, Clearingstellen im Gesundheitswesen und bestimmte Gesundheitsdienstleister gehören, unterliegen direkt dem HIPAA. Diese Organisationen müssen alle HIPAA-Regeln einhalten, sofern keine spezifische Ausnahme gilt.

Geschäftspartner hingegen müssen lediglich bestimmte Bestimmungen der HIPAA-Regeln einhalten. Dazu gehören Unternehmen, die im Auftrag eines abgedeckten Unternehmens Funktionen oder Aktivitäten ausführen oder bestimmte Dienste für dieses Unternehmen erbringen, die den Zugriff auf geschützte Gesundheitsinformationen oder deren Verwendung oder Offenlegung beinhalten.

3. Führen Sie eine Risikoanalyse durch

Der letzte Schritt bei der Erstellung einer HIPAA-Compliance-Checkliste ist die Durchführung einer Risikoanalyse. Dabei identifizieren Sie potenzielle Bedrohungen und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit elektronisch geschützter Gesundheitsinformationen.

Die Risikoanalyse sollte eine Bewertung der Wahrscheinlichkeit und der Auswirkungen potenzieller Risiken für ePHI, die Umsetzung geeigneter Sicherheitsmaßnahmen zur Bewältigung dieser Risiken, die Dokumentation der gewählten Sicherheitsmaßnahmen und, falls erforderlich, die Begründung für die Einführung dieser Maßnahmen umfassen.

4. Zugang zu Einrichtungen und Kontrollmaßnahmen

Dieser Schritt stellt sicher, dass nur autorisiertes Personal Zugriff auf geschützte Gesundheitsinformationen (PHI) hat. Dies kann physische Sicherheitsmaßnahmen wie Schlüsselkartenzugang, sichere Speicherbereiche für Patientenakten und Überwachungssysteme umfassen. Dazu gehören auch digitale Sicherheitsmaßnahmen wie sichere Netzwerke, verschlüsselte Datenspeicherung und robuste Firewalls.

Ein effektives Besuchermanagementsystem ist ein wesentlicher Bestandteil der Zugangskontrolle. Besucher sollten sich an- und abmelden und innerhalb der Einrichtung jederzeit begleitet werden. Diese Maßnahme stellt außerdem sicher, dass Unbefugte nicht in den Besitz von geschützten Gesundheitsdaten gelangen.

5. Technische Sicherheitsvorkehrungen und Zugriffskontrollen für elektronisch geschützte Gesundheitsinformationen (EPHI)

Die HIPAA-Sicherheitsregel verpflichtet die betroffenen Unternehmen zur Implementierung technischer Sicherheitsvorkehrungen zum Schutz von EPHI. Diese Sicherheitsvorkehrungen sollten nur autorisierten Personen den Zugriff auf elektronisch geschützte Gesundheitsinformationen ermöglichen.

Die Zugriffskontrollmaßnahmen müssen eine eindeutige Benutzeridentifizierung (Zuweisung eines eindeutigen Namens und/oder einer Nummer zur Identifizierung und Verfolgung der Benutzeridentität), ein Notfallzugriffsverfahren, eine automatische Abmeldung sowie eine Ver- und Entschlüsselung umfassen.

6. Verschlüsselung umfassend implementieren

Verschlüsselung ist ein weiterer wesentlicher Aspekt der HIPAA-Konformität. Die HIPAA-Sicherheitsregel betrachtet Verschlüsselung als adressierbare Implementierungsspezifikation. Das bedeutet: Wenn das Unternehmen entscheidet, dass die Spezifikation nicht sinnvoll und angemessen ist, muss es den Grund dokumentieren und eine gleichwertige Alternativmaßnahme implementieren.

Betroffene Unternehmen und Geschäftspartner sollten für die Übertragung von EPHI, insbesondere über das Internet, Verschlüsselungstechnologie verwenden. Mit fortschreitender Technologie wird die Verschlüsselung zur Standardmethode für die Sicherung von EPHI.

