HIPAA: Leitfaden zur Einhaltung der Vorschriften für Sicherheitsverantwortliche

Aug 23, 2023
Share

Im Gesundheitswesen gehören Datensicherheit und Datenschutz zu den wichtigsten Grundvoraussetzungen für eine qualitativ hochwertige Versorgung. Vertrauen ist von höchster Bedeutung – es muss bewahrt werden; einmal verloren, lässt es sich kaum wiederherstellen. Verständlicherweise erwarten die Menschen, dass ihre persönlichen Gesundheitsdaten vertraulich behandelt werden.

Im Laufe der Zeit wurden Vorschriften für Versicherungen, Dienstleister und Angehörige der Gesundheitsberufe entwickelt, um sie bei der Anwendung und Durchsetzung von Datenschutzrichtlinien und -verfahren zu unterstützen. Die Regeln gelten für jeden, der auf Daten zugreift oder diese nutzt. geschützte Gesundheitsdaten (PHI). Das wichtigste Gesetz dieser Art in den USA ist das Gesetz zur Portabilität und Verantwortlichkeit von Krankenversicherungen von 1996 (HIPAA).

Was ist HIPAA?

HIPAA legt „nationale Standards fest, um sensible Patientendaten vor der Offenlegung ohne Zustimmung oder Wissen des Patienten zu schützen“.

Im Kern von HIPAA stehen fünf Punkte. Titel / Änderungen, die die Verwaltung und den Versicherungsschutz von Kranken- und Lebensversicherungen verbessern. Neben dem Datenschutz gibt es verschiedene Einzelregeln, insbesondere zur Sicherheit, Durchsetzung, Patientensicherheit und Meldepflicht bei Verstößen.

Für Führungskräfte, die sich sowohl unter dem Gesichtspunkt der Sicherheit als auch des Datenschutzes mit Daten auseinandersetzen, sind die Bestimmungen von Titel II (HIPAA Administrative Simplification), der Datenschutzregel und der Sicherheitsregel am relevantesten.

Titel II legt „nationale Standards für elektronische Transaktionen im Gesundheitswesen und nationale Kennungen für Leistungserbringer, Krankenkassen und Arbeitgeber fest. […] Die Übernahme dieser Standards wird die Effizienz und Effektivität des nationalen Gesundheitssystems verbessern, indem sie die weitverbreitete Nutzung des elektronischen Datenaustauschs im Gesundheitswesen fördert.“

Der Datenschutzregel bekräftigt das „Recht des Einzelnen, zu verstehen und zu kontrollieren, wie seine Gesundheitsdaten verwendet werden“.

Der HIPAA-Sicherheitsregel hat weitergehende Auswirkungen auf elektronische Gesundheitsdaten (e-PHI), um die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten zu gewährleisten.

Was ist PHI?

PHI„Gesundheitsdaten“ wird als Sammelbegriff für verschiedene Arten von Gesundheitsdaten verwendet … „Patientendaten“, „persönliche Daten“, „private Daten“, „geschützte Daten“ usw., je nachdem, welche Website man liest. Laut dem US-Gesundheitsministerium … Zusammenfassung des US-Gesundheitsministeriums Laut Gesetz ist „geschützt“ die bevorzugte Bezeichnung und gilt für Metadaten, Datensätze, Transaktionen/Datenaustausch, Pläne und Zahlungen. Aber gibt es personenbezogene Daten, die nicht als PHI (geschützte Gesundheitsdaten) gelten?

Ja. Titel II definiert 18 einzigartige „Kennungen„e-PHI“ (wie zum Beispiel die Aktennummer eines Behandlungsdokuments), aber „anonymisierte“ Daten – Informationen, bei denen alle Merkmale, die sie mit einer bestimmten Person in Verbindung bringen, entfernt oder verschleiert wurden – unterliegen nicht den gleichen Beschränkungen oder Vorschriften.

Gemäß Abschnitt 164.514 Im endgültigen Regeltext gelten folgende Daten als Kennungen (HIPAA wurde vor mehr als zwanzig Jahren verabschiedet, und seitdem wurden viele neue Technologien eingeführt. Es könnten neue Datentypen existieren, die nicht zu diesen Attributen passen):

  1. Namen
  2. Bundesland, Straße, Stadt, Landkreis, Wahlbezirk, Postleitzahl und die entsprechenden Geocodes
  3. Daten (außer Jahr) einschließlich Geburt, Aufnahme, Entlassung, Tod; Alter über 89
  4. Telefonnummern
  5. Faxnummern
  6. E-Mail-Adressen
  7. Sozialversicherungsnummern
  8. Krankenaktennummern
  9. Versichertennummern des Krankenversicherungsplans
  10. Kontonummern
  11. Zertifikats-/Lizenznummern
  12. Fahrzeugidentifikatoren und Seriennummern, einschließlich Kennzeichen
  13. Gerätekennungen und Seriennummern
  14. Universelle Webressourcen-Locators (URLs)
  15. Internet-Protokoll (IP-)Adressnummern
  16. Biometrische Identifikationsmerkmale, einschließlich Finger- und Stimmabdrücke
  17. Ganzgesichtsaufnahmen und vergleichbare Bilder
  18. Jede andere eindeutige Identifikationsnummer, jedes Merkmal oder jeder Code

Wie kann Cyera mir dabei helfen, die Datenschutzbestimmungen von HIPAA einzuhalten?

Cyera bietet einen umfassenden Ansatz zur Ermittlung von Gesundheitsinformationen und ermöglicht Ihnen so einen besseren Schutz der Kundendaten durch die Analyse und Berichterstellung zu Datenstandort, -typ, -status, Alter und anderen datenbezogenen Kontextinformationen. Dieser Kontext kann anschließend genutzt werden, um Daten zu anonymisieren, zu löschen und zu kontrollieren und damit die Anforderungen des HIPAA zu erfüllen.

1. Anonymisierung

Da die Daten in Ihrer Organisation wahrscheinlich an vielen Orten und für viele Zwecke vorhanden sind, müssen Sie sie zunächst inventarisieren und klassifizieren. Dies entspricht direkt Abschnitt 164.502-(B)(2)(d) der Norm, der sich auf die „Nutzung und Offenlegung von anonymisierten geschützten Gesundheitsdaten“ bezieht.

Cyera zeigt Ihnen an, ob Daten anonymisiert sind oder nicht und in welchem ​​Format sie vorliegen (maskiert, gehasht, verschlüsselt, redigiert oder tokenisiert). Falls Sie geschützte Gesundheitsdaten (PHI) haben, die nicht anonymisiert sind, müssen diese verarbeitet und anonymisiert werden, bevor sie weitergegeben oder verwendet werden dürfen.

2. Datenlebenszyklusmanagement

Abschnitt 164.530(iv)(2) schreibt eine Aufbewahrungsfrist für Dokumentationen von Einrichtungen vor, die unter das HIPAA-Gesetz fallen: „sechs Jahre ab dem Datum ihrer Erstellung oder dem Datum ihrer letzten Gültigkeit, je nachdem, welches Datum später liegt“. PHI (geschützte Gesundheitsdaten) unterscheiden sich jedoch von Systemdokumentationen. Die Aufbewahrungsfrist gilt nicht für PHI, sondern für Aufzeichnungen in Sicherheitsprotokollen, Notfallplänen, Richtlinien usw., die zur Verwaltung des Datenverarbeitungssystems verwendet werden. HIPAA enthält keine Aufbewahrungspflichten für Patientendaten, abgesehen von der sechsjährigen Zugriffsfrist. Dies unterscheidet eine Einrichtung, die unter das HIPAA-Gesetz fällt (z. B. ein Krankenhaus), von einer Einrichtung, die Daten verarbeitet, aber nicht besitzt (z. B. eine Speicherplattform).

Cyera fasst die Daten Ihrer Daten zusammen, einschließlich Erstellungs- und Änderungsdatum, und hilft Ihnen so festzustellen, welche Dateien den Richtlinien entsprechen und welche nicht. Dies verhindert versehentliches Löschen vor Ablauf der Frist und ermöglicht die Migration von Daten (z. B. älter als zwei Jahre) in ein externes Archiv zur Kosteneinsparung.

3. Zugangskontrolle

Die HIPAA-Sicherheitsregel zitiert den Grundsatz von „Mindestens erforderlichUm die Gefährdung durch Datenmissbrauch zu reduzieren, wird das Prinzip der minimalen Zugriffsrechte (auch bekannt als „Prinzip der minimalen Zugriffsrechte“) angewendet. Administratoren werden dazu angehalten, die Datennutzung anhand von Rolle, Klassifizierung, Gruppenzugehörigkeit oder anderen nachvollziehbaren Kriterien einzuschränken. Konkret bedeutet dies: „Eine betroffene Einrichtung muss Richtlinien und Verfahren entwickeln und implementieren, die den Zugriff auf und die Nutzung von [geschützten Gesundheitsdaten] basierend auf den spezifischen Rollen ihrer Mitarbeiter einschränken.“

Cyera unterstützt Sie bei der Durchsetzung Ihrer Richtlinien zur Datenzugriffskontrolle (Data Access Governance, DAG). Cyera zeigt Ihnen das Risikoniveau Ihrer Daten an. Durch dieses Verständnis können Sie besser entscheiden, welche Zugriffskontrollen für Ihre Daten am besten geeignet sind.

Darüber hinaus zeigt Cyera Ihnen an, wer Zugriff auf PHI hat, einschließlich aktueller und ehemaliger Mitarbeiter. Mithilfe dieser Informationen können Sie den Zugriff auf diejenigen beschränken, die die Daten benötigen, und ehemaligen Mitarbeitern den Zugriff entziehen.

4. Dynamische Klassifizierung

Der erforderliche Sicherheitsstandard für ein Datenobjekt hängt nicht nur vom aktuellen, sondern auch vom zukünftigen Risiko ab. Verliert eine Datei innerhalb von sechs Monaten an Bedeutung, ist Quantenverschlüsselung wahrscheinlich nicht notwendig. Müssen jedoch geschützte Gesundheitsdaten (PHI) sechs Jahre lang aufbewahrt werden, muss deren Sicherheit über diesen Zeitraum gewährleistet bleiben. Die administrativen Schutzmaßnahmen der Sicherheitsrichtlinie liefern zusätzliche Informationen zur Datenüberwachung, beispielsweise zu Risiko- und Schwachstellenanalysen sowie zu Notfallplänen. Diese unterliegen insbesondere einer HIPAA-Prüfung (oder einer anderen Prüfung).

Da Daten selbst dynamisch sind, sollte auch Ihr Verständnis von Daten dynamisch sein. Cyera informiert Sie über den sich ändernden Status und damit die Sensibilität Ihrer Daten. Zu einem Zeitpunkt können die Daten beispielsweise eine minderjährige Person betreffen. Monate später können dieselben Daten eine erwachsene Person betreffen. Der Kontext, der Ihnen zeigt, was Ihre Daten zu verschiedenen Zeitpunkten repräsentieren, hilft Ihnen, die jeweils angemessenen Maßnahmen zur Datenverwaltung anzuwenden.

Die Art und Weise, wie Sie Ihre Daten verwalten, hängt auch von der Identifizierbarkeit ab – ob die Daten mit einer bestimmten Person in Verbindung gebracht werden können. Cyera hebt hervor, wenn Daten in Ihrer Umgebung als Klartext oder anonymisiert vorliegen. 

5. Schutzmaßnahmen

Aus dem Abschnitt 164.530-(c)(1) „Eine verantwortliche Stelle muss angemessene administrative, technische und physische Sicherheitsvorkehrungen treffen, um die vorsätzliche oder unabsichtliche Offenlegung von [PHI …] zu verhindern und deren zufällige Verwendung einzuschränken […].“ Zu diesen technischen Sicherheitsvorkehrungen (164.312(a, b, c)) gehören beispielsweise rollenbasierte Zugriffskontrollen (RBAC), Intrusion-Detection-Systeme und sogar Sicherheitsschulungen für Mitarbeiter.

Cyera zeigt Ihnen den Kontext Ihrer Sicherheitskontrollen an. Der Kontext gibt an, ob die Daten geschwärzt, verschlüsselt, auf andere Weise transformiert oder im Klartext offengelegt wurden. Außerdem sehen Sie, ob und für wen der Datenspeicher zugänglich ist (z. B. für alle Mitarbeiter, eine einzelne Abteilung, bestimmte Personen oder das Internet).

Unterstützen Sie die HIPAA-Konformität mit Cyera

Die technischen, rechtlichen und verfahrenstechnischen Anforderungen des HIPAA sind vielfältig und komplex. Mit dem richtigen Ansatz können Sie jedoch den Umfang und die Verteilung der PHI in Ihrem Unternehmen verstehen, und Cyera bereitet Sie mit einer umfassenden Analyse Ihrer Datensicherheit optimal auf Audits vor. GesundheitsorganisationDie

Die Datensicherheitsplattform von Cyera bietet umfassenden Kontext zu Ihren Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.

Um mehr darüber zu erfahren, wie Sie die HIPAA-Konformität mit Cyera unterstützen können, Demo vereinbaren Heute.

Share