Was ist der HIPAA-Compliance-Standard und wie kann man ihn einhalten?

Jede Organisation, die mit geschützten Gesundheitsinformationen in digitaler oder analoger Form arbeitet, muss den Health Insurance Portability and Accountability Act (HIPAA) einhalten. HIPAA-Strafen kosteten ein Unternehmen im Jahr 2021 mehr als 5 Millionen Dollar.

Die strikte Einhaltung des HIPAA-Compliance-Standards hilft, Datenverluste zu vermeiden und die damit verbundenen rechtlichen und finanziellen Folgen zu vermeiden. Unternehmen benötigen Sicherheitstools und -lösungen, um Datenverluste und Datenschutzverletzungen zu verhindern und HIPAA-geschützte Daten zu schützen.

Für Unternehmen, die an HIPAA gebunden sind, kann die Einhaltung der Vorschriften eine ziemlich schwierige Aufgabe sein. In diesem Artikel behandeln wir die grundlegenden Aspekte der HIPAA-Compliance-Standards und geben einige Leitlinien für eine effektive Einhaltung der Vorschriften.

Was ist HIPAA-Konformität?

Der Health Insurance Portability and Accountability Act legt in den gesamten USA nationale Standards für den Schutz sensibler Patientendaten fest und legt die Regeln zum Schutz der Privatsphäre und Sicherheit individuell identifizierbarer Gesundheitsinformationen fest.

Jedes Unternehmen, das geschützte Gesundheitsinformationen (PHI) verarbeitet, muss die HIPAA-Compliance-Standards einhalten. Diese Standards unterscheiden zwischen zwei Arten von Unternehmen, die mit PHI arbeiten: abgedeckte Unternehmen und Geschäftspartner:

• Abgedeckte Einheiten– alle Einheiten, die Behandlung, Zahlung und Gesundheitsversorgung anbieten.
• Geschäftspartner– alle Personen, die Zugriff auf Patienteninformationen haben, PHI als Dritte verarbeiten und Unterstützung bei der Behandlung, Zahlung oder im Betrieb leisten. Dazu gehören Subunternehmer wie Abrechnungsunternehmen, externe Berater, IT-Anbieter, Anwälte und Buchhalter.

Die Digitalisierung des Gesundheitswesens bringt neue Herausforderungen im Umgang mit sensiblen Patientendaten mit sich. Die meisten Abläufe im Gesundheitswesen sind heute computergestützt, darunter Systeme zur computergestützten Auftragserfassung (CPOE), elektronische Patientenakten (EHR) sowie Apotheken- und Laborsysteme. Daher ist ein System zum Schutz von PHI unerlässlich, um angesichts der Sicherheitsrisiken für Gesundheitsdaten einen sicheren Umgang mit diesen personenbezogenen Daten zu gewährleisten.

Empfohlene Ressource: KI-Cybersicherheit: KI-Systeme vor Cyberbedrohungen schützen.

Was ist ein HIPAA-Verstoß?

Jeder Verstoß gegen das Compliance-Programm einer Organisation, der die Integrität der PHI gefährdet, gilt als HIPAA-Verstoß.

Häufige HIPAA-Verstöße

Zwar handelt es sich nicht bei allen Datenschutzverletzungen um HIPAA-Verstöße, doch handelt es sich bei allen HIPAA-Verstößen um Sicherheitsverletzungen. Ein HIPAA-Verstoß resultiert aus einem ineffektiven, unvollständigen oder veralteten HIPAA-Compliance-Programm oder einem direkten Verstoß gegen die HIPAA-Compliance-Richtlinien des Unternehmens.

Wenn beispielsweise ein Mitarbeiter einen unverschlüsselten Firmenlaptop mit Zugriff auf medizinische Daten stiehlt oder verliert, gilt dies als Datenschutzverletzung. Wenn der Eigentümer des Laptops (das Unternehmen) keine Richtlinien hat, um zu verhindern, dass Firmenlaptops außer Haus gebracht werden, oder deren Verschlüsselung verlangt, liegt ein HIPAA-Verstoß vor.

Häufige HIPAA-Fehler

Unternehmen, die mit einer Datenschutzverletzung konfrontiert sind, müssen ein Protokoll namens HIPAA Breach Notification Rule befolgen. Dieses Protokoll unterscheidet sich je nach Ausmaß der Datenschutzverletzung. Die HIPAA Breach Notification Rule nennt zwei Arten von Verstößen:

• Geringfügige Datenschutzverletzung– Eine Datenschutzverletzung gilt als geringfügig, wenn sie bis zu 500 Personen pro Rechtsraum betrifft. Unternehmen, die von geringfügigen Datenschutzverletzungen betroffen sind, müssen diese einmal jährlich, 60 Tage vor Jahresende, melden. Darüber hinaus muss das Unternehmen die betroffenen Personen innerhalb von 60 Tagen nach Entdeckung der Datenschutzverletzung informieren.
• Bedeutsame Datenpanne– HSS betrachtet eine Datenpanne als bedeutsam, wenn sie mehr als 500 Personen in einem Bereich betrifft. Solche Verletzungen müssen schneller gemeldet werden, und zwar innerhalb von 60 Tagen nach Entdeckung der Datenpanne. Die betroffene Organisation muss die betroffenen Personen informieren, sobald die Datenpanne entdeckt wird. Das HSS veröffentlicht bedeutsame Datenpanne seit 2009 auf dem Breach Notification Portal.