7. Legen Sie eine Sanktionsrichtlinie für Verstöße fest

Eine Sanktionsrichtlinie beschreibt die Konsequenzen für Mitarbeiter, die die HIPAA-Vorschriften nicht einhalten. Sie ist entscheidend, um potenzielle Verstöße zu verhindern und das Engagement Ihres Unternehmens für Datenschutz und Sicherheit zu demonstrieren. Hier sind die wichtigsten Schritte zur Erstellung und Durchsetzung einer Sanktionsrichtlinie:

• Definieren Sie, was einen Verstoß darstellt: Dies kann vom unbefugten Zugriff auf Patienteninformationen über die mangelnde Sicherung von Patientenakten bis hin zur unbefugten Weitergabe geschützter Gesundheitsdaten reichen. Um Unklarheiten zu vermeiden, ist es wichtig, Verstöße präzise und klar zu definieren.
• Definieren Sie die Konsequenzen von Verstößen: Diese können disziplinarische Maßnahmen wie schriftliche Verwarnungen, Suspendierungen oder sogar Kündigungen umfassen. Die Schwere der Sanktion sollte der Schwere des Verstoßes entsprechen.
• Kommunizieren Sie die Richtlinie an alle Mitarbeiter: Sie sollten sich der möglichen Konsequenzen einer Nichteinhaltung bewusst sein und es sollte klargestellt werden, dass die Richtlinie konsequent durchgesetzt wird.

8. Ein Incident Response Team einrichten

Ein HIPAA-Incident-Response-Team ist dafür verantwortlich, auf mögliche Verstöße gegen den Schutz personenbezogener Daten zu reagieren, den Vorfall zu untersuchen und Korrekturmaßnahmen zu ergreifen. Die folgenden Schritte helfen Ihnen beim Aufbau eines Incident-Response-Teams, um die HIPAA-Anforderungen zu erfüllen:

• Bestimmen Sie die Mitglieder des Teams: Dazu gehören in der Regel Mitarbeiter aus der IT-Abteilung, dem Management, der Rechtsabteilung und der Personalabteilung. Diese Personen sollten über das notwendige Wissen und die nötige Expertise verfügen, um einen potenziellen Verstoß effektiv zu bewältigen.
• Definieren Sie Rollen und Verantwortlichkeiten: Dazu können Aufgaben wie die Durchführung der ersten Untersuchung, die Benachrichtigung betroffener Personen, die Kontaktaufnahme mit den Strafverfolgungsbehörden oder die Umsetzung von Korrekturmaßnahmen gehören.
• Erstellen Sie einen Vorfallreaktionsplan: Der Plan sollte klar definieren, wie das Vorfallreaktionsteam Sicherheitsvorfälle identifizieren, eine erste Eindämmung des Vorfalls durchführen, den Vorfall beseitigen, den normalen Betrieb wiederherstellen und eine Nachuntersuchung des Vorfalls durchführen soll, um den Prozess zu verbessern.
• Führen Sie regelmäßig praktische Übungen durch, um sicherzustellen, dass Sie auf einen möglichen Verstoß vorbereitet sind. Diese Übungen können helfen, Lücken im Reaktionsplan zu identifizieren und sicherzustellen, dass jedes Teammitglied im Falle eines Verstoßes seine Rolle versteht.

9. Bieten Sie regelmäßige Schulungen zu HIPAA-Richtlinien und -Verfahren an

Die HIPAA-Schulung für Mitarbeiter sollte Themen wie die HIPAA-Grundlagen, die Identifizierung von PHI, die Bedeutung des Schutzes von PHI und die Folgen von Verstößen abdecken. Sie sollte auch spezifische Verfahren im Zusammenhang mit PHI behandeln, z. B. die sichere Speicherung, Übertragung und Entsorgung von PHI.

Es ist wichtig, alle Schulungen zu dokumentieren. Dazu gehören das Datum der Schulung, die behandelten Inhalte und die Teilnehmer. Diese Dokumentation kann im Falle einer Prüfung als Nachweis für die Einhaltung der HIPAA-Vorschriften durch Ihr Unternehmen dienen.

