Unkategorisiert

Was der HIPAA ist und warum die HIPAA-Compliance von großer Bedeutung für Ihr Unternehmen sein kann

Schon einmal von der Abkürzung HIPAA gehört? Wenn Sie und Ihr Unternehmen im Gesundheitsbereich aktiv sind, sollten Sie davon eigentlich des Öfteren gehört haben. Der U.S. Health Insurance Portability and Accountability Act legt nämlich fest, wie Unternehmen mit sensiblen Daten im Bereich der Gesundheitsinformationen umgehen dürfen, sollten oder besser gesagt müssen.

Wir erklären Ihnen, was genau der HIPPAA ist, woraus er sich im Detail zusammensetzt, welche Punkte bei einer Prüfung wirklich relevant erscheinen und worauf es schlussendlich bei all dem ankommt. Wie immer alles in Bezug auf die IT-Sicherheit, denn in diesem Bereich sind wir Profis und können Ihnen problemlos unter die Arme greifen.

Falls Sie also noch nie vom HIPAA gehört haben, lesen Sie unbedingt weiter. Natürlich hauptsächlich dann, wenn Sie mit Ihrem Unternehmen in der Gesundheitsbranche aktiv sind. Aber auch sonst ist das Thema eines, welches Sicherheitsbeauftragte unbedingt auf dem Schirm haben sollten, falls es in der jeweiligen Branche mal an Relevanz gewinnt.

Was genau ist der HIPAA?

Unter HIPAA versteht man im Sicherheitsbereich allgemein den sogenannten U.S. Health Insurance Portability and Accountability Act. Abgekürzt mit HIPAA stellt er eine wichtige Voraussetzung für Unternehmen dar, die mit geschützten Gesundheitsinformationen in Kontakt kommen und mit eben genau diesen arbeiten möchten.

Verabschiedet und unterzeichnet wurde das Gesetz des US-Kongresses bereits in den späten 90er-Jahren von Bill Clinton. Es legt im Grunde genommen fest, wie personenbezogene Daten geschützt und behandelt werden müssen. Insbesondere natürlich von denjenigen, die damit arbeiten. Hier sind in erster Linie die Gesundheits- und Krankenversicherungsbranche zu nennen.

Dabei geht es aber weniger um den direkten Datenschutz, als vielmehr um Daten im Bereich von Betrug und Diebstahl. Die dort genannten Covered Entities legen fest, dass diese sensiblen Daten nur den Patienten, nicht aber anderen Personen weitergegeben werden dürfen. Einige Ausnahmen sind mit speziellen Zustimmungen geregelt. Doch was hat all das denn nun mit der IT-Sicherheit Ihres Unternehmens zu tun?

HIPAA im Bereich der IT-Sicherheit

Der HIPAA beschreibt und legt fest, dass Unternehmen, die mit derartigen Daten handeln oder arbeiten, immer auch physische, Netzwerk- und Prozesssicherheitsmaßnahmen implementieren müssen. Falls Sie also Behandlungen oder Zahlungen im Gesundheitsbereich durchführen, unterliegen Sie den HIPAA-Compliance-Regeln, die teilweise sehr streng ausfallen können.

Zudem betreffen diese HIPAA-Compliance-Regeln nicht nur Sie, sondern auch eventuelle Anbieter oder Partner, die ebenfalls Zugriff auf die Patientendaten haben. Speziell bei den Zahlungen gibt es oft noch Hilfe oder einen Service von Drittanbietern, die dann ebenfalls die HIPAA-Compliance-Regeln entsprechend einhalten müssen. Alle, die mit derartigen Daten zu tun haben, fallen unter diese Aufsicht, wenn man es so nennen möchte. Gleiches gilt im Übrigen für Unterauftragnehmer und Partner Ihres Unternehmens.

Um die HIPAA-Compliance-Regeln entsprechend umzusetzen, braucht es einige Technische und organisatorische Maßnahmen. Auch wenn die Regeln in der Realität noch etwas komplexer sind, setzen sie sich dennoch aus sieben Grundvoraussetzungen zusammen, die es in Bezug auf die HIPAA einzuhalten gilt. Diese nennen wir Ihnen im Folgenden Absatz.

Sieben Regeln für eine HIPAA-Compliance

Um Regeln, wie die der HIPAA-Compliance, entsprechend genau umzusetzen und effektiv einzusetzen, hat das HHS Office of Inspector General (OIG) ein »Seven Elements of an Effective Compliance Program« erstellt. Dabei handelt es sich um eine Art von Punkteplan, der wiederum dafür sorgt, dass Compliance-Lösungen entsprechend umfangreich und allumfassend im eigenen Unternehmen umgesetzt werden können.

  1. Einführung von schriftlichen Richtlinien, Verfahren und Verhaltensstandards.
  2. Ernennung eines Compliance-Beauftragten und eines Compliance-Ausschusses.
  3. Durchführung von effektiven Schulungs- und Ausbildungsmaßnahmen.
  4. Entwicklung wirksamer Kommunikationskanäle.
  5. Durchführung interner Kontrollen und Audits.
  6. Durchsetzung der Standards durch gut bekannt gemachte Disziplinarrichtlinien.
  7. Unverzügliche Reaktion auf aufgedeckte Verstöße und Ergreifung von Korrekturmaßnahmen.

Mit den sieben Elementen für ein erfolgreiches Compliance-Programm, sind Sie auf der sicheren Seite und vergessen keinen der essenziellen Punkte diesbezüglich. Sollte es zu einem Verstoß kommen, findet eine HIPAA-Untersuchung der OCR statt. Diese wird die sieben Punkte genauestens prüfen. Mehr dazu finden Sie auch hier auf der Website.

Die HIPAA-Compliance ist nur ein Teil der Sicherheitsstrategie

In der heutigen Zeit werden die meisten Daten elektronisch verarbeitet und entsprechend gespeichert. Oft werden sie dafür in eigene Systeme eingepflegt, häufig treten aber auch Dienstleister in Erscheinung, die sich auf den jeweiligen Bereich spezialisiert haben. Eine HIPAA-Compliance fällt da gerne einmal unter den Tisch, wenn im Unternehmen niemand darauf achtet und über entsprechende Kenntnisse verfügt.

Natürlich ist dies für die IT-Sicherheit elementar wichtig und auch für das Unternehmen, welches mit derartigen Datensätzen zu tun hat. Durch die vielen Dienstleister und eigenen Systeme entstehen jedoch auch unweigerlich Sicherheitsrisiken und eventuelle Sicherheitslücken. Die Einhaltung des HIPAA ist hier absolut notwendig, um jederzeit einen reibungslosen Betrieb gewährleisten zu können.

Die Netzwerk- und Übertragungssicherheit ist dabei nur der Anfang, denn natürlich dürfen Gesundheitsdaten von Patienten auch nicht einfach so bearbeitet werden. Wenn Ihr Unternehmen damit zu tun hat, ist die HIPAA-Compliance also nur ein Bestandteil einer noch größeren, allumfassenden Sicherheitsstrategie.

Gerne unterstützen und beraten wir Sie bezüglich einer Umsetzung und führen verschiedene Maßnahmen durch, um Ihre IT-Sicherheit zu prüfen und noch einmal zu erhöhen. Sprechen Sie uns gerne diesbezüglich an, sollten Sie Interesse an einer Beratung haben.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.