Was besagen die HIPAA-Security-Regel und die HIPAA-Privacy-Regel?

Folgen bei Nichteinhaltung

HIPAA schreibt vor, dass unter die Bestimmungen fallende Entitäten (einschließlich Geschäftspartner) technische, physische und administrative Maßnahmen zum Schutz geschützter Gesundheitsdaten ergreifen müssen. Diese Schutzmaßnahmen sollen nicht nur die Privatsphäre, sondern auch die Integrität und den Zugriff auf die Daten schützen.

Die Behörde für Bürgerrechte des US-Gesundheitsministeriums (Department of Health and Human Services (HHS) Office for Civil Rights (OCR)) ist für nicht-kriminelle Verstöße gegen die HIPAA-Vorgaben zuständig. Bei Nichteinhaltung der Vorschriften können pro Kalenderjahr und Verstoß "gegen die gleiche Vorgabe" Geldbußen zwischen 100 und 50.000 US-Dollar verhängt werden.

Viele OCR-HIPAA-bezogene Rechtsstreitigkeiten haben Geldbußen in Höhe von über 1 Million US-Dollar zur Folge. Mit 5,5 Millionen US-Dollar wurde im September 2016 der höchste Betrag gegen Advocate Health Care verhängt. Die Summe kam aufgrund mehrerer Sicherheitsverstöße mit insgesamt 4 Millionen betroffenen Personen zustande.

Personen und Organisationen drohen nicht nur zivilrechtlich, sondern auch strafrechtlich haftbar gemacht zu werden, wenn sie geschützte Gesundheitsdaten wissentlich, unter falschem Vorwand oder mit der Absicht beschaffen oder offenlegen, diese Daten zu kommerziellen oder böswilligen Zwecken zu verwenden. HIPAA-bezogene Straftaten fallen in die Zuständigkeit des US-Justizministeriums und können neben Geldbußen auch zu Freiheitsstrafen von bis zu zehn Jahren führen.

Die Privacy-Regel und die Security-Regel

Die HIPAA-Privacy-Regel legt Standards für den Schutz von Patientenakten und anderen geschützten Gesundheitsdaten fest. Die Regel definiert die Rechte von Patienten in Bezug auf ihre Informationen und schreibt vor, dass davon abgedeckte Entitäten diese Informationen schützen müssen. Die Privacy-Regel befasst sich im Wesentlichen damit, wie geschützte Gesundheitsdaten verwendet und offengelegt werden können. Die Security-Regel ist ein Teilbereich der Privacy-Regel und bezieht sich konkret auf digitale geschützte Gesundheitsdaten.

Die Security-Regel schreibt die folgenden Schutzmaßnahmen vor:

Technischer Schutz

Hierunter fallen die Technologie sowie die Richtlinien und Verfahren für die Verwendung der Technologie, die digitale geschützte Gesundheitsdaten insgesamt schützen und den Zugriff darauf kontrollieren.

Zu den technischen Sicherheitsstandards gehören:

• Zugriff: Bezieht sich auf die Möglichkeit zum Lesen, Schreiben, Ändern und Kommunizieren der Daten, einschließlich Dateien, Systeme und Anwendungen. Die Kontrollen müssen eindeutige Benutzer-IDs und automatische Abmeldungen und können Zugriffsverfahren für Notfälle sowie Datenverschlüsselung umfassen.
• Audit-Kontrollen: Bezieht sich auf Mechanismen zur Aufzeichnung und Untersuchung von Aktivitäten im Zusammenhang mit digitalen geschützten Gesundheitsdaten in den Informationssystemen.
• Integrität: Schreibt Richtlinien und Verfahren zum Schutz der Daten vor unbefugter Änderung oder Zerstörung vor.
• Authentifizierung: Schreibt die Verifizierung der Identität der Entität oder Person vor, die Zugriff auf die geschützten Daten sucht.

Physischer Schutz

Hierunter fallen physische Maßnahmen, Richtlinien und Verfahren zum Schutz elektronischer Informationssysteme und zugehöriger Geräte und Gebäude vor Naturgefahren, Umweltrisiken und Eindringungsversuchen durch unbefugte Personen.

Zu den physischen Sicherheitsstandards gehören:

• Zugangskontrollen für Gebäude: Bezieht sich auf Richtlinien und Verfahren zur Beschränkung des Zugangs zu Gebäuden, in denen Informationssysteme installiert sind. Zu den Kontrollen können Prozeduren für den Notfallbetrieb, für die Wiederherstellung verlorener Daten, ein Plan zur Gefahrenabwehr für das Gebäude, Verfahren zur Kontrolle und Validierung des Zugangs basierend auf den Rollen und Funktionen von Personen sowie Wartungsprotokolle über Reparaturen und Änderungen an den Gebäudesicherheitsanlagen gehören.
• Verwendung von Workstations: Bezieht sich auf die angemessene geschäftliche Verwendung von Workstations, d. h. von elektronischen Datenverarbeitungsgeräten und elektronischen Medien, die sich in der unmittelbaren Umgebung befinden. Beispielsweise darf auf der Workstation zur Patientenabrechnung kein anderes Programm im Hintergrund ausgeführt werden (z. B. auch kein Browser).
• Workstation-Sicherheit: Schreibt für Workstations, die auf digitale geschützte Gesundheitsdaten zugreifen, die Implementierung physischer Schutzmaßnahmen vor. Während die Regel über die Workstation-Verwendung festlegt, wie eine Workstation, auf der sich digitale geschützte Gesundheitsdaten befinden, verwendet werden kann, schreibt der Workstation-Sicherheitsstandard vor, wie Workstations physisch vor unbefugten Zugriffen geschützt werden sollen. Dazu gehört beispielsweise, dass die Workstation in einem sicheren Raum aufbewahrt werden muss, zu dem nur autorisierte Personen Zugang haben.
• Kontrollen für Geräte und Medien: Schreibt Richtlinien und Verfahren für die Entfernung von Hardware und elektronischen Medien vor, auf denen sich digitale geschützte Gesundheitsdaten befinden, die in die Einrichtung oder aus der Einrichtung übertragen werden bzw. innerhalb der Einrichtung verwendet werden. Der Standard regelt die Entsorgung und Wiederverwendung von Medien, die Protokollierung aller Medienbewegungen sowie die Sicherung und Speicherung von Daten.

Administrativer Schutz

Hierunter fallen administrative Aktionen, Richtlinien und Verfahren für die Verwaltung der Auswahl, Entwicklung, Implementierung und Wartung von Sicherheitsmaßnahmen zum Schutz von digitalen geschützten Gesundheitsdaten und für die Verwaltung des Mitarbeiterverhaltens in Bezug auf den Schutz von digitalen geschützten Gesundheitsdaten.

Mehr als die Hälfte der HIPAA-Security-Regeln konzentriert sich auf administrative Schutzmaßnahmen. Die Standards regeln Folgendes:

• Sicherheitsverwaltungsprozess: Umfasst die Richtlinien und Verfahren zum Verhindern, Erkennen, Eindämmen und Korrigieren von Verstößen. Ein wichtiger Bestandteil dieses Standards ist die Durchführung einer Risikoanalyse und die Implementierung eines Risikomanagementplans.
• Zuweisung eines Sicherheitsverantwortlichen: Schreibt vor, dass ein Sicherheitsbeauftragter benannt werden muss, der für die Entwicklung und Implementierung von Richtlinien und Verfahren verantwortlich ist.
• Mitarbeitersicherheit: Bezieht sich auf Richtlinien und Verfahren, die den Zugriff von Mitarbeitern auf digitale geschützte Gesundheitsdaten kontrollieren, einschließlich Autorisierung, Überwachung, Freigabe und Beendigung.
• Informationszugriffsverwaltung: Konzentriert sich auf die Beschränkung unnötiger und unangemessener Zugriffe auf digitale geschützte Gesundheitsdaten.
• Sicherheitsbewusstsein und Schulungen: Schreibt die Implementierung eines Schulungsprogramms für die Steigerung des Sicherheitsbewusstseins für die gesamte Belegschaft der abgedeckten Entität vor.
• Verfahren für Sicherheitsvorfälle: Umfasst Verfahren zum Identifizieren von Vorfällen und Melden an die zuständigen Personen. Ein Sicherheitsvorfall ist definiert als "ein versuchter oder erfolgreicher unbefugter Zugriff auf Informationen oder die versuchte oder erfolgreiche Verwendung, Offenlegung, Änderung oder Zerstörung von Informationen oder die Störung des Systembetriebs bei einem Informationssystem".
• Notfallplan: Schreibt Pläne für Datensicherung, Wiederherstellung nach Systemausfall und den Notfallbetrieb vor.
• Evaluierung: Schreibt die regelmäßige Bewertung der implementierten Sicherheitspläne und -verfahren vor, um die kontinuierliche Compliance der HIPAA-Security-Regel zu gewährleisten.
• Verträge mit Geschäftspartnern und Partnerunternehmen: Schreibt vor, dass alle abgedeckten Entitäten schriftliche Vereinbarungen oder Verträge mit ihren Lieferanten, Auftragnehmern und anderen Geschäftspartnern haben, die digitale geschützte Gesundheitsdaten im Namen der von HIPAA abgedeckten Entität erstellen, empfangen, verwalten oder übermitteln.