Schließlich sollte die Schulung keine einmalige Angelegenheit sein. Regelmäßige Auffrischungskurse sollten stattfinden, um sicherzustellen, dass die Mitarbeiter über die HIPAA-Anforderungen informiert bleiben. Dies bietet auch die Möglichkeit, die Mitarbeiter über Änderungen der HIPAA-Vorschriften oder internen Richtlinien zu informieren.

Weitere wichtige Überlegungen

Hier sind einige weitere wichtige Überlegungen, wenn Sie Ihre Organisation an die HIPAA-Anforderungen anpassen.

• Verfahren für den Notfallzugriff: Abgedeckte Einheiten und Geschäftspartner sollten über Richtlinien und Verfahren verfügen, die die Fortsetzung kritischer Geschäftsprozesse zum Schutz der Sicherheit von EPHI während des Betriebs im Notfallmodus ermöglichen.
• Automatische Abmeldung und andere Zugriffskontrollmaßnahmen: Die automatische Abmeldung ist eine technische Kontrolle, die eine elektronische Sitzung nach einer festgelegten Zeit der Inaktivität beendet. Diese Funktion kann in nahezu jedem Technologiesystem implementiert werden. Dies ist besonders wichtig, wenn das Informationssystem geschützte Gesundheitsdaten enthält.
• Eindeutige Kennungen für Entitäten und Anmeldeinformationen: Gemäß den HIPAA-Regeln muss jede abgedeckte Entität und jeder Geschäftspartner über eine eindeutige Kennung verfügen. Dadurch kann die abgedeckte Entität oder der Geschäftspartner bei Standardtransaktionen identifiziert werden. Die abgedeckte Entität oder der Geschäftspartner kann ihre Arbeitgeberidentifikationsnummer (EIN) als Kennung verwenden.
• Ursachenanalyse (RCA) und Nachbetrachtung: Die Nachbetrachtung und Prozessverbesserung ist ein proaktiver Ansatz, um zukünftige Sicherheitsverletzungen durch das Lernen aus vergangenen Sicherheitsverletzungen zu verhindern. RCA ist ein Prozess, bei dem die Faktoren, die die Sicherheitsverletzung verursacht haben, identifiziert und Maßnahmen ergriffen werden, um solche Ereignisse in Zukunft zu verhindern.

HIPAA-Konformität mit Exabeam

Die Nichteinhaltung des HIPAA kann zu hohen Bußgeldern durch OCR und anderen Konsequenzen führen. Wenn Patch-Management, Zugriffskontrollen und Überwachung nicht vollständig mit dem richtigen Lösungspaket implementiert sind, ist das Unternehmen anfällig für Ransomware und andere Angriffsvektoren, die die Patientenversorgung beeinträchtigen können.

Die KI-gesteuerte Telemetrie Exabeam Security Operations Platform kombiniert Protokolle mit Kontext, Sicherheitsinformationen und KI-Analysen, um anomale Verhaltensweisen zu identifizieren, die auf potenzielle Angriffe hinweisen. Vorgefertigte Dashboards erleichtern die Berichterstattung zur HIPAA-Compliance. Unabhängig davon, ob Sie ein Framework wie NIST oder MITRE ATT&CK ^verwenden, bietet Exabeam einen klaren Weg, um Ihre Compliance- und Governance-Anforderungen zu verfolgen – und gleichzeitig festzulegen, wie der Normalzustand in Ihrer Umgebung und für jede angemeldete Entität aussieht.

Die Funktion „Outcomes Navigator“ in der Exabeam Plattform bietet eine kontinuierliche Visualisierung und Einblicke in Ihre Erkennungsabdeckung und die vorgenommenen Verbesserungen. Sie liefert Vorschläge für Verbesserungen bei der Protokollanalyse und zeigt, welche Quellen und Erkennungen am effektivsten gegen welche Teile des ATT&CK-Frameworks sind und welche Anwendungsfälle am ehesten auf Netzwerkpenetration, Persistenz und laterale Bewegung hinweisen – alles Techniken, die von Angreifern verwendet werden, die HIPAA-Daten im Geltungsbereich exfiltrieren möchten.