Wichtige HIPAA-Anforderungen und Standards für die Datensicherheit

Jede Organisation, unabhängig von Marktsektor oder Unternehmensgröße, muss ihre Daten sichern, um Datenlecks und andere Sicherheitsvorfälle zu minimieren. Die Bedeutung von Datensicherheit im Gesundheitswesen wird durch die Notwendigkeit verstärkt, den Health Insurance Portability and Accountability Act (HIPAA) einzuhalten. Dieser Artikel beschreibt Datenschutzstrategien und -taktiken, die Gesundheitsorganisationen anwenden können, um den wichtigsten Bestimmungen des HIPAA zu entsprechen, und untersucht die häufigsten Bedrohungen für die Datensicherheit im Gesundheitswesen.

HIPAA-Datensicherheits- und Datenschutzregeln

Hintergrund

Technische Fachkräfte in Gesundheitsorganisationen sind dafür verantwortlich, Gesundheitsinformationen gegen Sicherheitsbedrohungen und Sicherheitsrisiken zu schützen. Sowohl externe Hacker als auch bösartige Insider versuchen ständig, Zugang zu elektronisch geschützten Gesundheitsinformationen (e-PHI) zu erlangen, meist mit dem Ziel, finanziellen Gewinn aus dem Verkauf der Informationen, Identitätsdiebstahl oder Erpressung zu erzielen. Geschützte Gesundheitsinformationen umfassen alle Informationen, die sich auf die vergangene, gegenwärtige oder zukünftige Gesundheit oder den Zustand (mental oder physisch) einer Person beziehen. Dies schließt Daten über erbrachte medizinische Leistungen, Zahlungen für Gesundheitsversorgung und Krankenversicherungsleistungen ein.

HIPAA wurde 1996 erlassen, um Gesundheitsorganisationen dazu zu zwingen, ihre Datensicherheit zu verbessern. Es umfasst mehrere Anforderungen, die regeln, wie Gesundheitsorganisationen mit Gesundheitsinformationen umgehen müssen. Zum Beispiel müssen sie die Privatsphäre von persönlichen Gesundheitsinformationen schützen, indem sie die Nutzung oder Offenlegung dieser Informationen ohne Patienteneinwilligung einschränken.

HIPAA umfasst zwei Schlüsselkomponenten: die Datenschutzregel und die Sicherheitsregel.

Datenschutz-Regelung

Die HIPAA-Datenschutzregel regelt, wer Zugang zu PHI haben darf und wie diese verwendet und offengelegt werden kann. Die wichtigsten Anforderungen sind wie folgt:

• Sie müssen Richtlinien und Verfahren implementieren, die den Zugriff auf und die Nutzung von geschützten Gesundheitsinformationen basierend auf den Rollen der Mitarbeiter einschränken. Geschützte Gesundheitsinformationen sollten für keinen Mitarbeiter zugänglich sein, der keinen Zugriff benötigt, wie zum Beispiel ein Büroleiter oder ein Sicherheits
• Sie müssen Richtlinien und Verfahren implementieren, die die Verwendung und Offenlegung von PHI auf das notwendige Minimum beschränken. Zum Beispiel, wenn eine Versicherungsgesellschaft den Namen einer Person, die Sozialversicherungsnummer und Details ihres letzten medizinischen Eingriffs benötigt, erfordert die Datenschutzregelung, dass Sie nicht die gesamte Krankenakte der Person senden.
• Sie müssen eine schriftliche Genehmigung einer Person einholen, bevor Sie deren geschützte Gesundheitsinformationen offenlegen. Beispielsweise, wenn Sie vorhaben, persönliche Gesundheitsinformationen an ein Pharmaunternehmen zu senden, müssen Sie zuerst die schriftliche Genehmigung der Person einholen.

Es gibt potenzielle zivil- und strafrechtliche Strafen für die Nichteinhaltung der HIPAA Privacy Rule. Während einige Bundesstaaten ihre eigenen Regeln haben, ist HIPAA eine bundesweite Anforderung, die widersprüchliche Regeln auf Bundesebene außer Kraft setzt. Zu den von HIPAA abgedeckten Einrichtungen gehören nicht nur Gesundheitsdienstleister wie Krankenhäuser und Pflegeheime, sondern auch Gesundheitspläne (Krankenversicherungen, HMOs usw.) und Gesundheitsabrechnungsstellen (Einrichtungen, die Gesundheitsinformationen verarbeiten, die sie von anderen Einrichtungen erhalten).

HIPAA-Sicherheitsregel

Die HIPAA-Sicherheitsregel verlangt von Gesundheitsorganisationen, ePHI mithilfe geeigneter administrativer, physischer und technischer Schutzmaßnahmen zu schützen. Insbesondere fordert die Sicherheitsregel von den betroffenen Einrichtungen Folgendes:

• Stellen Sie die Vertraulichkeit, Integrität und Verfügbarkeit aller elektronischen geschützten Gesundheitsinformationen (e-PHI), die sie erstellen, empfangen, pflegen oder übermitteln, sicher. Diese Regel verlangt von Ihnen, dass Sie die Datenvertraulichkeit, -integrität und -verfügbarkeit (CIA oder das „CIA-Triad“) gewährleisten. Lassen Sie uns die einzelnen Komponenten der Regel betrachten:
  • Vertraulichkeit. Sie können die Vertraulichkeit gewährleisten, indem Sie Sicherheitskontrollen implementieren wie Zugriffskontrolllisten (ACLs) und Verschlüsselung. Verschlüsselung bietet höhere Sicherheit und Vertraulichkeit als ACLs. Andere Sicherheitskontrollen oder Software werden oft zusätzlich zu ACLs und Verschlüsselung eingesetzt; dazu können Konfigurationsmanagementsoftware, Überwachungs- und Alarmierungssoftware und Auditing-Software gehören.
  • Integrität. Datenintegrität bedeutet, dass die Daten nicht verändert wurden. Wenn beispielsweise ein Man-in-the-Middle-Angriff Daten abfängt und verändert, bevor er sie an ihr ursprüngliches Ziel sendet, haben die Daten keine Integrität. Eine Möglichkeit, die Integrität zu gewährleisten, ist die Verwendung einer digitalen Signatur oder eines Hash-Werts. Für in Datenbanken gespeicherte Daten müssen Sie die Entitätsintegrität, referenzielle Integrität und Domänen
  • Verfügbarkeit. Manchmal vergessen die Menschen, dass Verfügbarkeit ein wesentliches Element der Datensicherheit ist. Um sicherzustellen, dass Personen auf die Daten zugreifen können, die sie benötigen, können Organisationen verschiedene Lösungen implementieren, wie die Replikation vom primären Datenzentrum zu einem sekundären Daten Lastverteilern, redundante Hardware und andere Strategien können ebenfalls dazu beitragen, eine hohe Verfügbarkeit zu gewährleisten.

• Identifizieren und schützen Sie sich gegen vernünftigerweise vorhersehbare Bedrohungen für die Sicherheit oder Integrität geschützter Informationen. Diese Regel erfordert eine gewisse Auslegung. Viele Organisationen irren auf der Seite der Vorsicht und schließen so viele Bedrohungen wie möglich ein, gehen sogar so weit, ihre gesamte Lieferkette einzubeziehen oder die Nutzung von Mobilgeräten in bestimmten Bereichen ihrer Einrichtungen einzuschränken. Diese strenge Auslegung hilft sicherzustellen, dass sie die Anforderungen der Sicherheitsregel erfüllen. In jedem Fall umfassen vernünftige Bedrohungen sicherlich unzulässige Datenänderungen, unbefugten Datenzugriff und Daten. Diese und andere Bedrohungen werden später in diesem Artikel ausführlicher besprochen.
• Schützen Sie sich gegen vernünftigerweise vorhersehbare unzulässige Verwendungen oder Offenlegungen. Diese Regel ist auch offen für Interpretationen. Ist es vernünftig zu erwarten, dass ein Mitarbeiter geschützte Gesundheitsinformationen an einen Freund des Patienten weitergibt? Könnte ein Arzt einige Patientenakten oder Patientengesundheitsdetails an die Medien weitergeben, wenn eine Berühmtheit behandelt wird? Diese Regel könnte Sie dazu veranlassen, solche Fälle zu berücksichtigen.
• Stellen Sie die Einhaltung der Vorschriften durch Ihre Belegschaft sicher. Diese Regel umfasst einige der administrativen Schutzmaßnahmen, die zur Einhaltung der Sicherheitsvorschrift notwendig sind. Um die Einhaltung zu gewährleisten, müssen Sie Ihre Belegschaft schulen. Sie sollten auf einer übergeordneten Ebene verstehen, was HIPAA ist und welche Rolle sie bei der Einhaltung spielen, sowie die Sicherheitsrichtlinien und -verfahren Ihrer Organisation. Wiederholte Schulungen im Laufe des Jahres sind notwendig, damit die Mitarbeiter über neue Anforderungen oder Methoden informiert werden. Stellen Sie sicher, dass Sie auch regelmäßige Tests durchführen und mit zusätzlichen Schulungen für Personen nachfassen, die es benötigen.

HIPAA-Durchsetzungsregel

Neben der Datenschutzregel und der Sicherheitsregel sollten Sie auch mit der HIPAA Enforcement Rule, die sich mit Compliance, Untersuchungen und Strafen befasst, vertraut sein.

HITECH Act

Das Health Information Technology for Economic and Clinical Health (HITECH) Gesetz erweitert den Geltungsbereich von HIPAA. Es fördert die Verwendung von elektronischen Gesundheitsakten, erhöht die Haftung bei Nichteinhaltung, regelt die Benachrichtigung bei Datenschutzverletzungen und verlangt, dass bestimmte Geschäftspartner von HIPAA-abgedeckten Organisationen die HIPAA-Vorschriften einhalten.

Strategien für die HIPAA-Konformität

Offensichtlich ist die HIPAA compliance eine komplexe Angelegenheit und das Risiko eines Scheiterns ist hoch. Es gibt mehrere Ressourcen, die Ihnen helfen können, eine HIPAA-konforme IT-Umgebung zu erreichen und zu erhalten, wie HIPAA Software.

Das National Institute of Standards and Technology (NIST) legt nationale Standards fest und bietet kostenlose IT-Sicherheitsressourcen an, wie Rahmenwerke wie das NIST Cybersecurity Framework. Ihr Einführungsleitfaden kann Ihrer Organisation dabei helfen, die HIPAA Security Rule einzuhalten.

Die Health Information Trust Alliance (HITRUST) ist eine gemeinnützige Organisation, deren Mission es ist, Organisationen dabei zu helfen, ihre sensiblen Daten zu schützen. Ihr Common Security Framework (CSF) ist ein Rahmenwerk, das es Organisationen erleichtert, die HIPAA-Gesetze und andere Vorschriften einzuhalten, und es bietet eine gute Interoperabilität mit anderen Rahmenwerken und Standards. Obwohl HIPAA kein zertifizierbarer Standard ist, können Gesundheitsorganisationen eine HITRUST-Zertifizierung erlangen.

Größte Bedrohungen für die Sicherheit von Gesundheitsdaten

Die Gesundheitsbranche steht vor vielen der gleichen Bedrohungen für die Datensicherheit wie andere Sektoren. Der Hauptunterschied besteht darin, dass für Gesundheitsorganisationen in der Regel Gesundheitsdaten das eigentliche Ziel sind, anstatt von Geschäftsgeheimnissen oder Finanzunterlagen. Hier sind die größten Bedrohungen und potenziellen Sicherheitsvorfälle:

• Datenpanne. Im Allgemeinen, wenn jemand ohne Autorisierung auf Informationen zugreift, handelt es sich um eine data breach, egal ob die Person ein Insider mit böswilliger Absicht, ein Hacker oder nur ein übermäßig neugieriger Mitarbeiter ist. Jedoch werden die folgenden Fälle der Offenlegung von PHI nicht als data breaches unter HIPAA betrachtet:
  • Eine Person greift versehentlich auf PHI zu oder verwendet diese „in gutem Glauben und im Rahmen der Befugnisse“ und gibt die PHI nicht weiter in einer Weise, die von der HIPAA Privacy Rule nicht gestattet ist.
  • Eine autorisierte Person gibt versehentlich PHI gegenüber einer anderen autorisierten Person derselben Organisation preis und gibt die PHI nicht weiter in einer Weise, die nicht mit der Datenschutz-Grundverordnung übereinstimmt.
  • Eine autorisierte Person hat Daten unangemessen weitergegeben, glaubt jedoch in gutem Glauben, dass diese nicht in der Lage sein werden, die Daten zu behalten.

Wenn Organisationen einen Datenverstoß entdecken, müssen sie eine Verletzungsmitteilung gemäß der HIPAA Breach Notification Rule bereitstellen.

• Datenexfiltration. Datenexfiltration ist das Kopieren von Informationen an einen nicht autorisierten Ort. Die meisten Fälle von Datenexfiltration beinhalten das Kopieren von Daten an einen nicht autorisierten Ort außerhalb der Organisation. Andere gängige Begriffe hierfür sind Datenleck und Datenexfiltration. Die Benachrichtigungsregel bei Datenpannen gilt auch für Datenexfiltration sowie Datenverletzung.
• Ransomware-Angriffe. Ransomware ist eine Art von Schadsoftware, die Ihnen den Zugriff auf einen Computer oder auf Daten dieses Computers verweigert, indem sie die Daten verschlüsselt. Um Ihre Daten zurückzubekommen, müssen Sie entweder ein Lösegeld zahlen oder von einem Backup wiederherstellen. Lösegeldzahlungen werden oft über nicht nachverfolgbare digitale Währungen wie Bitcoin arrangiert. Laut Coveware-Forschung, rangierte das Gesundheitswesen 2019 an dritter Stelle der von Ransomware-Angriffen betroffenen Branchen. Diese Situation wird sich wahrscheinlich nicht zum Besseren wenden, da Angreifer verstehen, dass die Dringlichkeit der Wiederherstellung von für die medizinische Behandlung benötigten Daten bedeutet, dass sie eher bezahlt werden. Das Zahlen des Lösegelds garantiert jedoch nicht, dass Sie tatsächlich einen Entschlüsselungsschlüssel erhalten; daher ist die beste Strategie, um sich von Ransomware-Angriffen erholen zu können, das Vorhandensein von Offline-Backups.

• Andere Cyber-Bedrohungen. Eine Vielzahl anderer Cyber-Bedrohungen stellt ein Risiko für Gesundheitsorganisationen dar. Während viele Angriffe darauf abzielen, elektronische Gesundheitsdaten zu stehlen, versuchen andere, Geräte, Systeme oder Dienste zu übernehmen. Gesundheitsorganisationen sind Hauptziele für alle Arten von Cyber-Angriffen, da, wie oben erwähnt, die Nichtverfügbarkeit wichtiger Systeme oder Daten nicht nur zu Bußgeldern und Reputationsschäden führen kann, sondern auch zu schlechten Gesundheitsergebnissen und sogar zum Verlust von Menschenleben. Die Einführung neuer Technologien erweitert die Angriffsfläche; insbesondere ist die Cloud-Sicherheit ein zunehmend wichtiges Anliegen für den Gesundheitssektor.

Fazit

Einige Gesundheitsorganisationen verlassen sich auf interne IT-Teams, um die meisten ihrer technischen Bedürfnisse zu bewältigen, während andere auf Dienstleister oder Produktanbieter setzen, um ihre Sicherheitsmanagementinitiativen zu implementieren oder zu unterstützen. Unabhängig davon, für welche Strategie Sie sich entscheiden, um PHI angemessen zu schützen und comply with HIPAA, müssen Sie sicherstellen, dass sowohl Sie als auch alle Ihre Geschäftspartner die erforderlichen Maßnahmen ergreifen, um das Risiko, dass Gesundheitsinformationen unsachgemäß offengelegt, gestohlen oder verschlüsselt werden, zu minimieren.