nordpass logo

Starke Passwörter für die HIPAA-Konformität

  • Stellen Sie einen sicheren Umgang mit sensiblen Gesundheitsinformationen sicher

Erklärung zur HIPAA-Konformität

Die Gesundheitsdaten von Patienten sind eine sensible und private Angelegenheit und erfordern daher einen besonders sorgfältigen Umgang. Aber glücklicherweise gibt es rechtliche Maßnahmen, um ihre Sicherheit zu gewährleisten. Im Folgenden erfahren Sie mehr über die HIPAA-Konformität und wie sie Ihrem Unternehmen helfen kann, den Gesundheitsdatenschutz zu gewährleisten.

Was ist die HIPAA-Konformität?

HIPAA steht für den „Health Insurance Portability and Accountability Act“ von 1996. Dieses Gesetz regelt die Sicherheit medizinischer Daten in den USA. Die HIPAA-Konformität stellt sicher, dass Unternehmen und Organisationen im Gesundheitswesen die privaten Daten der Patienten (oder geschützte Gesundheitsinformationen (PHI)) vor Datenschutzverletzungen, internen Fehlhandlungen oder Datenlecks schützen.

PHI umfasst alle personenbezogenen Daten, die einen Patienten oder einen anderen Kunden einer solchen Einrichtung identifizieren könnten. Das reicht von Telefonnummern bis hin zu den Krankenakten. HIPAA-Konformität bedeutet also, dass eine Einrichtung solche Informationen schützen muss, indem sie sicher damit umgeht und alle erforderlichen Sicherheitsmaßnahmen trifft. Bei Nichteinhaltung drohen empfindliche Strafen.

Wer braucht die HIPAA-Konformität?

Die HIPAA-Konformität gilt für zwei Arten von Einrichtungen: den Regelungen unterliegende Stellen und deren Geschäftspartner. Den Regelungen unterliegende Stellen sind alle Einrichtungen, die mit Gesundheitsdaten arbeiten, z. B. Gesundheitsdienstleister und Krankenkassen. Geschäftspartner sind Unternehmen, die Dienstleistungen für die den Regelungen unterliegenden Stellen erbringen. Dabei kann es sich um App-Entwickler, Anbieter von IT-Infrastruktur, Drittunternehmer, Sicherheitsunternehmen, Caterer usw. handeln. Dies kann jedes Unternehmen betreffen, das mit einer den Regelungen unterliegenden Einrichtung und PHI geschäftlich zu tun hat.

Beispielsweise muss ein IT-Unternehmen, das einen Dateimanager entwickelt, mit dem Krankenhäuser auf PHI zugreifen, HIPAA-konform sein. Andernfalls würde jedes Krankenhaus, das eine solche App verwendet, Gefahr laufen, gegen die HIPAA-Regeln zu verstoßen.hat, muss die HIPAA-Regeln befolgen und die erforderliche Verschlüsselung und andere Sicherheitsmaßnahmen sicherstellen Jede App, die Verbindungen zu PHI

Checkliste zur HIPAA-Konformität

Die Anforderungen zur HIPAA-Konformität fallen unter zwei Themen: anwendbar und erforderlich. Letzteres bedeutet, dass die Bestimmung von allen Organisationen strikt befolgt werden muss. Die andere Kategorie ermöglicht eine gewisse Flexibilität bei der Anwendung, oder sie kann für einige Organisationen nicht anwendbar sein. Die erforderlichen HIPAA-Vorschriften sind:

  1. Implementierung und Mittel zur Zugangskontrolle. Jeder Nutzer muss über einen separaten geschützten Zugang verfügen;

  2. Implementierung von Aktivitätsprotokollen und Auditkontrollen. Die Einrichtung muss verfolgen, wie die Daten verwendet werden und Aktivitätsprotokolle führen;

  3. Richtlinien für die Nutzung/Positionierung von Arbeitsplätzen. Eine Organisation muss die Arbeitsplätze sorgfältig überwachen und den Zugriff darauf einschränken;

  4. Richtlinien und Verfahren für Mobilgeräte. Eine Einrichtung muss einen Plan haben, wie man PHI von mobilen Geräten entfernt, wenn Mitarbeiter sie nicht mehr verwenden;

  5. Durchführung von Risikobewertungen. Die Einrichtung muss Risiken und anfällige Bereiche im Umgang mit PHI identifizieren;

  6. Erstellen einer Risikomanagement-Richtlinie. Eine Einrichtung muss über Richtlinien und Maßnahmen zur Minderung dieser Risiken verfügen;

  7. Entwicklung eines Notfallplans. Den Regelungen unterliegende Einrichtungen müssen die PHI schützen und im Notfall weiter handlungsfähig sein können;

  8. Einschränkung des Zugriffs von Dritten. Unbefugte Dritte dürfen keinen Zugriff auf die Daten haben.

HIPAA-Verstöße und Datenlecks

HIPAA-Verstöße resultieren aus der Nichteinhaltung der oben genannten Anforderungen. Zum Beispiel könnte jemand ein Gerät verlieren, unbefugten Zugriff ermöglichen, versehentlich Malware installieren usw.

Eine Gesundheitseinrichtung, bei der es zu einem erheblichen Verstoß gekommen ist, der mehr als 500 Personen betrifft, muss dies innerhalb von 60 Tagen melden. Geringfügige Verstöße (die weniger als 500 Personen betreffen) können einmal im Jahr gemeldet werden. Darüber hinaus muss eine solche Einrichtung betroffene Patienten auch individuell informieren.

Wenn ein Verstoß durch Faktoren höherer Gewalt verursacht wurde, die das Unternehmen nicht überwachen konnte, zählt das nicht notwendigerweise als Verstoß. Aber den Vorfall nicht zu melden zählt sehr wohl als Verstoß.

HIPAA-Datenschutz- und Sicherheitsregeln

Die HIPAA-Datenschutzregel schützt die Privatsphäre der Patienten und ihr Recht, PHI-Daten zu erhalten. Diese Regelung regelt die Sicherheitsmaßnahmen, um die Privatsphäre zu gewährleisten, und legt auch die Bedingungen fest, unter denen eine Einrichtung Daten ohne Zustimmung des Patienten offenlegen kann.

Patienten können auch PHI-Daten erhalten und bei Bedarf Änderungen beantragen. Eine Einrichtung muss innerhalb von 30 Tagen auf eine Patientenanfrage nach Daten antworten. Wenn sie Daten von jemandem für Marketing-, Spenden- oder Forschungszwecke nutzen möchte, muss der Patient eine schriftliche Einwilligung erteilen.

So schützen Sie die privaten medizinischen Daten

Hier sind einige Online-Sicherheitstipps zum Umgang mit privaten Patientendaten:

  • Verwenden Sie ein VPN, um den Datenverkehr Ihrer Einrichtung zu verschlüsseln. Das ist besonders wichtig, wenn die Daten übertragen werden und Schnüffelsoftware versuchen könnte, sie abzufangen;

  • Verschlüsseln Sie die PHI-Dateien, sodass sie im Falle einer Datenpanne nicht zugänglich sind;

  • Implementieren Sie die automatische Abmeldung, falls ein Benutzer ein Gerät unbeaufsichtigt lässt;

  • Veranstalten Sie regelmäßige Sicherheitsschulungen für Ihre Mitarbeiter;

  • Erstellen Sie immer ein Backup Ihrer Daten;

  • Verwenden Sie sichere Messaging-Apps mit End-to-End-Verschlüsselung und perfekter Geheimhaltung;

  • Aktualisieren Sie immer die Sicherheitssoftware Ihres Unternehmens;

  • Stellen Sie sicher, dass Ihre Mitarbeiter Vorsichtsmaßnahmen ergreifen, um Malware zu vermeiden. Die Mitarbeiter sollten Apps löschen, die sie nicht kennen, niemals etwas von verdächtigen Websites herunterladen oder verdächtige Links, Anhänge oder Nachrichten öffnen;

  • Stellen Sie im Zweifelsfall immer sicher, dass Sie und Ihre Mitarbeiter die Daten mit der richtigen Person teilen, indem Sie sie über andere Kommunikationsmittel überprüfen;

  • Nutzen Sie sichere und verschlüsselte E-Mail-Dienste;

  • Verwenden Sie sichere Software, die den HIPAA-Regeln entspricht.

  • Stellen Sie immer sicher, dass Sie sichere Passwörter verwenden, um auf die Konten und Datenbanken Ihres Unternehmens zuzugreifen.

Wir empfehlen Ihnen, sich mit einem Passwort-Manager an komplexe Passwörter zu erinnern. Testen Sie unseren sicheren und einfach zu bedienenden NordPass. Er verschlüsselt alle Ihre Passwörter und speichert sie in einem geschützten Tresor, so dass nur autorisierte Mitarbeiter darauf zugreifen können.