• Home
  • Blog
  • Wie man ein HIPAA-konformes Cloud-Hosting im Jahr 2022 einrichtet
  • Blog
  • Wie man ein HIPAA-konformes Cloud-Hosting im Jahr 2022 einrichtet

Wie man ein HIPAA-konformes Cloud-Hosting im Jahr 2022 einrichtet

Was ist die Einhaltung des HIPAA?

Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 gilt für alle US-Gesundheitseinrichtungen, die mit elektronischen Patienteninformationen (ePHI) umgehen. Die Die Regeln für die Einhaltung des HIPAA sind streng und verlangen die Einhaltung verschiedener technischer, administrativer, physischer und datenschutzrechtlicher Sicherheitsvorkehrungen, die alle von der US-Ministerium für Gesundheit und menschliche Dienste (HHS).

HIPAA-konformes Cloud Computing

Das HIPAA-konforme Cloud Computing stellt US-Gesundheitsorganisationen vor besondere Herausforderungen. Viele Mediziner entscheiden sich dafür, diese Verantwortung an einen Cloud-Hosting-Partner auszulagern.

Die strikte Einhaltung der HIPAA-Sicherheits- und Datenschutzvorschriften ist obligatorisch, und eine unterzeichnete Vereinbarung zwischen Geschäftspartnern (BAA) muss zwischen allen Einrichtungen vereinbart werden.

Technische Sicherheitsvorkehrungen

Diese konzentrieren sich auf die Implementierung von Cloud-Infrastrukturkontrollen zum Schutz von ePHI. Zu den obligatorischen Anforderungen gehören Zugangskontrollen für zugelassene Nutzer der Plattform, die Verwendung eindeutiger Benutzernamen und die Durchsetzung einer strengen Kennwortpolitik, wobei Multi-Faktor-Authentifizierung (MFA) und Zugangskontrolllisten werden dringend empfohlen.

Alle ePHI sollten während der Übertragung (Netzwerk) und im Ruhezustand (Speicherung) verschlüsselt werden, wobei mindestens der Verschlüsselungsstandard AES256 zu verwenden ist. Für jede Hardware, Software oder Infrastruktur, die ePHI verarbeitet, sind zahlreiche Prüfkontrollen erforderlich. Die Aktivierung von Funktionen wie erweiterte Protokollierung, Prüfung des Benutzerzugriffs, Prüfung von Berechtigungen und Systemnutzung ist erforderlich.

Die gesamte Cloud-Infrastruktur muss mit einem angemessenen Niveau an Firmware- und Software-Sicherheitsupdates (Patching) konform sein. Dieser Ansatz begrenzt die Anfälligkeit von Cloud-Computing-Diensten für Schwachstellen im Betriebssystem und für Datenverletzungen.

Alle BAA-Einrichtungen sind dafür verantwortlich, die Integrität der ePHI-Daten zu schützen. Technische Kontrollen der Daten stellen sicher, dass sie nicht auf unzulässige Weise abgerufen, verändert oder zerstört werden. SIEM-Plattformen (Security Information Event Management) sind so konfiguriert, dass sie alle Änderungen an ePHI prüfen und melden; die Meldungen werden überwacht und bei Bedarf eskaliert.

Physikalische Sicherheitsvorkehrungen

Für alle BAA-Einrichtungen werden physische Sicherheitsvorkehrungen getroffen, insbesondere in Bezug auf die physischen Einrichtungen (Gebäude), die Nutzung von Arbeitsplätzen und die Etikette für elektronische Geräte. Es werden Gebäudekontrollen durchgeführt, um den Zugang der Mitarbeiter zu Gebäuden, Serverräumen und Einrichtungen, in denen sich ePHI befinden, zu überprüfen. Hauptziel ist es, Manipulationen oder Diebstahl von ePHI-Daten zu verhindern. Jeder Zugriff kann rund um die Uhr nachverfolgt und gemeldet werden.

Dazu gehört auch die Ausarbeitung und Erprobung einer Strategie für die Notfallwiederherstellung (Disaster Recovery, DR), die in erster Linie darauf abzielt, im Falle eines größeren Zwischenfalls den Zugang zu ePHI wiederherstellen zu können. Zu den üblichen Szenarien gehören der Zugang zu einem alternativen DR-Kontrollzentrum und einer technischen DR-Lösung, die an einem anderen Standort gehostet wird.

Laut HHS gilt jede natürliche oder juristische Person, die im Auftrag einer betroffenen Einrichtung Funktionen oder Tätigkeiten ausführt, die den Zugriff des Geschäftspartners auf personenbezogene Daten erfordern, als Geschäftspartner. Diese Person oder Organisation kann auch Dienstleistungen für eine betroffene Einrichtung erbringen. Beispiele hierfür sind ein Berater, der die Auslastung eines Krankenhauses prüft, oder ein Rechtsanwalt, der Zugang zu personenbezogenen Daten hat, da er Rechtsberatung für einen Gesundheitsdienstleister leistet.

Health IT Security

Die Geräte-Etikette ist eine anspruchsvolle, aber obligatorische Anforderung des HIPAA, die alle digitalen Geräte, Arbeitsstationen/Server und digitalen Medien umfasst. Alle Computerterminals sind standardmäßig durch Maßnahmen wie automatische Sperrbildschirme und Software zur Verhinderung des Kopierens von Daten von einem USB-Gerät geschützt.

Es werden zusätzliche Kontrollen für die Sicherung der Cloud-Computing-Infrastruktur eingeführt, einschließlich Richtlinien zur Datenaufbewahrung, Replikationsanforderungen und Hardware-Redundanz. Es gibt zusätzliche Vorschriften, die regeln, wie Daten und Datenträger zu vernichten sind, in der Regel durch zertifizierte Vernichtung.

Administrative Garantien

Dies sind die Richtlinien und Verfahren, die das Verhalten der Mitarbeiter der BAA-Einheit regeln. Zu den Anforderungen gehören Maßnahmen zur Durchführung einer Risikobewertung, zum Risikomanagement und zur Durchsetzung der Berichterstattung und Notfallplanung.

Jede BAA-Einheit hat eigene HIPAA-Beauftragte ernannt, die die gesamte Compliance-Landschaft überwachen. Sicherstellung, dass jeder vereinbarte Prozess dokumentiert und kontinuierlich überprüft wird. Andere Aufgaben wie die Erstellung von Berichten, die Verwaltung von Passwörtern, die Überwachung von Anmeldungen und die Zuweisung von Schulungsplänen werden erledigt.

Die BAA-Einrichtungen müssen wissen, welche ePHI aufbewahrt werden und wo sich die ePHI in der Infrastruktur befinden. Die Nutzer müssen einen angemessenen Zugang zu ePHI haben, um ihre Arbeit erledigen zu können, aber der Zugang muss kontrolliert und überwacht werden. Zugriffsrechte sollten immer nach dem Prinzip der geringsten Privilegien vergeben werden.

Datenschutz und Rechtsdurchsetzung

Die Datenschutz- und Durchsetzungsvorschriften sind der Klebstoff, der die HIPAA-Gesetzgebung zusammenhält. Die Datenschutzbestimmungen legen fest, wie ePHI von allen BAA-Einrichtungen verarbeitet, verwendet oder weitergegeben werden dürfen. Die Datenschutzvorschrift untermauert viele der oben erwähnten administrativen Schutzmaßnahmen, die die vorherrschende Datenschutzpolitik bilden.

Was sind geschützte Gesundheitsinformationen?

PHI bezieht sich auf alles, was mit Gesundheit, Behandlung oder Abrechnung zu tun hat. Es handelt sich um alles, was zur Identifizierung eines Patienten beitragen kann, einschließlich:

  • Name
  • Daten (z. B. Geburtsdatum, Datum der Behandlung)
  • Standort (Straße, Postleitzahl usw.)
  • Kontaktnummern (Telefonnummer, Fax, usw.)
  • Web-Kontaktinformationen (E-Mail, URL oder IP)
  • Identifizierungsnummern (Sozialversicherung, Führerschein, Krankenversicherungskonto, VIN, usw.)
  • Angaben zur physischen Identität (Foto, Fingerabdrücke usw.)

Die Patienten haben das Recht, die über sie gespeicherten Gesundheitsdaten einzusehen, und die Mitarbeiter werden im Hinblick auf die Datenschutzpolitik geschult, und es werden Maßnahmen ergriffen, um Verstöße gegen die Vorschrift abzumildern – z. B. Entlassungsverfahren. Alle BAA-Einrichtungen sind dafür verantwortlich, dass keine ePHI weitergegeben werden. Sollte es dennoch zu Verstößen kommen, ist ein strenges Verfahren für Verstöße zu befolgen.

Verstößt ein Mitarbeiter eines Unternehmens gegen die HIPAA-Bestimmungen, und sei es auch nur versehentlich, kann das Unternehmen mit einer Geldstrafe von bis zu 1,5 Millionen Dollar belegt werden (die jährliche Obergrenze pro Unternehmen). Zu den häufigsten Verstößen gehören ePHI mit fehlenden Informationen, Einrichtungen, die es versäumen, die BAA zu unterzeichnen, die Verwendung von Laptops zur Speicherung von ePHI und das Wegwerfen vertraulicher Gesundheitsdokumente. Unser Leitfaden zu HIPAA-Verstößen geht ausführlich auf Verstöße und Durchsetzungspraktiken ein.

Auswahl eines HIPAA-konformen Hosting-Partners

Die Folgen eines Verstoßes gegen den HIPAA können extrem sein. Selbst wenn Sie nicht zu einer Geldstrafe in Millionenhöhe verurteilt werden, ist das keine gute Art, Geld auszugeben, und es macht auch keinen Spaß, auf der Straße zu landen. HIPAA-Wand der Schande.

Aus diesen Gründen ist es außerordentlich wichtig, einen Technologiepartner zu wählen, der sich auf das Hosting im Gesundheitswesen spezialisiert hat und SOC 2 TYP II und SOC 3 TYP II zertifiziert ist und HIPAA- und HITECH-zertifiziert ist, wie Atlantic.Net. Ihre SSD-Cloud-Server bieten eine 100%ige Betriebszeitgarantie und können in weniger als 30 Sekunden gestartet werden. Das sind nur zwei der vielen Gründe, warum sie unsere Empfehlung für die Nummer 1 unter den Cloud-Servern verdient haben. HIPAA-konformes Hosting.

Related Posts: