• Home
  • Blog
  • Was ist die Einhaltung des HIPAA? Vollständige HIPAA-Checkliste und Leitfaden für 2022
  • Blog
  • Was ist die Einhaltung des HIPAA? Vollständige HIPAA-Checkliste und Leitfaden für 2022

Was ist die Einhaltung des HIPAA? Vollständige HIPAA-Checkliste und Leitfaden für 2022

HIPAA Bedeutung

HIPAA ist ein Akronym, das für den Health Insurance Portability and Accountability Act steht. Dieses US-Gesetz wurde entwickelt, um Datenschutzstandards zum Schutz der Krankenakten von Patienten zu schaffen. Gesundheitsinformationen, die Krankenkassen, Krankenhäusern, Gesundheitsdienstleistern und Ärzten zur Verfügung gestellt werden, sollten alle durch den HIPAA geschützt werden.

Was ist die Einhaltung des HIPAA?

Die Einhaltung des HIPAA (Health Insurance Portability and Accountability Act) erfordert die Einhaltung der im HIPAA beschriebenen physischen, administrativen und technischen Sicherheitsvorkehrungen.

Wie werden Sie HIPAA-konform?

Es gibt viele Dinge, die erreicht werden müssen, um HIPAA-konform zu werden. Seit der Verabschiedung von durch den 104. US-Kongress und der Unterzeichnung des Gesetzes durch Präsident Bill Clinton am 21. August 1996 gab es vier größere Änderungen:

  • Die Änderung der Sicherheitsbestimmungen (2003)
  • Die Änderung der Datenschutzbestimmungen (2003)
  • Die Regel zur Benachrichtigung bei Verstößen (2009)
  • Die endgültige Omnibus-Regelung (2013)
Unser Ziel ist es, die HIPAA-Compliance-Checkliste für 2022 durchzugehen, damit Sie sicherstellen können, dass Sie HIPAA-konform sind. Vergessen Sie nicht, sich unsere beste HIPAA-Compliance-Webhosts zum Hosten Ihrer Unternehmenswebsite.

Checkliste für die Einhaltung des HIPAA 2022: HIPAA-Vorschriften

Image Source: https://www.atlantic.net/

Technische Schutzmaßnahmen

  • Netzwerk-Verschlüsselung: Alle ePHI sollten den NIST-Verschlüsselungsstandards entsprechen, wenn sie über ein externes Netzwerk übertragen werden.
  • Kontrolle/Protokollierung des Zugangs: Jedem Benutzer muss ein zentral kontrollierter eindeutiger Benutzername und PIN-Code zugewiesen werden. Eine detaillierte Protokollierung ist erforderlich, um alle ePHI-Zugriffe (und -Versuche) zu verfolgen.
  • Automatische Abmeldung: Die Benutzer müssen nach einem bestimmten Zeitrahmen abgemeldet werden, der zwischen 30 Sekunden und 3 Minuten liegen sollte.

Physikalische Schutzmaßnahmen

  • Zugangskontrolle: Die Personen, die physischen Zugang zur Datenspeicherung haben, sollten sorgfältig überwacht werden. Es müssen angemessene Maßnahmen ergriffen werden, um unbefugtes Eindringen zu verhindern.
  • Verwaltung von Arbeitsplätzen: Es muss eine Richtlinie erstellt werden, die festlegt, welche Arbeitsstationen Zugang zu Gesundheitsdaten haben und welche nicht. Darin sollte beschrieben werden, wie ein Bildschirm vor Parteien und einer angemessenen Nutzung des Arbeitsplatzes geschützt werden sollte.
  • Schützen und verfolgen: Wenn ein mobiles Gerät von einem Benutzer verwendet und dann an einen anderen Benutzer weitergegeben wird, muss eine Richtlinie für mobile Geräte erstellt werden, die Daten entfernt, bevor das Gerät an einen anderen Benutzer weitergegeben wird.

