icon

Datenschutz & Sicherheit im Gesundheitswesen. Wer muss HIPAA einhalten?

Wer muss HIPAA einhalten

 

Der Health Insurance Portability and Accountability Act (HIPAA) ist eines der wichtigsten Dokumente für jeden CISO im Gesundheitswesen. Vor über 20 Jahren geschrieben, lange bevor Smartphones, WiFi oder Google erfunden wurden, reguliert es immer noch die Sicherheit von Gesundheitsinformationen in der Branche. Erfahren Sie, wie es heutzutage angewendet wird, um eine sichere medizinische Versorgung zu gewährleisten.

Warum ist Datensicherheit im Gesundheitswesen wichtig?

Name. Adresse. IDs. Rezepte. Fotos. 

Dies ist nur ein Bruchteil der Daten, die Gesundheitsorganisationen über ihre Kunden hatten, haben und haben werden. Unbefugter Zugriff auf solche Informationen kann schwerwiegende Folgen für die betroffene Person haben. Sie können Opfer von Identitätsdiebstahl, Betrug, Gelddiebstahl sowie moralischen Schäden werden. Untersuchungen haben ergeben, dass Gesundheitsdaten aus Krankenhausdatenschutzverletzungen auf dem Schwarzmarkt Hunderte von Dollar kosten können.

Für eine Gesundheitsorganisation stehen bei der Sicherheit von Patientendaten hohe Einsätze auf dem Spiel. Sicherheitsverletzungen im Gesundheitswesen führen zu Ausgaben für unabhängige forensische Experten, interne Untersuchungen, Kommunikation mit Mitarbeitern und Kunden, Vergleiche, Geldstrafen und letztendlich zu Reputationsschäden und Vertrauensverlust der Kunden, was die langfristigen Gewinne der Organisation beeinträchtigt. 

Deshalb ist die Rolle eines CISO im Gesundheitswesen von größter Bedeutung. Es ist ihre Aufgabe, ein System zu entwickeln, das Risiken angemessen mindert und gegen erwartete Bedrohungen schützt.   

Was ist Datensicherheit für PHI?

HIPAA gewährleistet die Sicherheit von Gesundheitsdaten (PHI) und regelt, wie diese von einer HIPAA-abgedeckten Einheit (einem Gesundheitsdienstleister, einem Gesundheitsplan oder einer Krankenversicherung, einer Gesundheitsabrechnungsstelle) oder einem Geschäftspartner einer solchen Einheit verwendet, gepflegt, gespeichert oder übertragen werden. 

PHI steht für Protected Health Information, und unter HIPAA umfasst es alle Informationen, die mit dem Gesundheitszustand einer Person in Zusammenhang stehen. Dazu gehören Krankenakten, Gesundheitshistorien, Labortestergebnisse und medizinische Rechnungen. PHI ist unabhängig von der Form geschützt, sei es in physischen Aufzeichnungen, elektronischen Aufzeichnungen oder mündlichen Informationen. Sobald Gesundheitsinformationen individuelle Kennungen enthalten, werden sie zu PHI und sind unter HIPAA geschützt. 
Es gibt 18 PHI-Kennungen:

  • Name
  • Adresse (einschließlich Unterteilungen kleiner als ein Bundesstaat, wie Straßenadresse, Stadt, Bezirk oder Postleitzahl)
  • Alle Daten (außer Jahren), die direkt mit einer Person in Verbindung stehen. Dazu gehören Geburtsdatum, Aufnahmedatum oder Entlassungsdatum, Sterbedatum oder das genaue Alter.
  • Telefonnummer
  • Faxnummer
  • E-Mail-Adresse
  • Sozialversicherungsnummer
  • Krankenaktennummer
  • Krankenversicherungsnummer
  • Kontonummer
  • Zertifikats-/Lizenznummer
  • Fahrzeugkennungen, Seriennummern oder Kennzeichen
  • Gerätekennungen oder Seriennummern
  • Web-URLs
  • IP-Adresse
  • Biometrische Kennungen wie Fingerabdrücke oder Stimmabdrücke
  • Fotos des gesamten Gesichts
  • Andere eindeutige Identifikationsnummern, Merkmale oder Codes.

HIPAA-abgedeckte Einheiten und ihre Geschäftspartner müssen die Vertraulichkeits-, Integritäts- und Verfügbarkeitsanforderungen für elektronische PHI (ePHI) erfüllen. Vertraulichkeit bedeutet, dass ePHI nicht ohne die ordnungsgemäße Genehmigung des Patienten unrechtmäßig offengelegt wird. Integrität bedeutet sicherzustellen, dass ePHI, das von einer Gesundheitsorganisation übertragen oder aufbewahrt wird, nur von geeigneten und autorisierten Parteien abgerufen werden kann. Verfügbarkeit bedeutet, dass Patienten gemäß den HIPAA-Sicherheitsstandards Zugriff auf ihre ePHI haben.

Eine Grenze zwischen PHI und nicht PHI

Es wird oft angenommen, dass alle Gesundheitsinformationen unter HIPAA als PHI betrachtet werden, aber es gibt einige Ausnahmen. 

HIPAA gilt nur für die abgedeckten Einheiten und deren Geschäftspartner. Das bedeutet, dass Gesundheitsinformationen, die nicht mit solchen Einheiten geteilt werden, nicht als PHI gelten.

Nehmen wir zum Beispiel Gesundheitstracker (entweder tragbar oder als mobile App), die Gesundheitsinformationen wie Herzfrequenz oder Blutdruck aufzeichnen. Solange der Gerätehersteller oder App-Entwickler diese Daten nicht mit einer HIPAA-abgedeckten Einheit teilt, gelten sie nicht als PHI unter HIPAA.

HIPAA gilt nicht für Bildungs- oder Beschäftigungsunterlagen. Ein Krankenhaus kann Daten über seine Mitarbeiter haben, die einige Gesundheitsinformationen wie Allergien oder Blutgruppe enthalten können, aber sie sind nicht als PHI klassifiziert.

Wenn PHI von allen Kennungen befreit wird, die es mit einer Person in Verbindung bringen können, wird es zu de-identifizierter PHI, und die HIPAA-Regeln gelten nicht mehr. 

Was ist eine Datenpanne im Gesundheitswesen?

Eine Datenpanne im Gesundheitswesen bedeutet, dass ein oder mehrere Datensätze Gefahr laufen, offengelegt zu werden, oder dass bekannt ist, dass auf sie ohne Autorisierung zugegriffen oder sie offengelegt wurden. Potenzieller Zugriff auf die Daten zählt ebenfalls als Datenpanne.

Große Datenpannen treten jährlich auf und betreffen sogar die größten Gesundheitsunternehmen. Ein einzelner Angriff auf die American Medical Collection Agency betraf 25 Millionen Patienten. 

Untersuchungen zeigen, dass Ransomware- und SQL-Injection-Angriffe die häufigste Ursache für eine Datenpanne im Gesundheitswesen sind. Sie treten oft auf, wenn gestresste und/oder uninformierte Mitarbeiter nicht in der Lage sind, bösartige E-Mails, Websites oder Software zu identifizieren.

Eine weitere häufige Herausforderung ist die Einhaltung der Benutzer-Authentifizierungsrichtlinie. Gesundheitsfachkräfte verwenden mehrere gemeinsam genutzte Arbeitsstationen, was oft zur unbeabsichtigten Offenlegung von Informationen führen kann. Die Datensicherheit im Gesundheitswesen ist nicht und sollte nicht ihre oberste Priorität sein. Es ist die Aufgabe des CISO, eine Zugriffsverwaltungslösung bereitzustellen, die sowohl sicher als auch benutzerfreundlich ist.

Lösung für sichere Gesundheitsversorgung

Hideez hat eine erstklassige Authentifizierungslösung speziell für die Gesundheitsbranche entwickelt. Sie gewährleistet die Sicherheit von Patientendaten in einer potenziell riskanten Umgebung von gemeinsam genutzten Computern, auf die mehrere gleichzeitige Benutzer zugreifen. 

Eine Passwort-Manager-Funktion, die in eine Hideez Enterprise Solution integriert ist, schützt die Benutzer vor Phishing-Angriffen, indem sie Passwörter nur für vertrauenswürdige Domains bereitstellt. Der Schlüssel bietet auch eine zusätzliche Personalisierungsebene und fortschrittliche drahtlose Näherungssteuerungen, die den Datenschutz im Gesundheitswesen erreichbarer machen. Unbeaufsichtigte Computer sind eine der größten Herausforderungen, die CISOs im Gesundheitswesen unter HIPAA bewältigen müssen. Es läuft auf den menschlichen Faktor hinaus, und ein einfaches Timeout reicht nicht aus. 

Mit Näherungssteuerungen haben Sie eine elegante Möglichkeit, den Computer zu sperren, sobald er nicht mehr verwendet wird. Ein Gesundheitsfachmann muss nur drei bis vier Schritte vom Computer weggehen, damit er sich automatisch sperrt. Nehmen Sie den kognitiven Sicherheitsaufwand von den medizinischen Fachkräften. Verwenden Sie einfach die Hideez-Lösung, um Ihre Kollegen von Passwörtern zu befreien und ihre Zeit zu sparen.