{"id":2822,"date":"2024-07-09T11:56:54","date_gmt":"2024-07-09T09:56:54","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2822"},"modified":"2024-07-10T09:14:43","modified_gmt":"2024-07-10T07:14:43","slug":"hipaa-so-wird-ihr-unternehmen-compliant","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/hipaa-so-wird-ihr-unternehmen-compliant\/","title":{"rendered":"HIPAA, so wird Ihr Unternehmen compliant"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"682\" src=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/preventive-medicine-1024x682.jpg\" alt=\"\" class=\"wp-image-2830\" srcset=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/preventive-medicine-1024x682.jpg 1024w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/preventive-medicine-300x200.jpg 300w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/preventive-medicine-768x512.jpg 768w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/preventive-medicine-1536x1023.jpg 1536w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/07\/preventive-medicine-2048x1364.jpg 2048w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Unternehmen, die mit U.S. Gesundheitsdaten arbeiten, m\u00fcssen \u201eHIPAA compliant\u201c sein. Dies beschr\u00e4nkt sich nicht nur auf jene mit Firmensitz in den U.S.A., sondern auf alle Unternehmen und Sub-Unternehmen, die damit in Ber\u00fchrung kommen.<\/p>\n\n\n\n<p>Im Folgenden wollen wir dar\u00fcber aufkl\u00e4ren, was HIPAA ist, was \u201eHIPAA compliant\u201c bedeutet, und nat\u00fcrlich, wie wir Ihnen helfen k\u00f6nnen diesen Status zu erlangen!<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist HIPAA?<\/h2>\n\n\n\n<p>HIPAA, kurz f\u00fcr den Health Insurance Portability and Accountability Act of 1996, ist ein U.S.-amerikanisches Gesetz, das den Umgang mit gesch\u00fctzten Patientendaten (PHI, Protected Health Information) regelt. PHI sind alle Daten, die im medizinischen Kontext einzelne Entit\u00e4ten betreffen. HIPAA gliedert sich in 5 Teile:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Privacy Rule: Bezieht sich vor allem auf die Rechte von Patienten hinsichtlich des Umgangs mit ihren Daten.<\/li>\n\n\n\n<li>Security Rule: Bezieht sich auf den technischen Umgang mit Daten und deren angemessenen Schutz.<\/li>\n\n\n\n<li>Enforcement Rule: Bezieht sich auf die Durchf\u00fchrung von Untersuchungen zum Pr\u00fcfung der Compliance. Diese k\u00f6nnen nach freiem Ermessen der Beh\u00f6rde erfolgen.<\/li>\n\n\n\n<li>Breach Notification Rule: Umgang mit Data Breaches.<\/li>\n\n\n\n<li>Omnibus Rule: Eine Nachsch\u00e4rfung bestehender Regeln, die vor allem auf Business Associates greift. (Nicht als eigene Regel gef\u00fchrt, sondern in den Gesetzestext aufgenommen)<\/li>\n<\/ul>\n\n\n\n<p>Es nimmt vor allem die folgenden Institutionen in den U.S.A. und deren weltweite \u201eBusiness Associates\u201c, also deren Gesch\u00e4ftspartner, auch au\u00dferhalb der U.S.A. in die Pflicht:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Health Plans (Krankenversicherungen)<\/li>\n\n\n\n<li>Health Care Providers (Spit\u00e4ler, \u00c4rzte und alle anderen Anbieter von Dienstleistungen im Gesundheitsbereich)<\/li>\n\n\n\n<li>Health Care Clearinghouses (Firmen, die den Datenaustausch zwischen den oben genannten Entit\u00e4ten und Patienten \u00fcbernehmen)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Betrifft mich HIPAA?<\/h2>\n\n\n\n<p>Ja, sofern Sie in Gesch\u00e4ftsbeziehungen mit einer der oben genannten U.S.-amerikanischen Institutionen treten und im Zuge dieser Gesch\u00e4ftsbeziehung mit gesch\u00fctzten Patientendaten in Ber\u00fchrung kommen. Somit gelten Sie als \u201eBusiness Associate\u201c und m\u00fcssen ebenso die Auflagen erf\u00fcllen.<\/p>\n\n\n\n<p>In diesem Fall werden Unternehmen aus den U.S.A. bereits bei den Vertragsverhandlungen nach Ihrer \u201eHIPAA Compliance\u201c fragen.<\/p>\n\n\n\n<p>Einzige Ausnahme davon ist, wenn Sie in einer Gesch\u00e4ftsbeziehung stehen, aber niemals mit den gesch\u00fctzten Patientendaten in Ber\u00fchrung kommen, beispielsweise wenn Sie nur Software liefern, diese am vom Kunden selbst betrieben wird. Allerdings wird auch in diesem Fall gefordert, dass die Software die HIPAA Compliance der Entit\u00e4t nicht gef\u00e4hrdet, beispielsweise durch schwache Verschl\u00fcsselung.<\/p>\n\n\n\n<p>Wichtig ist auch, dass HIPAA Compliance \u201etransitiv\u201c gefordert wird. D.h.: Liefert Ihr Unternehmen f\u00fcr einen Business Associate einer U.S.-amerikanischen Entit\u00e4t zu, m\u00fcssen auch Sie HIPAA compliant sein und ebenso m\u00fcssen alle Ihrer Zulieferer, die mit Gesundheitsdaten in Ber\u00fchrung kommen, beispielsweise der Cloud Anbieter, auf dem Ihre Server laufen, HIPAA compliant sein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Wie werde ich HIPAA compliant?<\/h2>\n\n\n\n<p>HIPAA Compliance ist selbstdeklariert. Grunds\u00e4tzlich k\u00f6nnen Sie jederzeit behaupten, HIPAA compliant zu sein. Jedoch stehen, gerade bei fahrl\u00e4ssigem Verhalten, Strafen in Millionenh\u00f6he ins Haus, abgesehen davon, dass jeglicher guter Ruf durch den Verlust sensibler Daten verloren w\u00e4re.<\/p>\n\n\n\n<p>Grunds\u00e4tzlich m\u00fcssen Sie, auch entsprechend dokumentiert, nachweisen k\u00f6nnen, dass Sie sich \u201ein good faith\u201c an die Vorgaben des Gesetzes halten.<\/p>\n\n\n\n<p>Eine Zertifizierung nach ISO27001 ist hierf\u00fcr allemal eine solide Basis, jedoch gilt diese landl\u00e4ufig nicht als ausreichend, um allen Anforderungen zu entsprechen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Was wir f\u00fcr Sie tun<\/h2>\n\n\n\n<p>Wenn Ihr Unternehmen HIPAA Compliance demonstrieren muss, stehen wir Ihnen zur Seite und bieten folgende Leistungen an:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">HIPAA Workshop<\/h3>\n\n\n\n<p>In einem Workshop stellen wir Ihnen und Ihren Mitarbeiter:innen HIPAA und die diesbez\u00fcglichen Anforderungen an Ihre Unternehmensprozesse und IT-Sicherheit vor. Wir geben Ihnen einen \u00dcberblick \u00fcber die Auswirkungen auf Ihr Unternehmen, auf Ihre Abl\u00e4ufe, und auf Ihre Verpflichtungen in Zusammenhang mit Ihren Lieferanten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">HIPAA GAP Analyse<\/h3>\n\n\n\n<p>In einem strukturierten Workshop vergleichen wir den Ist-Stand Ihrer Dokumentation und Abl\u00e4ufe mit den Forderungen von HIPAA. Auf Basis der identifizierten Gaps, k\u00f6nnen Sie entweder in Eigenregie den geforderten Zustand erreichen, oder wir unterst\u00fctzen Sie weiter.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Unterst\u00fctzung beim Erreichen der Compliance<\/h3>\n\n\n\n<p>Wenn Sie mehr Unterst\u00fctzung bei der Umsetzung der Anforderungen von HIPAA in Ihrem Unternehmen ben\u00f6tigen, stehen wir Ihnen ebenso mit ma\u00dfgeschneiderten Angeboten zu Verf\u00fcgung und begleiten Sie Schritt f\u00fcr Schritt auf Ihrem Weg, bis Sie selbstsicher Ihre HIPAA Compliance bekanntgeben und Ihren ersten \u201eBusiness Associate Contract\u201c unterschreiben k\u00f6nnen.<\/p>\n\n\n\n<p>Wir f\u00fchren gerne ein unverbindliches Gespr\u00e4ch mit Ihnen!<br>Kontaktieren Sie uns unter <a href=\"mailto:office@certitude.consulting\">office@certitude.consulting<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Unternehmen, die mit U.S. Gesundheitsdaten arbeiten, m\u00fcssen \u201eHIPAA compliant\u201c sein. Dies beschr\u00e4nkt sich nicht nur auf jene mit Firmensitz in den U.S.A., sondern auf alle Unternehmen und Sub-Unternehmen, die damit in Ber\u00fchrung kommen. Im Folgenden wollen wir dar\u00fcber aufkl\u00e4ren, was HIPAA ist, was \u201eHIPAA compliant\u201c bedeutet, und nat\u00fcrlich, wie wir Ihnen helfen k\u00f6nnen diesen Status [&hellip;]<\/p>\n","protected":false},"author":25,"featured_media":2830,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[228,34],"tags":[],"class_list":["post-2822","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-expert"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2822","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/25"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2822"}],"version-history":[{"count":4,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2822\/revisions"}],"predecessor-version":[{"id":2829,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2822\/revisions\/2829"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2830"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2822"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2822"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2822"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}