HIPAA-Regeln

Der HIPAA-Standard enthält vier Hauptregeln: Die Datenschutzregeln und die Sicherheitsregeln sind die übergeordneten Regeln.

• HIPAA-Datenschutzbestimmungen– auch bekannt als „Standards for Privacy of Individually Identifiable Health Information“ (HIPAA). Diese Bestimmungen legen die Standards für den Schutz bestimmter Gesundheitsdaten wie Krankenakten fest und gelten für Krankenversicherungen, Gesundheitsclearingstellen und Gesundheitsdienstleister. Sie legen die Rechte von Patienten in Bezug auf ihre Gesundheitsdaten fest, einschließlich des Rechts auf Berichtigung und Erhalt einer Kopie ihrer Gesundheitsakten. Diese Bestimmungen gelten nur für betroffene Einrichtungen. Weitere in diesen Bestimmungen festgelegte Standards umfassen den Inhalt von Nutzungs- und Offenlegungsformularen sowie Hinweise zu Datenschutzpraktiken. Die Organisation muss diese regulatorischen Standards in ihren Richtlinien und Verfahren dokumentieren und alle Mitarbeiter jährlich in diesen Richtlinien und Verfahren schulen, wobei die Teilnahme zu dokumentieren ist.
• Die HIPAA-Sicherheitsregel legt die Sicherheitsstandards für die Speicherung, Übertragung und Handhabung geschützter Gesundheitsdaten fest. Dies gilt für alle betroffenen Unternehmen und Geschäftspartner. Diese Regel legt den Standard für die Integrität und Sicherheit von Informationen fest, einschließlich der erforderlichen physischen, administrativen und technischen Maßnahmen zur Einhaltung der Vorschriften. Wie die Datenschutzregel muss die Organisation diese Vorschriften in ihren eigenen HIPAA-Richtlinien und -Verfahren dokumentieren und ihre Mitarbeiter jährlich schulen.
• HIPAA-Meldepflicht bei Sicherheitsverletzungen: Diese Regel legt die Standards fest, die betroffene Unternehmen und Geschäftspartner im Falle einer Sicherheitsverletzung im Zusammenhang mit geschützten Gesundheitsdaten einhalten müssen. Organisationen müssen alle Verstöße melden, wobei je nach Schwere der Datenpanne oder des HIPAA-Verstoßes unterschiedliche Fristen gelten.
• HIPAA-Omnibus-Regel– ein Nachtrag zur HIPAA-Verordnung, der den Standard auf Geschäftspartner anwendet. Gemäß dieser Regel müssen Geschäftspartner HIPAA-konform sein. Sie beschreibt die Regeln für Business Associate Agreements (BAAs), d. h. Verträge, die zwischen einer abgedeckten Einheit und einem Geschäftspartner oder zwischen zwei Geschäftspartnern abgeschlossen werden, bevor PHI oder ePHI übertragen werden können.

Sieben Elemente eines effektiven HIPAA-Compliance-Programms

Das für die Einführung des HIPAA verantwortliche US-Gesundheitsministerium (HHS) hat die sieben Elemente eines effektiven Compliance-Programms entwickelt. Dieses Programm, das im Compliance-Schulungsleitfaden enthalten ist, beschreibt sieben Leitprinzipien zur Steuerung der Compliance-Bemühungen:

1. Schriftliche Richtlinien, Verfahren und Verhaltensstandards
2. Ernennung eines Compliance Officers und eines Compliance Committees
3. Durchführung effektiver Schulungen und Trainings mit allen Mitarbeitern mit Anwesenheitspflicht
4. Entwicklung effektiver Kommunikationswege
5. Durchführung interner Überwachung und Audits
6. Durchsetzung von Standards durch Protokolle und veröffentlichte Disziplinarrichtlinien
7. Ergreifen Sie umgehend Korrekturmaßnahmen bei festgestellten Verstößen

Diese Grundsätze sollten jedem Protokoll, jeder Richtlinie und jedem Verfahren zugrunde liegen, das die Organisation zur Einhaltung der HIPAA-Vorschriften entwickelt. Darüber hinaus verwenden Prüfer diese Richtlinien bei der Durchführung einer Untersuchung.

Abschluss

Die HIPAA-Konformität schützt die Daten der Benutzer und gewährleistet deren Privatsphäre und Sicherheit. Um diese Ziele zu erreichen, sollten Unternehmen eine Sicherheitskultur fördern. Schulungen und die Einführung von Sicherheitsbewusstseinsmaßnahmen unterstützen die Mitarbeiter bei der Integration bewährter Verfahren.

Unternehmen sollten ihre Netzwerkumgebung mit Sicherheitstools wie SIEM-Lösungen schützen. Software wie Firewalls und Endpoint Security können dazu beitragen, den Perimeter vor Angreifern zu schützen. Darüber hinaus sind Überwachung und Kontrolle des Datenzugriffs unerlässlich, um Insider-Bedrohungen zu verhindern. Angesichts zunehmender Datenschutzverletzungen ist die Einhaltung des HIPAA nicht nur eine Frage regulatorischer Anforderungen, sondern dient auch dem Schutz des Unternehmens und der Benutzer.