Kategorien

HIPAA, so wird Ihr Unternehmen compliant

Geschrieben von Peter Aufner am

Unternehmen, die mit U.S. Gesundheitsdaten arbeiten, müssen „HIPAA compliant“ sein. Dies beschränkt sich nicht nur auf jene mit Firmensitz in den U.S.A., sondern auf alle Unternehmen und Sub-Unternehmen, die damit in Berührung kommen.

Im Folgenden wollen wir darüber aufklären, was HIPAA ist, was „HIPAA compliant“ bedeutet, und natürlich, wie wir Ihnen helfen können diesen Status zu erlangen!

Was ist HIPAA?

HIPAA, kurz für den Health Insurance Portability and Accountability Act of 1996, ist ein U.S.-amerikanisches Gesetz, das den Umgang mit geschützten Patientendaten (PHI, Protected Health Information) regelt. PHI sind alle Daten, die im medizinischen Kontext einzelne Entitäten betreffen. HIPAA gliedert sich in 5 Teile:

  • Privacy Rule: Bezieht sich vor allem auf die Rechte von Patienten hinsichtlich des Umgangs mit ihren Daten.
  • Security Rule: Bezieht sich auf den technischen Umgang mit Daten und deren angemessenen Schutz.
  • Enforcement Rule: Bezieht sich auf die Durchführung von Untersuchungen zum Prüfung der Compliance. Diese können nach freiem Ermessen der Behörde erfolgen.
  • Breach Notification Rule: Umgang mit Data Breaches.
  • Omnibus Rule: Eine Nachschärfung bestehender Regeln, die vor allem auf Business Associates greift. (Nicht als eigene Regel geführt, sondern in den Gesetzestext aufgenommen)

Es nimmt vor allem die folgenden Institutionen in den U.S.A. und deren weltweite „Business Associates“, also deren Geschäftspartner, auch außerhalb der U.S.A. in die Pflicht:

  • Health Plans (Krankenversicherungen)
  • Health Care Providers (Spitäler, Ärzte und alle anderen Anbieter von Dienstleistungen im Gesundheitsbereich)
  • Health Care Clearinghouses (Firmen, die den Datenaustausch zwischen den oben genannten Entitäten und Patienten übernehmen)

Betrifft mich HIPAA?

Ja, sofern Sie in Geschäftsbeziehungen mit einer der oben genannten U.S.-amerikanischen Institutionen treten und im Zuge dieser Geschäftsbeziehung mit geschützten Patientendaten in Berührung kommen. Somit gelten Sie als „Business Associate“ und müssen ebenso die Auflagen erfüllen.

In diesem Fall werden Unternehmen aus den U.S.A. bereits bei den Vertragsverhandlungen nach Ihrer „HIPAA Compliance“ fragen.

Einzige Ausnahme davon ist, wenn Sie in einer Geschäftsbeziehung stehen, aber niemals mit den geschützten Patientendaten in Berührung kommen, beispielsweise wenn Sie nur Software liefern, diese am vom Kunden selbst betrieben wird. Allerdings wird auch in diesem Fall gefordert, dass die Software die HIPAA Compliance der Entität nicht gefährdet, beispielsweise durch schwache Verschlüsselung.

Wichtig ist auch, dass HIPAA Compliance „transitiv“ gefordert wird. D.h.: Liefert Ihr Unternehmen für einen Business Associate einer U.S.-amerikanischen Entität zu, müssen auch Sie HIPAA compliant sein und ebenso müssen alle Ihrer Zulieferer, die mit Gesundheitsdaten in Berührung kommen, beispielsweise der Cloud Anbieter, auf dem Ihre Server laufen, HIPAA compliant sein.

Wie werde ich HIPAA compliant?

HIPAA Compliance ist selbstdeklariert. Grundsätzlich können Sie jederzeit behaupten, HIPAA compliant zu sein. Jedoch stehen, gerade bei fahrlässigem Verhalten, Strafen in Millionenhöhe ins Haus, abgesehen davon, dass jeglicher guter Ruf durch den Verlust sensibler Daten verloren wäre.

Grundsätzlich müssen Sie, auch entsprechend dokumentiert, nachweisen können, dass Sie sich „in good faith“ an die Vorgaben des Gesetzes halten.

Eine Zertifizierung nach ISO27001 ist hierfür allemal eine solide Basis, jedoch gilt diese landläufig nicht als ausreichend, um allen Anforderungen zu entsprechen.

Was wir für Sie tun

Wenn Ihr Unternehmen HIPAA Compliance demonstrieren muss, stehen wir Ihnen zur Seite und bieten folgende Leistungen an:

HIPAA Workshop

In einem Workshop stellen wir Ihnen und Ihren Mitarbeiter:innen HIPAA und die diesbezüglichen Anforderungen an Ihre Unternehmensprozesse und IT-Sicherheit vor. Wir geben Ihnen einen Überblick über die Auswirkungen auf Ihr Unternehmen, auf Ihre Abläufe, und auf Ihre Verpflichtungen in Zusammenhang mit Ihren Lieferanten.

HIPAA GAP Analyse

In einem strukturierten Workshop vergleichen wir den Ist-Stand Ihrer Dokumentation und Abläufe mit den Forderungen von HIPAA. Auf Basis der identifizierten Gaps, können Sie entweder in Eigenregie den geforderten Zustand erreichen, oder wir unterstützen Sie weiter.

Unterstützung beim Erreichen der Compliance

Wenn Sie mehr Unterstützung bei der Umsetzung der Anforderungen von HIPAA in Ihrem Unternehmen benötigen, stehen wir Ihnen ebenso mit maßgeschneiderten Angeboten zu Verfügung und begleiten Sie Schritt für Schritt auf Ihrem Weg, bis Sie selbstsicher Ihre HIPAA Compliance bekanntgeben und Ihren ersten „Business Associate Contract“ unterschreiben können.

Wir führen gerne ein unverbindliches Gespräch mit Ihnen!
Kontaktieren Sie uns unter office@certitude.consulting