Administrative Schutzmaßnahmen

  • Risikobewertungen: Für alle Gesundheitsdaten sollte eine umfassende Risikobewertung durchgeführt werden.
  • Personal schulen: Alle Mitarbeiter sollten in allen Protokollen für den Zugang zu ePHI geschult werden und wissen, wie sie potenzielle Bedrohungen der Cybersicherheit wie Phishing-Angriffe erkennen und einordnen können. Alle Schulungen sollten aufgezeichnet und aufbewahrt werden.
  • Schaffung von Eventualitäten: Die Kontinuität des Geschäftsbetriebs muss durch die Vorbereitung von Prozessen zur Sicherung der Daten gewährleistet werden.
  • Zugang sperren: Stellen Sie sicher, dass Unterauftragnehmer und andere Parteien keinen Zugang zu ePHI erhalten und diese nicht einsehen können. Mit allen Partnern sollten Geschäftsvereinbarungen unterzeichnet werden.
  • Dokumentieren Sie Sicherheitsvorfälle: Jeder Sicherheitsvorfall muss vom Personal erkannt werden, und das Personal muss Vorkommnisse melden.

HIPAA-Datenschutzregel

  • Beantwortung von Anfragen: Anträge von Patienten auf Zugang müssen innerhalb von 30 Tagen beantwortet werden.
  • Patienten informieren: Ein NPP ist verpflichtet, die Patienten über die Grundsätze der gemeinsamen Nutzung von Daten zu informieren.
  • Personal schulen: Alle Mitarbeiter sollten in Sachen Datenschutz geschult werden und wissen, was intern und extern weitergegeben werden kann und was nicht.
  • Integrität von ePHI: Es müssen geeignete Schritte unternommen werden, um die Integrität der ePHI und der individuellen persönlichen Identifikatoren der Patienten zu wahren.
  • Erlaubnis zur Verwendung von ePHI: Der Patient muss die Erlaubnis erteilen, geschwärzte ePHI für Forschung oder Marketing zu verwenden.
  • Formulare aktualisieren/kopieren: Die Genehmigungsformulare sollten Hinweise auf Änderungen bei der Behandlung von Schulimpfungen, auf die Einschränkung von ePHI im Hinblick auf die Schließung von Gesundheitsplänen und auf die Rechte der Patienten an ihren elektronischen Akten enthalten.

HIPAA-Bestimmungen zur Benachrichtigung bei Verstößen

  • Patienten benachrichtigen: Die Patienten und die Gesundheitsbehörde müssen über jede Verletzung von ePHI informiert werden. Wenn die Daten von mehr als 500 Personen betroffen sind, müssen die Medien informiert werden. Liegt die Zahl der Verstöße unter 500, muss ein Formular für kleine Hacks über die OCR-Website eingereicht werden. Alle Meldungen müssen innerhalb von 60 Tagen nach ihrer Entdeckung abgeschlossen sein.
  • 4 Elemente: Meldungen über Sicherheitsverletzungen müssen vier Elemente enthalten, darunter: Eine Beschreibung der ePHI und der persönlichen Identifikatoren, die von der Sicherheitsverletzung betroffen sind, wer sich unbefugt Zugang verschafft hat, ob Details eingesehen oder erworben wurden und inwieweit die Risikominderung erfolgreich gewesen ist.

HIPAA Omnibus-Regel

  • BAA aktualisieren: Sie müssen Ihre Business Associate Agreements (BAA) aktualisieren, um die Änderungen der Omnibus-Regel zu berücksichtigen.
  • Neue Exemplare versenden: Neue Exemplare der BAA sollten verschickt und unterschrieben werden, um die Vorschriften einzuhalten.
  • Aktualisierung der Datenschutzrichtlinien: Die Datenschutzrichtlinien müssen aktualisiert werden, um den Änderungen der Omnibus-Regelung Rechnung zu tragen.
  • Modernisierung der NPPS: Das HIPAA-Journal rät: “Die NPPs müssen aktualisiert werden, um die Arten von Informationen zu erfassen, die eine Genehmigung erfordern, sowie das Recht, die Korrespondenz zu Spendenzwecken abzulehnen, und sie müssen die neuen Anforderungen an die Benachrichtigung über Verstöße berücksichtigen.
  • Personal schulen: Das gesamte Personal muss durch eine gründliche Schulung mit der Omnibus-Regelung vertraut gemacht werden.

Die Gesundheitsdienste in den Vereinigten Staaten haben einige der strengsten Standardanforderungen weltweit. Elektronische Patienteninformationen (ePHI) sind durch das 1996 eingeführte Gesetz über die Übertragbarkeit von Krankenversicherungen (Health Insurance Portability and Accountability Act) geschützt. Der HIPAA und die nachfolgenden Änderungen der Security Rule und Privacy Rule sehen strenge Kontrollmaßnahmen für ePHI vor.

Die HIPAA-Gesetzgebung verlangt daher, dass vor dem Hosting von ePHI verschiedene physische, administrative und technische Sicherheitsvorkehrungen getroffen werden. Diese Maßnahmen haben dazu geführt, dass viele Fachleute des Gesundheitswesens IT-Dienste an HIPAA-konforme Hosting-Anbieter auslagern, viele mit dem Ziel, die digitale Transformation zu beschleunigen und die Cloud-VPS-Kollaborationsmöglichkeiten zu verbessern.

Gesundheitswesen und Cloud-VPS-Computing haben eine dynamische Synergie und ein wirklich bahnbrechendes Potenzial. Möglicherweise hat die strenge Gesetzgebung in der Vergangenheit die Akzeptanz von Cloud-VPS-Diensten gebremst. Heute jedoch wächst die Integration des Gesundheitswesens in die Cloud mit erheblicher Geschwindigkeit.

Worauf sollten Sie bei der Auswahl Ihres HIPAA-Hosting-Anbieters achten? Hier sind unsere Beobachtungen, warum Organisationen im Gesundheitswesen auf die Cloud umsteigen.

1. Sicherheit

Bewährte Sicherheitspraktiken sind das, worum es in der HIPAA-Gesetzgebung geht. Alle Verordnungen dienen ausschließlich dem Zweck, ePHI zu schützen. Das ist der einzige Grund für die Existenz des HIPAA. Die Hosting-Partner haben die Pflicht, eine konforme, sichere und robuste Infrastruktur bereitzustellen.

Der Hosting-Anbieter und Dritte, die in den Anwendungsbereich fallen, müssen eine Vereinbarung über die Zusammenarbeit mit Unternehmen (Business Associate Agreement, BAA) abschließen. Damit sind alle Beteiligten dafür verantwortlich, dass sie wissen, in welchen Systemen und an welchen geografischen Standorten ePHI-Daten gehostet, übertragen und gespeichert werden. ePHI-Daten müssen bei der Übertragung und im Ruhezustand jederzeit gesichert werden.

Der Zugang der Mitarbeiter wird nach dem Prinzip der geringsten Privilegien kontrolliert, geprüft und ständig aufrechterhalten. Physische Gebäudekontrollen sind erforderlich, um den Zugang zu und von Rechenzentren mit ePHI zu überprüfen. Einige Anbieter von Cloud-VPS-Hosting gehen bei der Sicherheit noch einen Schritt weiter, indem sie alle HIPAA-Daten verschlüsseln, auch wenn dies nur eine Empfehlung der Gesetzgebung ist.

Administratoren von Cloud-VPS-Anbietern sind für Sicherheitsupdates, Firmware-Updates, Schwachstellen-Scans und -behebungen verantwortlich. Ein aktueller Virenschutz auf Unternehmensniveau ist eine Notwendigkeit, ebenso wie ein Intrusion Prevention System (IPS), das rund um die Uhr Protokolle erstellt, Audits durchführt und automatische Reaktionen an ein Team von Sicherheitsexperten weiterleitet.

Mitarbeiter des Gesundheitswesens können HIPAA Security-as-a-Service in Anspruch nehmen und sich direkt in die Sicherheitsplattform des Hosting-Anbieters einklinken. Dies ist ein enormer Vorteil für die Gesundheitsorganisation und einer der Hauptgründe, warum das Outsourcing an einen HIPAA-Anbieter so beliebt ist.

2. Geschäftskontinuität und Wiederherstellung im Katastrophenfall

Die HIPAA-Sicherheitsvorschrift fügte eine Reihe von detaillierten Anforderungen für die Planung der Geschäftskontinuität und der Wiederherstellung im Katastrophenfall hinzu. Die Vorschrift verlangt die Entwicklung eines Verfahrens, das im Falle einer Krise oder eines Katastrophenszenarios anzuwenden ist.

Außerdem sollte ein Datenwiederherstellungsplan erstellt werden. Dies ist ein Programm zur Sicherung und zum Schutz von Systemen, die ePHI enthalten. Dies wird durch einen vordefinierten Backup-Zeitplan und Replikationsmöglichkeiten erreicht, die zuvor in der BAA vereinbart wurden. Die Daten werden in der Regel an mindestens einem anderen Standort des Rechenzentrums repliziert.

Es wird ein Disaster Recovery Plan (DRP) erstellt, der die technischen und administrativen Verantwortlichkeiten des Hosting-Anbieters abdeckt. Dazu gehört auch die Möglichkeit, im Falle eines katastrophalen Ausfalls die wichtigsten Geschäftsdienste an einen anderen Standort zu verlagern, und die Fähigkeit, ePHI-Daten aus der Sicherungskopie wiederherzustellen und darauf zuzugreifen.

Die gesamte Kontinuitätsplanung muss mindestens einmal im Jahr getestet und überprüft werden. Wenn vor der Zusammenarbeit mit einem HIPAA-Hosting-Partner kein Plan existiert, ist eine Analyse der Auswirkungen auf das Unternehmen erforderlich, in der die kritischen IT-Komponenten, die in den Geltungsbereich des Plans fallen, identifiziert und priorisiert werden.

Die Planung von Geschäftskontinuität und Disaster Recovery ist für die Einhaltung des HIPAA unerlässlich, doch die technische Komplexität der Erstellung einer redundanten, ausfallsicheren Plattform ist intern nur schwer zu bewerkstelligen. Dies ist ein weiterer wichtiger Grund, warum Outsourcing so beliebt ist. Die HIPAA-Hosting-Partner verfügen bereits über die entsprechende Infrastruktur, und die Gesundheitsorganisationen schließen sich einfach an den Dienst an.

3. Zusammenarbeit

HIPAA-regulierte Anwendungen sind darauf ausgelegt, ePHI zwischen autorisierten Benutzern und autorisierten Systemen auszutauschen. Die gemeinsame Nutzung von Daten eröffnet ein großes Potenzial für die Zusammenarbeit. Diese Fähigkeit beschleunigt die Diagnose erheblich und bietet medizinischen Fachkräften eine kollaborative, agile Arbeitsumgebung.

Dateninteroperabilität und sicheres Cloud Computing ermöglichen es Organisationen im Gesundheitswesen, in der modernen Arbeitswelt relevant zu bleiben. Sie öffnet die Tür zu neuen Möglichkeiten für eine bessere Patientenversorgung. Mehrere Teams können gleichzeitig an denselben Projekten arbeiten, die Kommunikation wird durch Messaging-Dienste, 5G-Datenkommunikation und Tools für die Zusammenarbeit verbessert.

API-Plattformen ermöglichen es Anwendungen, Daten auszutauschen und Informationen sicher gemeinsam zu nutzen. Teams an verschiedenen geografischen Standorten können per Fernzugriff zusammenarbeiten. Medizinische Anwendungen können ePHI austauschen, um den Diagnoseprozess zu beschleunigen.

Klinische Unterstützungsteams profitieren sehr vom Austausch medizinischer Informationen. Gemeinsame medizinische Bilder, historische Testergebnisse oder Informationen zur Familiengeschichte verbessern die Qualität der Pflege erheblich. Medizinische Geräte können direkt mit Cloud-Diensten verbunden werden und medizinische Ergebnisse, Röntgenbilder oder Pulswerte des Patienten sofort weitergeben.

Zusätzlich zu all diesen Möglichkeiten kann das Internet der Dinge in Verbindung mit der Datenzusammenarbeit zur Erstellung riesiger Datensätze genutzt werden. Diese Daten können von Plattformen für künstliche Intelligenz und maschinelles Lernen ausgewertet werden, die nach Trends suchen und in der Lage sind, große Datenmengen in kürzester Zeit zu analysieren. Dadurch haben die Ärzte mehr Zeit für die Behandlung ihrer Patienten, anstatt sich durch Papierstapel zu wühlen.

4. Skalierbarkeit

Ein weiterer großer Vorteil des HIPAA-Hostings ist die Skalierbarkeit der Cloud-Dienste. Krankenhäuser, Kliniken und Arztpraxen nehmen riesige Datenmengen auf. Die Daten werden digital auf einer sicheren Plattform gespeichert, die skalierbar ist und die Integrität der Daten schützt.

Medizinische Gruppen werden immer größer, und der Hosting-Anbieter muss mit Ihnen wachsen. Compute- und Netzwerkpläne können mit minimalen Auswirkungen aktualisiert werden, und Ressourcen können Servern mit einem Mausklick hinzugefügt werden.

Ein Beispiel ist das Datenbank-Hosting. Cloud-native Datenbanken machen die Komplexität der Datenbankverwaltung überflüssig und können schnell und kostengünstig skaliert werden, oft sogar nach Bedarf.

Der Hosting-Anbieter verwaltet den gesamten Cloud-Service, so dass eine IT-Abteilung vor Ort nicht mehr für die Verwaltung und Pflege von System- oder Datenbank-Upgrades zuständig ist. Der Anbieter ist für die Bereitstellung der Software, die Sicherheitspatches und alle auftretenden Probleme verantwortlich, wobei er gleichzeitig eine 100%ige Service-Level-Vereinbarung einhält.

5. Erfahrung

Ein Hosting-Anbieter mit umfassender Erfahrung in der Bereitstellung von HIPAA-konformen Cloud-Diensten kann den Unterschied zwischen einer reibungslosen und erfolgreichen Cloud-Migration oder einer schwierigen Erfahrung mit einer steilen Lernkurve ausmachen, was nicht ideal ist, wenn es um die Einhaltung des HIPAA für Start-ups geht. Es ist sehr wünschenswert, einen Hosting-Partner zu wählen, der HIPAA-konform ist, eine Organisation, die regelmäßig geprüft wird und ihre Prüfungsergebnisse im öffentlichen Sektor veröffentlicht.

Die Erfahrung bringt eine Reihe von wichtigen Dienstleistungen zum Tragen. Die Einhaltung der Vorschriften ist ein äußerst wichtiger Faktor. Achten Sie auf weitere Zertifizierungen wie SOC 2 TYPE II und SOC 3 TYPE II sowie die Einhaltung der HITECH-Richtlinien. Dadurch wird gewährleistet, dass der HIPAA-Hosting-Anbieter von einem qualifizierten unabhängigen Dritten geprüft wurde und nachweisen kann, dass er die beste IT-Sicherheit und ein konformes Hosting bietet.

Mit einem erfahrenen Anbieter ist es wahrscheinlicher, dass Sie branchenführende Service Level Agreements (SLA), Wiederherstellungszeiten und Wiederherstellungspunkte erreichen. Dies ist in Katastrophenszenarien von enormem Vorteil. Auch die technische Unterstützung durch den Anbieter ist wahrscheinlich wesentlich besser, wenn dieser schon seit längerer Zeit HIPAA-Dienste anbietet.

Related Posts: