Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Gesetz, das Standards zum Schutz sensibler Gesundheitsdaten festlegt. Gesundheitsorganisationen und ihre Partner sind verpflichtet, geschützte Gesundheitsinformationen (Protected Health Information, PHI) beim Speichern, Abrufen, Übertragen oder Teilen zu schützen.
Geltungsbereich
HIPAA gilt sowohl für betroffene Einrichtungen (Covered Entities) als auch für Geschäftspartner (Business Associates).
- Zu den betroffenen Einrichtungen gehören Krankenversicherungen, Abrechnungsstellen im Gesundheitswesen sowie Gesundheitsdienstleister, die bestimmte Transaktionen elektronisch verarbeiten.
- Geschäftspartner sind Personen oder Organisationen, die PHI im Auftrag einer betroffenen Einrichtung verarbeiten, beispielsweise Anbieter für Datenspeicherung, Dateifreigabe oder Datenübertragung. Sie können außerdem mit Subunternehmern zusammenarbeiten, die PHI in ihrem Auftrag erstellen, empfangen, speichern oder übertragen. In solchen Fällen sind Verträge oder andere formelle Vereinbarungen zwischen den Parteien erforderlich, um sicherzustellen, dass PHI in Übereinstimmung mit HIPAA verarbeitet wird.
Datenschutzbestimmungen im Überblick
Die HIPAA-Datenschutzbestimmungen:
- Schreiben angemessene Schutzmaßnahmen für PHI vor.
- Regeln, wie PHI verwendet und offengelegt werden darf.
- Geben Patienten Rechte in Bezug auf ihre Gesundheitsdaten, darunter das Recht auf Zugriff auf ihre Unterlagen sowie auf deren Korrektur.
Erforderliche Schutzmaßnahmen
HIPAA verpflichtet Organisationen dazu, administrative, physische, technische und organisatorische Schutzmaßnahmen zum Schutz von PHI umzusetzen. Zu den wichtigsten Anforderungen gehören:
- Zugriffskontrolle: Technische Richtlinien und Verfahren müssen sicherstellen, dass nur autorisierte Personen Zugriff auf PHI haben.
- Datenintegrität: PHI muss vor unbefugter Veränderung oder Zerstörung geschützt werden.
- Verschlüsselung: Elektronische PHI sollte sowohl während der Übertragung als auch bei der Speicherung verschlüsselt werden.
- Business Associate Agreement: Betroffene Einrichtungen und Geschäftspartner müssen Vereinbarungen abschließen, die festlegen, wie PHI geschützt und verarbeitet wird. Diese Vereinbarungen verpflichten Geschäftspartner und deren Subunternehmer dazu:
- PHI HIPAA-compliant zu verarbeiten.
- PHI nur im zulässigen Rahmen zu verwenden und offenzulegen.
- Sicherheitsvorfälle oder Datenschutzverletzungen zu melden, sobald sie davon Kenntnis erhalten.
Meldepflicht bei Datenschutzverletzungen
Die HIPAA-Regelung zur Meldung von Datenschutzverletzungen verpflichtet betroffene Einrichtungen und Geschäftspartner dazu, betroffene Personen – und in bestimmten Fällen auch Behörden oder Medien – zu benachrichtigen, wenn ungesicherte PHI im Rahmen einer Datenschutzverletzung offengelegt wird.
- Ungesicherte PHI bezeichnet Daten, die nicht durch Technologien geschützt wurden, die sie für unbefugte Dritte unlesbar oder unbrauchbar machen.
- Tresorit schützt PHI durch clientseitige Verschlüsselung. Dateien werden verschlüsselt, bevor sie das Gerät des Benutzers verlassen, und die Entschlüsselungsschlüssel sind in der Cloud nicht zugänglich. Dies verhindert unbefugten Zugriff auf sensible Daten, auch durch Tresorit selbst.