Sicherstellen der HIPAA-Compliance

Die HIPAA-Vorgaben sind nicht präskriptiv, sondern flexibel und skalierbar, damit sie für jede abgedeckte Entität und entsprechend der weiteren technologischen Entwicklung auch zukünftig angewendet werden können. Jedes Unternehmen muss die für seine Umgebung erforderlichen und angemessenen Sicherheitsmaßnahmen bestimmen.

Auch wenn einige Lösungen kostspielig sein können, warnt das US-Gesundheitsministerium (Department of Health and Human Services), dass die Kosten nicht allein ausschlaggebend sein sollten, und betont, dass der Schwerpunkt auf der Durchführung von Risikobewertungen und der Implementierung von Plänen zur Reduzierung und Kontrolle der Risiken liegt.

Auch wenn die Security-Regel technologieneutral gefasst ist und keine bestimmten Sicherheitstechnologien vorschreibt, wird die Verschlüsselung als Best Practice empfohlen. Viele der bei der OCR gemeldeten HIPAA-bezogenen Datenkompromittierungen sind auf den Diebstahl und Verlust nicht verschlüsselter Geräte zurückzuführen.

In den letzten zwei bis drei Jahren werden immer mehr Vorfälle durch Cyber-Angriffe verursacht. Wenn geschützte Daten verschlüsselt wurden, sind sie für Unbefugte unbrauchbar, unabhängig davon, ob die Kompromittierung durch den Diebstahl oder Verlust des Geräts oder einen Cyber-Angriff aufgetreten ist. Zu beachten ist dabei, dass der Verlust oder Diebstahl von verschlüsselten Daten nicht als Datenkompromittierung eingestuft wird und gemäß HIPAA nicht gemeldet werden muss.

Wenn Unternehmen Cloud-Dienste einführen, müssen sie berücksichtigen, wie sich der Einsatz dieser Dienste auf die Einhaltung der HIPAA-Security-Regeln auswirkt, und die Implementierung von Cloud-Sicherheitslösungen (z. B. CASB) in Betracht ziehen. Cloud-Dienste, die digitale geschützte Gesundheitsdaten verarbeiten, sind im Sinne von HIPAA als Geschäftspartner einzustufen und erfordern daher eine unterzeichnete Geschäftsvereinbarung, in der die Compliance-Vorgaben festgelegt sind. Die Sorgfaltspflicht – und die Gesamtverantwortung – liegt jedoch bei der abgedeckten Entität, selbst wenn ein Dritter für die Datenkompromittierung verantwortlich ist.

Die OCR untersucht nicht nur gemeldete Datenkompromittierungen, sondern hat auch ein Audit-Programm implementiert. Die Zahl und Höhe der Geldbußen im Zusammenhang mit HIPAA-Verstößen ist in den letzten Jahren gestiegen. Die Bandbreite der Verstöße, die zu Geldstrafen führten, reichte von Malware-Infektionen und fehlenden Firewalls bis zu fehlenden Risikobewertungen und Vereinbarungen mit Geschäftspartnern.

Laut dem HIPAA Journal entstehen einem Unternehmen durch eine HIPAA-bezogene Datenkompromittierung Kosten von durchschnittlich 5,9 Millionen US-Dollar. Dazu kommen die Bußgelder, die durch die OCR verhängt werden und sich auf mehrere Millionen Dollar summieren können. Zudem kann die Nichteinhaltung verschiedene weitere Folgen haben, z. B. den Verlust von Geschäftsmöglichkeiten, Kosten für die Benachrichtigung über die Kompromittierung sowie Klagen betroffener Personen. Außerdem können weniger greifbare Kosten wie Reputationsschäden für das Unternehmen entstehen.