Starke Passwörter für die HIPAA-Konformität

Stellen Sie einen sicheren Umgang mit sensiblen Gesundheitsinformationen sicher

Erklärung zur HIPAA-Konformität

Gesundheitsdaten von Patienten stellen eine überaus sensible und vertrauliche Angelegenheit dar, deshalb ist gerade hier ein besonders vorsichtiger Umgang erforderlich. Zum Glück sorgen gesetzliche Maßnahmen für deren umfassende Sicherheit. Erfahren Sie unten mehr über HIPAA-Compliance und wie diese Ihrem Unternehmen beim Schutz von Gesundheitsdaten helfen kann.

Was ist die HIPAA-Konformität?

HIPAA steht für Health Insurance Portability and Accountability Act (Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz), eine im Jahr 1996 zum Schutz der Vertraulichkeit und Sicherheit von Patientendaten in Kraft getretene, wegweisende Gesetzgebung. HIPAA-Compliance stellt den Schutz vertraulicher Patientendaten (oder geschützter Gesundheitsdaten) vor Datenschutzverletzungen, interner falscher Handhabung oder Datenlecks durch Gesundheitsunternehmen bzw. Gesundheitsorganisationen sicher.

Geschützte Gesundheitsdaten umfassen sämtliche personenbezogenen Daten, die der Identifizierung eines Patienten oder eines anderen Kunden solch einer Institution dienen könnten. Solche Daten reichen von Telefonnummern bis hin zu echten Krankenakten. Ein umfassendes Verständnis der HIPAA-Compliance-Anforderungen ist für Gesundheitsdienstleister, Versicherer sowie Unternehmen, die mit der Handhabung von Patientendaten betraut sind, unabdingbar, da eine Missachtung dieser HIPAA-Anforderungen in hohen Bußgeldern, juristischen Schwierigkeiten sowie einem öffentlichen Vertrauensverlust resultieren kann.

Erfasste Unternehmen und Geschäftspartnervereinbarungen: Wer ist an HIPAA-Compliance gebunden?

Die HIPAA-Konformität gilt für zwei Arten von Einrichtungen: den Regelungen unterliegende Stellen und deren Geschäftspartner. Den Regelungen unterliegende Stellen sind alle Einrichtungen, die mit Gesundheitsdaten arbeiten, z. B. Gesundheitsdienstleister und Krankenkassen. Geschäftspartner sind Unternehmen, die Dienstleistungen für die den Regelungen unterliegenden Stellen erbringen. Dabei kann es sich um App-Entwickler, Anbieter von IT-Infrastruktur, Drittunternehmer, Sicherheitsunternehmen, Caterer usw. handeln. Dies kann jedes Unternehmen betreffen, das mit einer den Regelungen unterliegenden Einrichtung und PHI geschäftlich zu tun hat.

Beispielsweise ist ein IT-Unternehmen zu HIPAA-Compliance verpflichtet, das einen Datei-Manager entwickelt, mit dem Krankenhäuser auf geschützte Gesundheitsdaten zugreifen. Andernfalls würde jedes Krankenhaus, welches auf eine solche Anwendung zurückgreift, die Verletzung der HIPAA-Gesetzgebung riskieren. Jedwede Anwendung, die auf geschützte Gesundheitsdaten zugreifen kann, muss den HIPAA-Anforderungen genügen und die erforderlichen Verschlüsselungs- sowie andere Sicherheitsmaßnahmen gewährleisten.

Unternehmen, die nachweislich HIPAA-konform agieren, können eine entsprechende HIPAA-Zertifizierung erhalten. Meistens müssen sich an einer solchen Zertifizierung interessierte Unternehmen dazu einer Überprüfung durch externe Auditoren unterziehen. Hierbei sei jedoch angemerkt, dass Gesundheitsdienstleister gemäß dem Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten nicht zum Erhalt dieser Zertifizierung verpflichtet sind.

Checkliste zur HIPAA-Konformität

Die Anforderungen zur HIPAA-Konformität fallen unter zwei Themen: anwendbar und erforderlich. Letzteres bedeutet, dass die Bestimmung von allen Organisationen strikt befolgt werden muss. Die andere Kategorie ermöglicht eine gewisse Flexibilität bei der Anwendung, oder sie kann für einige Organisationen nicht anwendbar sein. Die erforderlichen HIPAA-Vorschriften sind:

  1. Implementierung und Möglichkeiten der Zugriffskontrolle. Jedem Nutzer muss ein separater, geschützter Zugriff gewährt werden.

  2. Einführung von Aktivitätsaufzeichnungen und Audit-Kontrollen. Das Unternehmen sollte die Art und Weise der Nutzung von Daten nachverfolgen und Änderungsprotokolle führen.

  3. Richtlinien zur Nutzung/Positionierung von Workstations. Ein Unternehmen muss für die sorgfältige Überwachung von Workstations sowie eingeschränkten Zugriff auf diese sorgen.

  4. Richtlinien und Verfahren für Mobilgeräte. Unternehmen müssen ein Konzept verfolgen, wie geschützte Gesundheitsinformationen von Mobilgeräten entfernt werden können, wenn Mitarbeiter diese nicht mehr verwenden.

  5. Durchführung von Risikobewertungen. Das Unternehmen muss Risiken sowie Gefahrenbereiche beim Umgang mit geschützten Gesundheitsdaten identifizieren.

  6. Implementierung einer Risikomanagement-Richtlinie. Ein Unternehmen muss Richtlinien und Maßnahmen zur Minderung solcher Risiken implementieren.

  7. Entwicklung eines Notfallplans. Ein erfasstes Unternehmen hat für die Sicherheit geschützter Gesundheitsdaten zu sorgen und muss im Notfall eingreifen können.

  8. Einschränkung des Zugriffs von Dritten. Unbefugte Dritte dürfen keinen Zugriff auf die Daten haben.

HIPAA-Verstöße und Datenlecks

Einfach ausgedrückt handelt es sich bei einer HIPAA-Verletzung um jegliche Missachtung des für ein Unternehmen geltenden Compliance-Programms, die die Integrität geschützter Gesundheitsdaten in physischer bzw. digitaler Form betrifft. Nicht alle Datenlecks stellen jedoch HIPAA-Verletzungen dar. Sind für das Unternehmen nicht vorhersehbare Faktoren höherer Gewalt die Ursache solcher Datenschutzverletzungen, werden diese unter Umständen nicht als Verletzung gewertet. Die Unterlassung entsprechender Berichterstattung ist jedoch unzulässig.

Ein Datenleck wird dann zu einer HIPAA-Verletzung, wenn dieses Datenleck auf ein ineffektives, unvollständiges oder veraltetes HIPAA-Compliance-Programm zurückzuführen ist. Beispiele von HIPAA-Verletzungen umfassen unerlaubten Zugriff auf Patienteninformationen, unzulässige Entsorgung geschützter Gesundheitsdaten sowie unzureichende Sicherheitsmaßnahmen.

Eine Gesundheitseinrichtung, bei der es zu einem erheblichen Verstoß gekommen ist, der mehr als 500 Personen betrifft, muss dies innerhalb von 60 Tagen melden. Geringfügige Verstöße (die weniger als 500 Personen betreffen) können einmal im Jahr gemeldet werden. Darüber hinaus muss eine solche Einrichtung betroffene Patienten auch individuell informieren.

Die Höhe der Bußgelder im Falle einer Nichteinhaltung von HIPAA-Anforderungen liegt zwischen 100 und 50.000 USD pro Zwischenfall, je nach Grad der Fahrlässigkeit. Sollte sich herausstellen, dass sich das Unternehmen hinsichtlich HIPAA-Compliance nicht „in Treu und Glauben bemüht“, können die Bußgelder noch wesentlich höher ausfallen. Mit über 40 Mio. USD an gezahlten Bußgeldern seit 2016 ist HIPAA-Compliance ein integraler Bestandteil für jene Unternehmen, die mit geschützten Gesundheitsdaten zu tun haben.

HIPAA-Verletzungen sind auf den falschen Umgang mit den obigen Anforderungen zurückzuführen. So kann jemand bspw. ein Gerät verlieren, sich unerlaubten Zugriff verschaffen oder versehentlich Malware installieren.

HIPAA-Datenschutz- und Sicherheitsregeln

Die HIPAA-Datenschutzrichtlinie wahrt die Privatsphäre von Patienten sowie deren Recht auf Erhalt geschützter Gesundheitsdaten. Sie überwacht Sicherheitsmaßnahmen zur Wahrung von Privatsphäre und legt Bedingungen fest, zu denen ein Unternehmen Daten ohne Einwilligung des Patienten offenlegen kann.

Patienten können zudem geschützte Gesundheitsdaten erhalten und bei Bedarf Änderungen an diesen erbitten. Ein Unternehmen sollte innerhalb von 30 Tagen nach einer Patientenanfrage auf diese reagieren. Falls Patientendaten Marketing-, Fundraising- oder Forschungszwecken dienen sollen, muss der Patient eine entsprechende schriftliche Genehmigung erteilen.

NordPass ist HIPAA-konform

NordPass ist ein HIPAA-konformer Passwort-Manager, der in Unternehmen höchste Datensicherheit gewährleistet und zugleich die Passwortverwaltung über sämtliche Unternehmensbereiche hinweg vereinfacht.

So schützen Sie die privaten medizinischen Daten

Hier sind einige Online-Sicherheitstipps zum Umgang mit privaten Patientendaten:

  • Nutzen Sie ein VPN zur Verschlüsselung des Datenverkehrs Ihres Unternehmens. Dies ist dann besonders wichtig, wenn sich Daten auf dem Übertragungswege befinden und von Unbefugten abgegriffen werden können.

  • Verschlüsseln Sie Dateien mit den geschützten Gesundheitsdaten, damit diese im Falle eines Datenlecks nicht zugänglich sind.

  • Implementieren Sie die automatische Abmeldung, falls ein Nutzer ein Gerät unbeaufsichtigt lässt.

  • Bieten Sie Ihren Mitarbeitern regelmäßige Sicherheitsschulungen an.

  • Führen Sie stets Backups Ihrer Daten durch.

  • Nutzen Sie sichere Messaging-Apps, die über Ende-zu-Ende-Verschlüsselung und Perfect Forward Secrecy verfügen.

  • Führen Sie regelmäßige Updates der Sicherheitssoftware Ihres Unternehmens durch.

  • Sorgen Sie dafür, dass Ihre Mitarbeiter Maßnahmen zur Vermeidung von Malware ergreifen. Sie sollten unbekannte Apps löschen, keine Downloads von verdächtigen Websites tätigen oder verdächtige Links, Anhänge oder Nachrichten öffnen.

  • Achten Sie im Zweifelsfall immer darauf, dass Sie und Ihre Mitarbeiter die Daten mit der richtigen Person teilen, indem diese über andere Kommunikationskanäle nochmals überprüft werden.

  • Nutzen Sie sichere und verschlüsselte E-Mail-Dienste.

  • Nutzen Sie sichere Software, die den HIPAA-Richtlinien genügt.

  • Sorgen Sie stets dafür, sichere Passwörter für den Zugriff auf die Konten und Datenbanken Ihres Unternehmens zu verwenden.

Sollte Ihr Unternehmen auf einen HIPAA-konformen Passwort-Manager zurückgreifen?

Ein wesentlicher Aspekt der HIPAA-Compliance ist die Implementierung einer soliden und effektiven Datenschutzrichtlinie. Ein HIPAA-konformer Passwort-Manager wie bspw. NordPass ist in der Lage, optimierte Sicherheit, zentralisierte Überwachung sowie gesteigerte Mitarbeiterproduktivität zu bieten, was ihn zur optimalen Lösung für Unternehmen macht, die HIPAA-Compliance sicherstellen müssen.

Durch Bereitstellung von Verschlüsselungs- und Multi-Faktor-Authentifizierungsfunktionen kann ein Passwort-Manager das Risiko unerlaubten Zugriffs auf geschützte Gesundheitsdaten minimieren. Dank zentralisierter Kontrolle über die Verwaltungsoberfläche von NordPass Business können Unternehmen zudem den Zugriff überwachen, Richtlinien zu sicheren Passwörtern durchsetzen und den Zugriff bei Bedarf entziehen, während der Compliance-Prozess vereinfacht wird. Ein HIPAA-Compliance-Passwort-Manager auf Geschäftsebene steigert darüber hinaus die Mitarbeiterproduktivität, da verschiedene Zugangsdaten nicht mehr im Kopf behalten werden müssen und das Risiko schwacher bzw. wiederholt verwendeter Passwörter gesenkt wird.

Die Nutzung eines HIPAA-konformen Passwort-Managers ist für im Gesundheitswesen tätige Unternehmen eine äußerst umsichtige Entscheidung. Durch effizienten Schutz sensibler Patienteninformationen unterstützt ein Passwort-Manager Unternehmen nicht nur bei der Einhaltung von Branchenvorschriften, sondern auch bei der Wahrung ihres guten Rufs und der Vermeidung von mit HIPAA-Verletzungen verbundener Kosten. Die Investition in einen HIPAA-konformen Passwort-Manager stellt einen wesentlichen Schritt zur Gewährleistung von Schutz und Privatsphäre gespeicherter Patientendaten dar.