Der US Health Insurance Portability and Accountability Act (HIPAA) wurde eingeführt, um sicherzustellen, dass sensible geschützte Gesundheitsinformationen (PHI) nicht ohne die Zustimmung des Patienten weitergegeben werden. Der HIPAA umfasst eine Sicherheitsvorschrift, die Schutzmaßnahmen für Organisationen mit elektronisch gespeicherten geschützten Gesundheitsinformationen (ePHI) festlegt, sowie eine Datenschutzvorschrift, die Grenzen und Bedingungen für die Verwendung und Weitergabe solcher Informationen ohne die Zustimmung des Patienten festlegt.
Obwohl die HIPAA-Bestimmungen am stärksten auf "abgedeckte Einrichtungen" wie Gesundheitspläne, Clearingstellen für das Gesundheitswesen und einige Gesundheitsdienstleister ausgerichtet sind, gelten sie auch für "Geschäftspartner" - Drittanbieter, die Zugang zu PHI haben. Dadurch wird die Zahl der Organisationen, die die HIPAA-Anforderungen erfüllen müssen, drastisch erhöht - und die Zahl der Dritten, die die Anbieter bewerten müssen.
Wie der HIPAA geschützte Informationen definiert: Datenschutz und Sicherheit
Die HIPAA Privacy Rule definiert geschützte Gesundheitsinformationen (Protected Health Information, PHI) als "alle Informationen, die sich im Besitz einer betroffenen Einrichtung befinden und die den Gesundheitszustand, die Bereitstellung von Gesundheitsleistungen oder die Bezahlung von Gesundheitsleistungen betreffen und mit einer Person in Verbindung gebracht werden können".
Die HIPAA Security Rule befasst sich speziell mit dem Schutz elektronisch gespeicherter PHI (ePHI). Sie besagt, dass die ePHI, die eine Organisation (eine so genannte "covered entity") erstellt, empfängt, aufbewahrt oder überträgt, gegen vernünftigerweise zu erwartende Bedrohungen, Gefahren und unzulässige Verwendungen und/oder Offenlegungen geschützt werden muss. Die HIPAA Security Rule legt allgemeine Regeln zu Sicherheitsstandards fest, einschließlich administrativer, technischer und physischer Schutzmaßnahmen. Organisatorische Anforderungen und dokumentierte Richtlinien und Verfahren vervollständigen die gesetzlichen Vorgaben.
Wie hängt das Risiko von Dritten mit dem HIPAA zusammen?
Organisationen müssen sich der Risiken für kritische Informationen bewusst sein, sowohl innerhalb ihrer eigenen Organisation als auch bei Dritten, die Zugang zu ePHI haben. Der HIPAA schreibt dies vor und dehnt den Begriff "Organisation" auf betroffene Unternehmen und Geschäftspartner aus. Abschnitt 164.308(a)(1)(ii)(A) besagt:
RISIKOANALYSE (erforderlich).
Führen Sie eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten durch, die sich im Besitz der [Organisation] befinden.
Sie können die Bereitschaft eines Anbieters, Ihre Sicherheitserwartungen zu erfüllen, mit einer Risikobewertung des Anbieters bewerten.
Checkliste: HIPAA-Anforderungen für Geschäftspartner
Unternehmen des Gesundheitswesens und verwandte Organisationen müssen sicherstellen, dass Geschäftspartner und andere Dritte über die erforderlichen Sicherheits- und Datenschutzkontrollen verfügen, um unerwünschte Zugriffe zu verhindern, die die Vertraulichkeit, Integrität oder Verfügbarkeit von ePHI beeinträchtigen. Um dies zu erreichen, sollten Unternehmen eine gründliche Risikobewertung der Anbieter durchführen. In der nachstehenden Tabelle sind die wichtigsten zu prüfenden HIPAA-Anforderungen zusammengefasst.
| HIPAA-Anforderungen | Was es bedeutet |
|---|---|
| Prozess des Sicherheitsmanagements Administrative Garantien (§ 164.308(a)(1))(A) Risikoanalyse (ERFORDERLICH) Eine betroffene Einrichtung oder ein Geschäftspartner muss eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen in Bezug auf die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten durchführen, die sich im Besitz der betroffenen Einrichtung oder des Geschäftspartners befinden. |
Der erste Schritt zur Einhaltung der HIPAA-Bestimmungen ist eine umfassende Risikobewertung - sowohl intern als auch für Dritte, die Zugang zu personenbezogenen Daten haben könnten. Einige Unternehmen versuchen dies mit tabellenbasierten Fragebögen, aber dieser Ansatz ist nicht skalierbar. |
| Prozess des Sicherheitsmanagements Administrative Garantien (§ 164.308(a)(1))(B) Risikomanagement (ERFORDERLICH) Umsetzung von Sicherheitsmaßnahmen, die ausreichen, um Risiken und Schwachstellen auf ein vernünftiges und angemessenes Niveau zu reduzieren, um die [HIPAA-Sicherheitsstandards] einzuhalten. |
Sobald die Risiken identifiziert sind, müssen die Unternehmen Kontrollen einführen, um das Risiko zu minimieren. |
| Prozess des Sicherheitsmanagements Administrative Garantien (§ 164.308(a)(1))(D) Überprüfung der Aktivitäten des Informationssystems (ERFORDERLICH) Einführung von Verfahren zur regelmäßigen Überprüfung von Aufzeichnungen über die Aktivitäten des Informationssystems, wie z. B. Audit-Protokolle, Zugriffsberichte und Berichte zur Verfolgung von Sicherheitsvorfällen. |
Da sich zwischen den jährlichen Bewertungen viel ändern kann, sollten Unternehmen Risiken, Vertragserfüllung und Service Level Agreements (SLAs) kontinuierlich überwachen. |
| Verträge mit Geschäftspartnern und andere Absprachen (§ 164.308(b)(1))Eine betroffene Einrichtung kann einem Geschäftspartner die Erstellung, den Empfang, die Pflege oder die Übertragung elektronisch geschützter Gesundheitsdaten im Namen der betroffenen Einrichtung nur dann gestatten, wenn die betroffene Einrichtung gemäß § 164.314(a) zufriedenstellende Zusicherungen erhält, dass der Geschäftspartner die Daten angemessen schützen wird. Eine betroffene Einrichtung ist nicht verpflichtet, solche zufriedenstellenden Zusicherungen von einem Geschäftspartner zu erhalten, der ein Unterauftragnehmer ist. |
Business Associate-Verträge sind erforderlich, aber intelligente Compliance- und Sicherheitsteams werden Nachweise für die Einhaltung der Vorschriften und Kontrollen verlangen. |
| Prozess des Sicherheitsmanagements, administrative Sicherheitsvorkehrungen § 164.308(a)(6)Spezifikation der Umsetzung: Antwort und Berichterstattung (ERFORDERLICH) Identifizieren von und Reagieren auf vermutete oder bekannte Sicherheitsvorfälle; Abschwächen der schädlichen Auswirkungen von Sicherheitsvorfällen, die der betroffenen Einrichtung oder dem Geschäftspartner bekannt sind, soweit dies praktikabel ist; und Dokumentieren von Sicherheitsvorfällen und deren Ergebnissen. |
Einige Anbieter wissen möglicherweise nicht, wann sie verletzt wurden, oder melden Vorfälle nicht sofort, was die mittlere Zeit bis zur Entdeckung (MTTD) und die mittlere Zeit bis zur Lösung (MTTR) verzögern kann und ein Unternehmen für potenzielle Angriffe anfällig macht. |
| Prozess des Sicherheitsmanagements, administrative Sicherheitsvorkehrungen § 164.308(a)(8)Standard: Bewertung. Regelmäßige technische und nicht-technische Evaluierung auf der Grundlage der im Rahmen dieser Vorschrift eingeführten Standards und später als Reaktion auf umweltbedingte oder betriebliche Veränderungen, die sich auf die Sicherheit elektronischer geschützter Gesundheitsdaten auswirken, um festzustellen, inwieweit die Sicherheitsrichtlinien und -verfahren einer betroffenen Einrichtung oder eines Geschäftspartners die Anforderungen dieses Unterabschnitts erfüllen. |
In allen Unternehmen gibt es personelle Veränderungen und es werden regelmäßig neue Richtlinien und Verfahren eingeführt. Die betroffenen Unternehmen müssen Cyber-, Geschäfts- und Finanzdaten kontinuierlich überwachen, um wesentliche Änderungen des Risikoprofils eines Anbieters zwischen den jährlichen internen Kontrollbewertungen zu erkennen. |
| Richtlinien und Verfahren sowie Dokumentationsanforderungen (§ 164.316(b)(1))Standard: Dokumentation (i) die Richtlinien und Verfahren, die zur Einhaltung dieses Unterabschnitts implementiert wurden, in schriftlicher (ggf. elektronischer) Form aufbewahren; und (ii) Wenn eine Maßnahme, Aktivität oder Bewertung gemäß diesem Unterabschnitt dokumentiert werden muss, eine schriftliche (ggf. elektronische) Aufzeichnung der Maßnahme, Aktivität oder Bewertung führen. |
Im Falle eines Vorfalls oder einer Prüfung oder im Verlauf einer Geschäftsbeziehung müssen Organisationen Nachweise für ihre Richtlinien, identifizierten Risiken und Kontrollen vorlegen. |
Nächste Schritte zur Einhaltung des HIPAA
Die Einhaltung des HIPAA erfordert einen vollständigen internen und externen Überblick über die für alle Geschäftspartner bestehenden Kontrollen. Es ist unmöglich, diesen Prozess mit manuellen Tabellenkalkulationen für Hunderte von Drittparteien effizient zu verwalten. Auf einer grundlegenden Ebene sollten Organisationen:
- Automatisieren Sie das Onboarding und Offboarding von Geschäftspartnern, um einheitliche Prozesse zu gewährleisten.
- Profilierung, Einstufung und Bewertung des inhärenten Risikos als Entscheidungshilfe für eine umfassende Risikobewertung
- Bewertung von Geschäftspartnern anhand standardisierter Inhalte, die die Zuordnung von Vorschriften und Standards vereinfachen
- Zentralisierung der gesamten Dokumentation für Geschäftspartner, einschließlich Verträgen, Berichten und Nachweisen
- Kontinuierliche Überwachung von Cybersicherheits-, Geschäfts-/Reputations- und Finanzinformationen, um die Risiken mit den Bewertungsergebnissen abzugleichen
- Regelmäßige Berichterstattung über SLAs, Leistung und Einhaltung von Vorschriften anhand standardisierter, vorgefertigter Vorlagen
- Nutzung von Best-Practice-Anleitungen, um Entscheidungen über Abhilfemaßnahmen entsprechend der Risikobereitschaft des Unternehmens zu treffen
Eine vollständige Auflistung der HIPAA-Anforderungen für das Risikomanagement von Drittanbietern und die Zuordnung der Prevalent-Funktionen finden Sie in der Checkliste zur Einhaltung des HIPAA für Drittanbieter oder fordern Sie noch heute eine Demo an. Um zu erfahren, wie das Risikomanagement für Dritte auf mehr als 20 weitere Vorschriften anwendbar ist, laden Sie das Handbuch zur Einhaltung der Vorschriften für das Risikomanagement für Drittanbieter herunter.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
