Starke Passwörter für die HIPAA-Konformität

Die Gesundheitsdaten von Patienten sind von Natur aus sensibel und gesetzlich geschützt. Dieser Standard gilt für jedes Tool, das damit in Berührung kommt, einschließlich Passwort-Managern.

Die meisten Passwort-Manager sind zwar HIPAA-konform, aber NordPass geht noch einen Schritt weiter. Durch die Unterzeichnung eines HIPAA Business Associate Agreement (BAA) mit berechtigten Kunden helfen wir Ihnen, Sicherheitsüberprüfungen von Anbietern schneller zu bestehen und Anmeldedaten für geschützte Gesundheitsdaten (Protected Health Information, PHI) mit vollständiger vertraglicher Absicherung zu speichern.

HIPAA steht für Health Insurance Portability and Accountability Act (Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz), eine im Jahr 1996 zum Schutz der Vertraulichkeit und Sicherheit von Patientendaten in Kraft getretene, wegweisende Gesetzgebung. Die HIPAA-Compliance stellt den Schutz vertraulicher Patientendaten (oder geschützter Gesundheitsdaten) vor Datenschutzverletzungen, interner falscher Handhabung oder Datenlecks durch Gesundheitsunternehmen bzw. Gesundheitsorganisationen sicher.

Geschützte Gesundheitsdaten umfassen sämtliche personenbezogenen Daten, die der Identifizierung eines Patienten oder eines anderen Kunden solch einer Institution dienen könnten. Solche Daten reichen von Telefonnummern bis hin zu echten Krankenakten. Ein umfassendes Verständnis der HIPAA-Compliance-Anforderungen ist für Gesundheitsdienstleister, Versicherer sowie Unternehmen, die mit der Handhabung von Patientendaten betraut sind, unabdingbar, da eine Missachtung dieser HIPAA-Anforderungen in hohen Bußgeldern, juristischen Schwierigkeiten sowie einem öffentlichen Vertrauensverlust resultieren kann.

Die HIPAA-Compliance gilt für zwei Arten von Einrichtungen: den Regelungen unterliegende Stellen und deren Geschäftspartner. Den Regelungen unterliegende Stellen sind alle Einrichtungen, die mit Gesundheitsdaten arbeiten, z. B. Gesundheitsdienstleister und Krankenkassen. Geschäftspartner sind Unternehmen, die Dienstleistungen für die den Regelungen unterliegenden Stellen erbringen. Dabei kann es sich um App-Entwickler, Anbieter von IT-Infrastruktur, Drittunternehmer, Sicherheitsunternehmen, Caterer usw. handeln. Dies kann jedes Unternehmen betreffen, das mit einer den Regelungen unterliegenden Stelle und geschützten Gesundheitsdaten geschäftlich zu tun hat.

Beispielsweise ist ein IT-Unternehmen zu HIPAA-Compliance verpflichtet, das einen Datei-Manager entwickelt, mit dem Krankenhäuser auf geschützte Gesundheitsdaten zugreifen. Andernfalls würde jedes Krankenhaus, welches auf eine solche Anwendung zurückgreift, die Verletzung der HIPAA-Gesetzgebung riskieren. Jede App, die geschützte Gesundheitsdaten verarbeitet, muss die HIPAA-Vorschriften einhalten und die erforderliche Verschlüsselung sowie andere Sicherheitsmaßnahmen gewährleisten.

Unternehmen, die nachweislich HIPAA-konform agieren, können eine entsprechende HIPAA-Zertifizierung erhalten. Meistens müssen sich an einer solchen Zertifizierung interessierte Unternehmen dazu einer Überprüfung durch externe Auditoren unterziehen. Hierbei sei jedoch angemerkt, dass Gesundheitsdienstleister gemäß dem Ministerium für Gesundheitspflege und soziale Dienste der Vereinigten Staaten nicht zum Erhalt dieser Zertifizierung verpflichtet sind.

Die Anforderungen zur HIPAA-Compliance fallen unter zwei Themen: anwendbar und erforderlich. Letzteres bedeutet, dass die Bestimmung von allen Unternehmen strikt befolgt werden muss. Die andere Kategorie ermöglicht eine gewisse Flexibilität bei der Anwendung, oder sie kann für einige Unternehmen nicht anwendbar sein. Die erforderlichen HIPAA-Vorschriften sind:

1. Implementierung und Möglichkeiten der Zugriffskontrolle. Jedem Nutzer muss ein separater, geschützter Zugriff gewährt werden.

2. Einführung von Aktivitätsaufzeichnungen und Audit-Kontrollen. Das Unternehmen sollte die Art und Weise der Nutzung von Daten nachverfolgen und Änderungsprotokolle führen.

3. Richtlinien zur Nutzung/Positionierung von Workstations. Ein Unternehmen muss für die sorgfältige Überwachung von Workstations sowie eingeschränkten Zugriff auf diese sorgen.

4. Richtlinien und Verfahren für Mobilgeräte. Unternehmen müssen ein Konzept verfolgen, wie geschützte Gesundheitsinformationen von Mobilgeräten entfernt werden können, wenn Mitarbeitende diese nicht mehr verwenden.

5. Durchführung von Risikobewertungen. Das Unternehmen muss Risiken sowie Gefahrenbereiche beim Umgang mit geschützten Gesundheitsdaten identifizieren.

6. Implementierung einer Risikomanagement-Richtlinie. Ein Unternehmen muss Richtlinien und Maßnahmen zur Minderung solcher Risiken implementieren.

7. Entwicklung eines Notfallplans. Ein den Regelungen unterliegendes Unternehmen hat für die Sicherheit geschützter Gesundheitsdaten zu sorgen und muss im Notfall eingreifen können.

8. Einschränkung des Zugriffs von Dritten. Unbefugte Dritte dürfen keinen Zugriff auf die Daten haben.

Einfach ausgedrückt handelt es sich bei einer HIPAA-Verletzung um jegliche Missachtung des für ein Unternehmen geltenden Compliance-Programms, die die Integrität geschützter Gesundheitsdaten in physischer bzw. digitaler Form betrifft. Nicht alle Datenlecks stellen jedoch HIPAA-Verletzungen dar. Sind für das Unternehmen nicht vorhersehbare Faktoren höherer Gewalt die Ursache solcher Datenschutzverletzungen, werden diese unter Umständen nicht als Verletzung gewertet. Die Unterlassung entsprechender Berichterstattung ist jedoch unzulässig.

Ein Datenleck wird dann zu einer HIPAA-Verletzung, wenn dieses Datenleck auf ein ineffektives, unvollständiges oder veraltetes HIPAA-Compliance-Programm zurückzuführen ist. Beispiele von HIPAA-Verletzungen umfassen unerlaubten Zugriff auf Patienteninformationen, unzulässige Entsorgung geschützter Gesundheitsdaten sowie unzureichende Sicherheitsmaßnahmen.

Eine Gesundheitseinrichtung, bei der es zu einem erheblichen Verstoß gekommen ist, der mehr als 500 Personen betrifft, muss dies innerhalb von 60 Tagen melden. Geringfügige Verstöße (die weniger als 500 Personen betreffen) können einmal im Jahr gemeldet werden. Darüber hinaus muss eine solche Einrichtung betroffene Patienten auch individuell informieren.

Die Höhe der Bußgelder im Falle einer Nichteinhaltung von HIPAA-Anforderungen liegt zwischen 100 und 50.000 US-Dollar pro Zwischenfall, je nach Grad der Fahrlässigkeit. Sollte sich herausstellen, dass sich das Unternehmen hinsichtlich HIPAA-Compliance nicht „in Treu und Glauben bemüht“, können die Bußgelder noch wesentlich höher ausfallen. Mit über 40 Millionen US-Dollar an gezahlten Bußgeldern seit 2016 ist HIPAA-Compliance ein integraler Bestandteil für jene Unternehmen, die mit geschützten Gesundheitsdaten zu tun haben.

HIPAA-Verletzungen sind auf den falschen Umgang mit den obigen Anforderungen zurückzuführen. So kann jemand bspw. ein Gerät verlieren, sich unerlaubten Zugriff verschaffen oder versehentlich Malware installieren.

Die HIPAA-Datenschutzrichtlinie wahrt die Privatsphäre von Patienten sowie deren Recht auf Erhalt geschützter Gesundheitsdaten. Sie überwacht Sicherheitsmaßnahmen zur Wahrung von Privatsphäre und legt Bedingungen fest, zu denen ein Unternehmen Daten ohne Einwilligung des Patienten offenlegen kann.

Patienten können zudem geschützte Gesundheitsdaten erhalten und bei Bedarf Änderungen an diesen erbitten. Ein Unternehmen sollte innerhalb von 30 Tagen nach einer Patientenanfrage auf diese reagieren. Falls Patientendaten Marketing-, Fundraising- oder Forschungszwecken dienen sollen, muss der Patient eine entsprechende schriftliche Genehmigung erteilen.

Hier sind einige Online-Sicherheitstipps zum Umgang mit privaten Patientendaten:

• Verwenden Sie ein VPN zur Verschlüsselung des Datenverkehrs Ihrer Organisation. Dies ist dann besonders wichtig, wenn sich Daten auf dem Übertragungswege befinden und von Unbefugten abgegriffen werden können.

• Verschlüsseln Sie Dateien mit den geschützten Gesundheitsdaten, damit diese im Falle eines Datenlecks nicht zugänglich sind.

• Implementieren Sie die automatische Abmeldung, falls ein Nutzer ein Gerät unbeaufsichtigt lässt.

• Bieten Sie Ihren Mitarbeitenden regelmäßige Sicherheitsschulungen an.

• Führen Sie stets Backups Ihrer Daten durch.

• Nutzen Sie sichere Messaging-Apps, die über Ende-zu-Ende-Verschlüsselung und Perfect Forward Secrecy verfügen.

• Führen Sie regelmäßige Updates der Sicherheitssoftware Ihres Unternehmens durch.

• Sorgen Sie dafür, dass Ihre Mitarbeitenden Maßnahmen zur Vermeidung von Malware ergreifen. Sie sollten unbekannte Apps löschen, keine Downloads von verdächtigen Websites tätigen oder verdächtige Links, Anhänge oder Nachrichten öffnen.

• Achten Sie im Zweifelsfall immer darauf, dass Sie und Ihre Mitarbeitenden die Daten mit der richtigen Person teilen, indem diese über andere Kommunikationskanäle nochmals überprüft werden.

• Nutzen Sie sichere und verschlüsselte E-Mail-Dienste.

• Nutzen Sie sichere Software, die den HIPAA-Richtlinien entspricht.

• Achten Sie stets darauf, sichere Passwörter zu verwenden, wenn Sie auf die Konten und Datenbanken Ihrer Organisation zugreifen.

Ein wesentlicher Aspekt der HIPAA-Compliance ist die Implementierung einer soliden und effektiven Datenschutzrichtlinie. Ein HIPAA-konformer Passwort-Manager wie bspw. NordPass bietet mehr Sicherheit, zentrale Kontrolle und eine höhere Mitarbeiterproduktivität und ist damit eine äußerst vorteilhafte Lösung für Unternehmen, die die HIPAA-Vorschriften einhalten müssen.

Durch die Bereitstellung von Verschlüsselungs- und Multi-Faktor-Authentifizierungsfunktionen kann ein Passwort-Manager das Risiko eines unbefugten Zugriffs auf geschützte Gesundheitsdaten minimieren. Dank zentralisierter Kontrolle über die Verwaltungsoberfläche von NordPass Business können Unternehmen zudem den Zugriff überwachen, Richtlinien zu sicheren Passwörtern durchsetzen und den Zugriff bei Bedarf entziehen, während der Compliance-Prozess vereinfacht wird. Ein HIPAA-Compliance-Passwort-Manager auf Geschäftsebene steigert darüber hinaus die Mitarbeiterproduktivität, da verschiedene Zugangsdaten nicht mehr im Kopf behalten werden müssen und das Risiko schwacher bzw. wiederholt verwendeter Passwörter gesenkt wird.

Die Nutzung eines HIPAA-konformen Passwort-Managers ist für im Gesundheitswesen tätige Unternehmen eine äußerst umsichtige Entscheidung. Durch effizienten Schutz sensibler Patienteninformationen unterstützt ein Passwort-Manager Unternehmen nicht nur bei der Einhaltung von Branchenvorschriften, sondern auch bei der Wahrung ihres guten Rufs und der Vermeidung von mit HIPAA-Verletzungen verbundener Kosten. Die Investition in einen HIPAA-konformen Passwort-Manager stellt einen wesentlichen Schritt zur Gewährleistung von Schutz und Privatsphäre gespeicherter Patientendaten dar.