Warum die Einhaltung des HIPAA für Ihr Unternehmen wichtig ist

HIPAA ist der Health Insurance Portability and Accountability Act in den USA. Es ist die Gesetzgebung, die sicherstellt, dass Ihre geschützten Gesundheitsinformationen (PHI) privat und sicher aufbewahrt werden. Er regelt, wie Gesundheitsdienstleister und die mit ihnen verbundenen Unternehmen mit Ihren Daten umgehen und Ihre Gesundheitsinformationen schützen müssen, und gibt die Standards vor, die erforderlich sind, um sicherzustellen, dass PHI-Daten jederzeit korrekt gespeichert, gehandhabt und abgerufen werden.

Außerdem werden erhebliche Bußgelder und Strafen für Einzelpersonen und Organisationen festgelegt, die mit sensiblen PHI-Daten umgehen und sich nicht an die Standards halten.

PHI umfasst:

• Alle Ihre medizinischen Aufzeichnungen, wie Bluttestergebnisse oder MRT-Scans.
• Abrechnungsunterlagen in der Arztpraxis.
• Gespräche (E-Mails, Notizen) über Ihre Gesundheit zwischen Ihnen und Ihrem Arzt, Ihrem Arzt und anderem medizinischen Personal oder Ihrem Gesundheitsdienstleister und Ihrer Versicherungsgesellschaft.

Ursprünglich mussten nur Ärzte, Krankenhäuser und Versicherungsgesellschaften die HIPAA-Vorgaben einhalten, da sie die einzigen Personen und Organisationen waren, die Zugang zu PHI hatten. Diese werden als Betroffene Einrichtungen bezeichnet und umfassen alle Organisationen, die „Behandlung, Zahlung und Gesundheitsversorgung“ anbieten.

Zu den betroffenen Einrichtungen gehören:

• Ärzte und ihre Praxen
• Krankenhäuser
• Apotheken
• Versicherungsunternehmen
• HMOs (Health Maintenance Organizations)

Mit einer Aktualisierung aus dem Jahr 2013 wurde der Geltungsbereich des HIPAA jedoch erweitert, um dem zunehmenden Einsatz von Outsourcing- und Cloud-Anbietern im Gesundheitswesen Rechnung zu tragen. Jeder Dienst, der PHI-Daten überträgt, speichert oder empfängt, wird nun als Geschäftspartner eingestuft und muss den HIPAA einhalten.

Zu den Geschäftspartnern gehören:

• Ein medizinischer Transkriptionsdienst, der Dienstleistungen für einen Arzt erbringt.
• Ein SaaS-Unternehmen, das cloudbasierte elektronische Gesundheitsakten für Ärzte anbietet.
• Ein Analytik-Unternehmen, das medizinische Daten verarbeitet.

Damit eine betroffene Einrichtung oder ein Geschäftspartner das HIPAA-Gesetz einhalten kann, müssen sie vier Punkte erfüllen:

1. Sicherheitsvorkehrungen treffen, damit die PHI-Daten stets geschützt sind.
2. Den Zugriff auf PHI-Daten auf die Personen beschränken, die für die Erfüllung des beabsichtigten Zwecks benötigt werden.
3. Vereinbarungen (Business Associate Agreements, BAAs) mit Dienstleistern abschließen, um die Sicherheit von PHI-Daten zu gewährleisten.
4. Verfahren und Richtlinien zur Beschränkung des Zugriffs auf PHI-Daten sowie Schulungen bereitstellen, um Mitarbeiter und Benutzer über Datensicherheit und Datenschutz zu informieren.

Von den vier HIPAA-Regeln (Sicherheit, Datenschutz, Durchsetzung und Meldung von Datenschutzverletzungen) ist es die HIPAA-Sicherheitsregel, der Entwickler besondere Aufmerksamkeit widmen müssen.

Für SaaS-Unternehmen, die mit Gesundheitsdienstleistern, medizinischen Organisationen oder Geschäftspartnern, die bereits in der Branche tätig sind, zusammenarbeiten möchten, legt die Sicherheitsregel fest, wie PHI-Daten von der App oder dem Dienst behandelt werden müssen.

Diese Regel legt die technischen Sicherheitsvorkehrungen fest, die sicherstellen, dass der Zugriff auf die Daten kontrolliert wird, dass die Daten sicher sind und dass die Personen ordnungsgemäß authentifiziert werden.

• Zugangskontrolle Es müssen Richtlinien und Verfahren vorhanden sein, die sicherstellen, dass nur autorisierte Benutzer auf PHI-Daten zugreifen können. Dazu könnten eindeutige Kennungen für jeden Benutzer, Verfahren für den Zugang in Notfällen und Verschlüsselungsverfahren gehören.
• Audit-Kontrollen Es sollten Mechanismen vorhanden sein, um die Aktivitäten im System aufzuzeichnen und den Zugriff durch Einzelpersonen zu überprüfen.
• Integritätskontrollen Alle PHI-Daten sollten nicht unzulässig verändert oder zerstört werden, und es sollten Verfahren eingerichtet werden, mit denen Prüfer bestätigen können, ob dies geschehen ist.
• Übertragungssicherheit Sicherheitsmaßnahmen sollten sicherstellen, dass kein unbefugter Zugriff auf die PHI-Daten erfolgt, wenn diese über ein Netzwerk übertragen werden.

Die Verwendung von HIPAA-Standards eröffnet Ihnen den Zugang zu neuen Kunden in einem wachsenden Markt. 67 % der Organisationen im Gesundheitswesen nutzen derzeit einen SaaS-Dienst in ihrem Arbeitsablauf, und 92 % der Gesundheitsdienstleister geben an, dass sie eine künftige Nutzung von SaaS in ihrer Organisation erwarten. Indem Sie die HIPAA-Standards anwenden, können Sie die 3 Billionen Dollar schwere Gesundheitsindustrie für sich erschließen.

Indem Sie auf die Einhaltung des HIPAA hinarbeiten, können Sie sich drei neue Kundenkreise erschließen:

• Betroffene Einrichtungen
  • 80 % der Ärzte und 60 % der Krankenhäuser verwenden inzwischen elektronische Gesundheitsakten (EHR). Diese Unternehmen verlangen die Einhaltung des HIPAA für jeden von ihnen genutzten Cloud-Service.
• Geschäftspartner
  • Neben den betroffenen Einrichtungen können auch andere Geschäftspartner, die PHI verarbeiten, sicher sein, dass Ihr Service auch alle Daten schützt. In dem Maße, wie der Cloud-Markt für das Gesundheitswesen wächst, werden Lösungen von Drittanbietern für Geschäftspartner in der Lage sein, sich selbst als Geschäftspartner zu vermarkten.
• Wearables und Gesundheitstechnologien
  • Obwohl Wearables derzeit nicht HIPAA-konform sein müssen, bedeutet der Trend zur Weitergabe personenbezogener Gesundheitsdaten durch Wearables und Apps, dass diese Unternehmen die Grenzen zwischen dem, was HIPAA-konform sein muss, und dem, was nicht, verwischen.

Damit können Unternehmen Auth0 als Identitäts- und Authentifizierungsdienst konfigurieren, um ihre HIPAA-Anforderungen zu erfüllen.