Administrative Sicherheitsmaßnahmen des HIPAA: Bedeutung, Beispiele und Compliance-Tools
Im Februar verhängte das Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (US Department of Health and Human Services, HHS) die zweite Strafe dieses Jahres für eine angebliche Verletzung des HIPAA. Das in Arizona ansässige Gesundheitssystem Banner Health willigte ein, eine Geldstrafe in Höhe von 1.250.000 US-Dollar zu zahlen und Korrekturmaßnahmen in die Wege zu leiten, um einen sich im Jahr 2016 ereigneten Sicherheitsvorfall zu berichtigen, der die geschützten Gesundheitsinformationen (Protected Health Information, PHI) von nahezu drei Millionen Menschen offengelegt hatte. Am 13. Juli 2016 verschafften Hacker sich Zugriff auf die Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern, Informationen zu Krankenversicherung und damit verbundenen Ansprüchen, Laborergebnissen, Anamnesen und Diagnosen von Patienten, berichtete das HIPAA Journal.
Im Zuge einer Untersuchung der Sicherheitspraktiken von Banner Health kam das HHS zu dem Ergebnis, dass das Non-Profit-Gesundheitssystem versäumt hatte, eine akkurate und detaillierte Analyse potenzieller Risiken und Schwachstellen auszuführen, um die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsinformationen zu gewährleisten. Das bedeutet, dass die Organisation nicht die administrativen Sicherheitsanforderungen der HIPAA-Sicherheitsbestimmung (HIPAA Security Rule) erfüllt hatte, die eine regelmäßige Überprüfung der Netzwerkaktivität vorschreibt, um unbefugte Zugriffe auf PHI unverzüglich aufzudecken. Dies war eine Nachlässigkeit, die zu einer einmaligen Gelegenheit für böswillige Individuen wurde – und letztendlich ein 1,25 Millionen US-Dollar großes Loch in der Kasse des Gesundheitssystems hinterließ.
Was also sind administrative Sicherheitsmaßnahmen und inwiefern unterscheiden sie sich von anderen Arten von Sicherheitsvorkehrungen? In diesem Artikel werden wir einen genaueren Blick auf die in der Sicherheitsbestimmung dargelegten administrativen Sicherheitsmaßnahmen werfen, einschließlich dessen, was sie auf welche Weise schützen sollen und wie Organisationen das Thema Compliance in Angriff nehmen können.
Die HIPAA-Sicherheitsbestimmung: Was ist sie und was versucht sie zu schützen?
Falls Sie unsere früheren Vertiefungen zumHIPAA Minimum Necessary Standard und zu den technischen Sicherheitsmaßnahmen gelesen haben, werden Sie bereits wissen, dass das US-amerikanische Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) im Jahr 1996 1996 von Präsident Bill Clinton unterzeichnet und in Kraft gesetzt wurde. Sein primärer Zweck bestand darin, die Gesundheitsversorgung von Menschen zu schützen, die ihre Arbeit verloren oder gewechselt hatten – oder genauer gesagt, mehr Amerikanern Krankenversicherungsschutz zu gewähren, einen Verlust der Krankenversicherung beim Wechsel der Arbeitsstelle zu verhindern und Verschwendung, Betrug und Missbrauch bezüglich Krankenversicherungen und Gesundheitsversorgung zu minimieren.
Aufgrund rapider technologischer Fortschritte und der mit ihnen verbundenen Risiken im Hinblick auf den Datenschutz personenbezogener Informationen im Gesundheitswesen waren zum Zeitpunkt des Inkrafttretens des Gesetzes die in ihm enthaltenen Vorgaben zum großen Teil bereits überholt. Deshalb wurde im Dezember 2000 die HIPAA-Datenschutzbestimmung (HIPAA Privacy Rule) ins Leben gerufen, gefolgt von der HIPAA-Sicherheitsbestimmung (HIPAA Security Rule) im Februar 2003. Während die HIPAA-Datenschutzbestimmung für den Schutz geschützter Gesundheitsinformationen zuständig ist, regelt die HIPAA-Sicherheitsbestimmung den Schutz einer Untergruppe derartiger Informationen.
„Diese Untergruppe besteht aus allen individuell identifizierbaren Gesundheitsinformationen, die eine unter das HIPAA fallende juristische Person oder Organisation im elektronischen Format erstellt, erhält, aufbewahrt oder überträgt. Diese Informationen werden als elektronische geschützte Gesundheitsinformationen (electronic Protected Health Information, e-PHI) bezeichnet. Die Sicherheitsbestimmung ist nicht für PHI geltend, die mündlich oder schriftlich weitergegeben werden“, “, erklären die US-amerikanischen Centers for Disease Control and Prevention (CDC). Dabei verlangt die HIPAA-Sicherheitsbestimmung von unter das Gesetz fallenden juristischen Personen und Organisationen, dass sie vernünftige und angemessene administrative, technische und physische Sicherheitsvorkehrungen für den Schutz von e-PHI treffen.
Eine Erläuterung und ein Vergleich der drei Sicherheitsmaßnahmen der HIPAA-Sicherheitsbestimmung
Administrative Sicherheitsmaßnahmen machen über die Hälfte der Sicherheitsbestimmung aus. Sie werden als „administrative Handlungen, Richtlinien und Verfahren, um die Auswahl, Entwicklung, Implementierung und Instandhaltung von Sicherheitsmaßnahmen zum Schutz elektronischer geschützter Gesundheitsinformationen zu verwalten und die Verhaltensweisen der Belegschaft der unter das Gesetz fallenden Organisation in Bezug auf den Schutz dieser Informationen zu managen“ definiert. Gemeint sind also Sicherheitsmanagementprotokolle und -arbeitsabläufe, anstatt physische oder technische Anforderungen, über die unter das Gesetz fallende Organisationen verfügen müssen.
Im Gegensatz dazu betreffen physische Sicherheitsmaßnahmenden Zugriff auf die physischen Strukturen und das elektronische Equipment der unter das HIPAA fallenden Organisationen, z. B. Gebäude, Geräte und Informationssysteme. In dieser Hinsicht haben diese Organisationen zweierlei Pflichten: Zum einen müssen sie den unbefugten physischen Zugang und Zugriff auf ihre Anlagen und Einrichtungen unterbinden, ohne dabei den berechtigten Zugang und Zugriff einzuschränken. Zum anderen müssen sie Regeln für die korrekte Nutzung von Workstations und Geräten sowie für die Übertragung, Entfernung, Entsorgung und Wiederverwendung elektronischer Medien festlegen, um den Schutz von e-PHI zu gewährleisten.
Die technischen Sicherheitsvorkehrungen beziehen sich auf die Technologien und für diese relevante Richtlinien und Verfahren, die unter das Gesetz fallende Organisationen implementieren müssen, um den Schutz von e-PHI zu gewährleisten und den Zugriff auf sie zu kontrollieren, wie z. B. Prüfungskontrollen, Nutzerverifizierung und automatische Abmeldung. Außerdem wird in diesen eindeutig angegeben, dass Verschlüsselung beim Schutz vor unbefugter Nutzung und Offenlegung eine zentrale Rolle spielt und angewendet werden muss, wenn eine Organisation im Anschluss an eine Risikoeinschätzung zu dem Ergebnis gekommen ist, dass Verschlüsselung eine geeignete Sicherheitsmaßnahme für ihr Risikomanagement bezüglich der Vertraulichkeit, Integrität und Verfügbarkeit von e-PHI ist.
Die 9 administrativen Sicherheitsmaßnahmen des HIPAA: Ein Überblick
Gemäß der Sicherheitsbestimmung müssen unter das HIPAA fallende Organisationen vernünftige und angemessene administrative Sicherheitsvorkehrungen ergreifen, um das Fundament für ihre Sicherheitsprogramme zu legen. An dieser Stelle sollte vermerkt werden, dass die meisten HIPAA-Sicherheitsstandards Vorgaben für die Implementierung beinhalten – also genaue Anleitungen für ihre Implementierung. Das bedeutet, dass jeder Satz Sicherheitsmaßnahmen einen Satz Standards umfasst, von denen die meisten aus einem Satz vorgeschriebener oder adressierbarer Vorgaben im Hinblick auf die Implementierung bestehen.
Wenn eine Implementierungsvorgabe vorgeschrieben ist, müssen unter das Gesetz fallende Organisationen Maßnahmen ergreifen, um die genauen Vorgaben zu erfüllen. Was adressierbare Implementierungsvorgaben betrifft, müssen unter das Gesetz fallende Organisationen beurteilen, ob diese für ihr spezifisches Umfeld vernünftig und angemessen sind. Sollte dies nicht der Fall sein, muss die jeweilige Organisation die Gründe für diese Beurteilung dokumentieren und die Anwendung einer gleichwertigen Alternative erwägen.
Das HHS führt folgende administrative Sicherheitsmaßnahmen der HIPAA-Sicherheitsbestimmung auf:
1. Verfahren fürs Sicherheitsmanagement
Gemäß diesem Standard müssen unter das Gesetz fallende Organisationen „Richtlinien und Verfahren“ entwickeln, „um Verletzungen der Sicherheit zu verhindern, festzustellen, einzudämmen und zu beheben“. Dies bezieht sich also auf die administrativen Verfahren, die die Organisation anwendet, um ihr Sicherheitsprogramm organisationsweit zu implementieren. Der Standard umfasst vier vorgeschriebene Implementierungsvorgaben: Risikoanalyse, Risikomanagement, Richtlinie zu Sanktionen und Prüfung von Aktivitäten im Informationssystem.
2. Zugewiesene Sicherheitsverantwortlichkeiten
Dieser Standard, der keine Implementierungsvorgaben macht, verlangt, dass unter das Gesetz fallende Organisationen einen Sicherheitsbeauftragten benennen, der für die Entwicklung und Implementierung der für die Organisation vorgeschriebenen Richtlinien und Verfahren verantwortlich ist. Diese Anforderung lässt sich mit dem Standard der Datenschutzbestimmung vergleichen, der die Ernennung eines ausgewiesenen Datenschutzbeauftragten vorschreibt. Der Sicherheits- und Datenschutzbeauftragte können ein- und dieselbe Person sein – müssen es jedoch nicht.
3. Sicherheit der Belegschaft
Der dritte Standard legt fest, dass unter das Gesetz fallende Organisationen gewährleisten müssen, dass Mitarbeiter angemessenen Zugriff auf e-PHI haben und diejenigen Personen, die nicht zugriffsberechtigt sind, am Zugriff auf diese Daten gehindert werden. Dabei müssen Organisationen ihren Mitarbeitern den minimal notwendigen Zugriff auf e-PHI bieten, den sie zur Ausführung ihrer Tätigkeit benötigen. Die Implementierungsvorgaben beinhalten Autorisierung und/oder Überwachung sowie Freigabe- und Kündigungsverfahren für Personal (alle adressierbar).
4. Informationszugriffsmanagement
Der vierte Standard verlangt von unter das Gesetz fallenden Organisationen, dass sie Protokolle für die Autorisierung des Zugriffs auf e-PHI implementieren, die mit dem Minimum Necessary Standard der HIPAA-Datenschutzbestimmung im Einklang stehen, um das Risiko ungewollter Offenlegung, Änderung oder Zerstörung von Informationen einzudämmen. Implementierungsvorgaben umfassen die Isolation der Funktionen von Gesundheitsfürsorge-Clearinghäusern (vorgeschrieben), Zugriffsautorisierung (adressierbar) sowie Zugriffseinrichtung und -modifizierung (adressierbar).
5. Sicherheitsbewusstsein und -training
Keine Sicherheitsmaßnahme wird eine Organisation schützen können, wenn ihre Mitglieder nicht wissen, wie diese durchgesetzt werden können. Der fünfte Standard schreibt unter das Gesetz fallenden Organisationen vor, Programme zur Ausbildung und Schulung des Sicherheitsbewusstseins für alle Mitarbeiter – einschließlich des Managements – anzubieten. Implementierungsvorgaben umfassen Sicherheitserinnerungen (adressierbar), Schutz vor Schadsoftware (adressierbar), Kontrolle über Anmeldungen (adressierbar) und Passwortmanagement (adressierbar).
6. Verfahren bei Sicherheitsvorfällen
Dieser Standard besagt, dass unter das Gesetz fallende Organisationen über Richtlinien und Verfahren verfügen müssen, um mit Sicherheitsvorfällen umzugehen. Dies ist von zentraler Bedeutung, da derartige Vorfälle unabhängig davon auftreten werden, wie robust die Sicherheitsmaßnahmen der betreffenden Organisationen sind. Protokolle sollten abdecken, wie Sicherheitsverletzungen festzustellen und zu melden sind und dem spezifischen Umfeld der Organisation und der vom ihr gehandhabten Art von Daten angepasst sein. Es gibt eine vorgeschriebene Implementierungsvorgabe für diesen Standard: Reaktion und Berichterstattung.
7. Kontingentplanung
Das Ziel hierbei ist, