Was ist HIPAA?

Der HIPAA (Health Insurance Portability and Accountability Act von 1996) dient dem Schutz von Gesundheitsdaten oder elektronisch geschützten Gesundheitsinformationen (ePHI). Es handelt sich um ein US-amerikanisches Gesetz, das Datenschutzstandards zum Schutz von Patientenakten und anderen Gesundheitsdaten festlegt. Der HIPAA legt Definitionen von ePHI, Regeln und Richtlinien für die Verwendung und Weitergabe von ePHI sowie Strafen für Missbrauch oder Weitergabe von ePHI an nicht autorisierte Parteien fest. Während die ursprünglichen Ziele die Regelung des Datenschutzes durch Einwilligung und die Gewährleistung der Portabilität von ePHI zum Vereinfachen von Versicherungswechseln umfassten, schuf HIPAA eine grundlegende Richtlinie, auf der aufgebaut werden kann, wenn sich die Anforderungen der Branche ändern. 

Das Gesetz ist heute relevanter denn je, da ePHI in den meisten Standardformaten des Austauschs im Gesundheitswesen enthalten ist und alle Beteiligten (einschließlich Bedrohungsakteuren) am Zugriff auf die sensiblen Daten interessiert sind. Ein Bericht des Office of Information Security des U.S. Department of Health and Human Services (HHS) aus dem Jahr 2023 zeigt einen Aufwärtstrend bei Datenschutzverletzungen im Gesundheitswesen zwischen 2012 und 2021. Der Bericht betont auch, dass sich die Datenschutzverletzungen im Gesundheitswesen in den letzten drei Jahren verdoppelt haben. Gesundheitsinstitute und verbundene Einrichtungen wie Versicherungen sind Verwahrer geschützter Gesundheitsinformationen (PHI). Dies macht diese Unternehmen zu einem lohnenden Ziel für Cyberkriminelle. Cyberangriffe auf das Gesundheitswesen umfassen die heimtückische Bedrohung durch Ransomware und Datensicherheitsprobleme, die oft mit unbefugtem Zugriff und dem Fehlen von Zugriffskontrollen mit den geringstmöglichen Berechtigungen beginnen. 

Der HIPAA trat am 21. August 1996 in Kraft. Seither hat das Framework jedoch mehrere wichtige Ergänzungen erhalten. Dazu gehören die Sicherheitsregel, die Datenschutzregel, die Regel zur Benachrichtigung von Verstößen und die Omnibus-Regel. Der HHS regelt der HIPAA, aber das Office for Civil Rights (OCR) setzt der HIPAA durch.

Unter „Administrative Vereinfachung“ wird HIPAA durch mehrere Komponenten definiert, darunter:

• Transaktionen und Codeset-Standards
• Kennungs-Standards
• Datenschutzregel
• Sicherheitsregel
• Durchsetzungsregel
• Benachrichtigungsregel bei Datenschutzverletzungen

Zusammen legen diese Regeln und Standards die Messlatte für den Schutz von ePHI fest.

Der Schutz von ePHI ist das Herzstück der HIPAA-Compliance. Die Sicherheitslösungen von Akamai bieten intelligente Funktionen und umfassenden Schutz, um ePHI vor Verstößen und versehentlicher Offenlegung zu schützen. Akamai unterstützt Ihre Sicherheitsteams dabei, die Effektivität und den ROI Ihrer Sicherheitsinvestitionen zu verbessern, indem es über die herkömmliche Endpoint Detection hinausgeht und eine leistungsstarke Zero-Trust-Lösung für die Sicherheit und den Datenschutz bereitstellt. 

Akamai bietet:

• Eine globale Sicherheitsplattform, die Zero-Trust-Sicherheit mit umfassender Abdeckung Ihrer IT-Umgebung durchsetzt

• Umfassende Transparenz von Assets, Zugriffen und Netzwerkflüssen

• Fein abgestimmte Durchsetzung von kundenkonfigurierten Sicherheitsrichtlinien

Jede Gesundheitseinrichtung, einschließlich aller Geschäftspartner, die Gesundheitsdaten verarbeiten, muss die strengen Datenschutzregeln des HIPAA einhalten. Wenn Ihr Unternehmen unter den HIPAA fällt, wird erwartet, dass Sie sich an Vorschriften halten, die den Zugriff auf und Umgang mit PHI betreffen. Wenn ein betroffenes Unternehmen gegen die Sicherheits- und Datenschutzbestimmungen des HIPAA verstößt, ist es an die Meldepflichten bei Verstößen gebunden. Wenn mehr als 500 Nutzer von einem Verstoß betroffen sind, muss die Meldung des Vorfalls an das OCR weitergeleitet werden. Die Details der Sicherheitsverletzung sind auf einer durchsuchbaren öffentlichen Website aufgeführt –„Breach Portal: Notice to the Secretary of HHS Breach of Unsecured Protected Health Information.”

Zu den spezifischen Arten von Organisationen, die dem HIPAA unterliegen, gehören die folgenden:

_{Krankenhäuser}

Die HIPAA-Datenschutzregel schreibt vor, dass Krankenhäuser die Datenschutzrechte von Patienten klar erklären. Darüber hinaus ist die Sicherheit ein wesentlicher Bestandteil des Schutzes von Patientendaten, da die HIPAA-Regel 45 CFR 164.502(b) und 164.514(d) explizit vorschreibt, dass die betroffenen Entitäten „ihre Praktiken bewerten und die Schutzmaßnahmen nach Bedarf verbessern müssen, um unnötigen oder unangemessenen Zugriff auf geschützte Gesundheitsdaten und deren Offenlegung einzuschränken“. 

Krankenhäuser müssen daher über Maßnahmen verfügen, um das Risiko eines unbefugten Datenzugriffs zu minimieren. Ein Zero-Trust-Sicherheitsansatz für den Datenzugriff bietet das Framework, um die Risiken für PHI innerhalb einer Krankenhausumgebung zu mindern.

_{Geschäftspartner}

Ein Geschäftspartner im Sinne des HIPAA ist definiert als jedes Unternehmen, das im Auftrag einer betroffenen Einrichtung „geschützte Gesundheitsdaten (PHI) erstellt, empfängt, verwaltet oder übermittelt“. Dazu gehören Unternehmen wie Softwareanbieter, Cloud-Service-Anbieter und Rechnungsagenturen. Geschäftspartner sind verpflichtet, die Vertraulichkeit, Integrität und Zugänglichkeit von PHI durch technische und Schutzmaßnahmen zu schützen und aufrechtzuerhalten. Sicherheitsmaßnahmen zur Erkennung von Risiken und zur Sicherung von PHI sind eine Anforderung der HIPAA. Eine Zero-Trust-Plattform bietet Transparenz in einem erweiterten Datenökosystem, um robuste Sicherheitsmaßnahmen anzuwenden und so den Schutz vor unbefugtem Datenzugriff zu verbessern.

Der HIPAA verfügt über strenge Schutzmaßnahmen, um die Sicherheit und den Datenschutz von ePHI zu gewährleisten. Die Anwendung der Grundsätze des HIPAA bietet eine Reihe von Vorteilen für betroffene Unternehmen und Patienten. Zu den wichtigsten Vorteilen gehören:

Verbesserter Datenschutz für Patienten: Personenbezogene und vertrauliche Informationen über die Gesundheit von Patienten sind nur für diejenigen zugänglich, die sie benötigen. Unter bestimmten Bedingungen müssen Patienten der Weitergabe ihrer Gesundheitsdaten zustimmen.

Durchsetzung rollenbasierter Zugriffsprinzipien und Prinzipien der geringstmöglichen Berechtigungen: Daten stehen nur denjenigen zur Verfügung, die sie benötigen. Zero-Trust-Sicherheit kann zur Durchsetzung dieser Prinzipien beitragen.

Erfordernis einer zuverlässigen Authentifizierung: HIPAA erfordert, dass alle betroffenen Entitäten eine zuverlässige Authentifizierung nutzen, um Zugriffskontrollrichtlinien durchzusetzen.

Schutz vor Malware: Ransomware greift Krankenhäuser und andere Gesundheitseinrichtungen an. Dadurch werden ePHI gefährdet. HIPAA-Compliance schützt vor Malware-Infektionen.

Akamai bietet eine umfassende Familie von Lösungen, die Zero-Trust-Sicherheit bieten, um HIPAA-Compliance zu erreichen und aufrechtzuerhalten. Unsere Kunden schätzen die führenden Sicherheitslösungen von Akamai als die besten ihrer Klasse. Unsere Kunden aus dem Gesundheitswesen nutzen Akamai zum Schutz von ePHI und zur Durchsetzung der Prinzipien der geringsten Privilegien und robusten Zugriffskontrollen. Das Sicherheitsportfolio von Akamai hat sich von einer Sammlung von Einzellösungen zu einer umfassenden und leistungsstarken Zero-Trust-Plattform entwickelt. Die erstklassigen Lösungen von Akamai bieten Sicherheitskontrollen zur Unterstützung der HIPAA-Sicherheits- und Datenschutzbestimmungen, die Datensicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz abdecken. Akamai bietet umfassende Einblicke in Ihre IT-Umgebung und Ihre erweiterte Infrastruktur, die auch Geschäftspartner umfasst.

Akamai Cloud: Unsere stark verteilte Edge- und Cloud-Plattform bietet Cloud Computing, Sicherheit und Inhaltsbereitstellung. Akamai Cloud wurde entwickelt, um sicherzustellen, dass Unternehmen, die unter die HIPAA-Vorschriften fallen, Cloud Computing nutzen und dabei die Vorschriften einhalten können.

Akamai Identity Cloud: Datenschutz und Sicherheit sind von Grund auf in die Akamai Identity Cloud integriert. Die Lösung bietet hochgradig skalierbares Identitätsmanagement und bewältigt auch komplexe Anwendungsfälle – Identity Cloud speichert Kundendaten auf extrem sichere Weise und wendet dabei das Prinzip der geringsten Privilegien an, um Cyberangriffe abzuwehren. Darüber hinaus verfügt die Lösung über ein integriertes Zustimmungsmanagement zur Einhaltung von Vorschriften wie HIPAA, DSGVO, CCPA, PIPEDA und anderen.

HHS unterteilt unter die HIPAA-Vorschriften fallende Unternehmen in drei Klassen:

1. Gesundheitsdienstleister: Ärzte, Kliniken, Zahnärzte und Apotheken
2. Krankenkassen: Umfasst Krankenkassen sowie betriebliche Krankenkassen
3. Clearingstellen im Gesundheitswesen: Organisationen, die nicht standardmäßige Gesundheitsinformationen von einer anderen Einrichtung verarbeiten 

Der Schutz von PHI wird durch die Omnibus-Regel auf alle Geschäftspartner ausgedehnt, die Gesundheitsdaten verarbeiten.

Geschützte elektronische Gesundheitsinformationen (ePHI) gemäß HIPAA-Vorschriften beziehen sich auf individuell identifizierbare Gesundheitsdaten oder persönliche Gesundheitsdaten: Der HIPAA enthält diesbezüglich 18 „Identifikatoren“. Diese Identifikatoren stellen die verschiedenen Arten von Identifizierungsdaten dar, die unter den HIPAA fallen. Zu den Arten von Informationen gehören Patientennamen, E-Mail-Adressen, Sozialversicherungsnummern, elektronische Gesundheitsakten (EHR), Krankenakten, biometrische Daten usw. Zur Freigabe von Datensätzen, die diese Daten enthalten, ist eine Patientenautorisierung erforderlich.

ePHI sind von den HIPAA-Kontrollen ausgeschlossen, wenn sie mithilfe des „Standards zur Aufhebung der Identifizierung“ gemäß HIPAA Abschnitt 164.514(a) der HIPAA-Datenschutzregel anonymisiert werden können.

Jede unter den HIPAA fallende Entität, die PHI erstellt, empfängt, verwendet oder verwaltet, muss die HIPAA-Sicherheitsregel einhalten. Die Regel deckt ausdrücklich die administrativen, physischen und technischen Schutzmaßnahmen ab, die die Vertraulichkeit, Integrität und Sicherheit von ePHI gewährleisten. Zu den technischen Schutzmaßnahmen zur Einhaltung der HIPAA-Vorschriften und zum Schutz von PHI gehören:

• Zugriffskontrolle auf ePHI
• Authentifizierung von Personen oder Entitäten
• Sicherheit der Übertragung, z. B. Verschlüsselung

Weitere Sicherheitsbestimmungen umfassen Schulungen zur Compliance und Sensibilisierung für Mitarbeiter sowie physischen Zugriffsschutz.

Die HIPAA-Datenschutzregel wurde im Dezember 2000 hinzugefügt und im August 2002 aktualisiert. Sie bietet den Datenschutzrahmen, um individuell identifizierbare Gesundheitsinformationen durch unter den HIPAA fallende Entitäten zu schützen und die Offenlegung geschützter Gesundheitsinformationen zu kontrollieren. Zugehörige Daten fallen auch unter die Datenschutzregel, z. B.:

• physische oder psychische Zustände in der Vergangenheit, Gegenwart und Zukunft
• die Behandlung einer Erkrankung
• Zahlungsinformationen zur Behandlung

Der HIPAA und der HITECH Act (Health Information Technology for Economic and Clinical Health Act) befassen sich mit dem Schutz von ePHI. HITECH erweitert jedoch die HIPAA-Verschlüsselungs-Compliance-Anforderungen und die Offenlegung von Datenschutzverletzungen „ungeschützten“ (unverschlüsselten) PHI. Das bedeutet, dass Patienten eine Benachrichtigung über jede Offenlegung ihrer PHI anfordern können.

Der HIPAA enthält eine Regel zur Benachrichtigung über Sicherheitsverletzungen, die definiert, was eine Benachrichtigung bei HIPAA-Verstößen auslöst. Die grundlegenden Regeln für die Meldung von Verstößen lauten:

• Datenschutzverletzungen mit mehr als 500 betroffenen Personen: Betroffene Stellen müssen den Secretary unverzüglich innerhalb von 60 Tagen nach einem Verstoß benachrichtigen.
• Verstöße mit weniger als 500 betroffenen Personen: Betroffene Stellen können den Secretary jährlich, müssen ihn jedoch innerhalb von 60 Tagen nach Ende des Jahres des Angriffs, benachrichtigen.

Die HIPAA-Regel zur Meldung von Sicherheitsverletzungen ist unter HIPAA 45 CFR, Abschnitt 164.400-414 aufgeführt.

Strafen für HIPAA-Verstöße umfassen Geldstrafen von bis zu 50.000 USD pro HIPAA-Verstoß und können strafrechtliche Sanktionen umfassen.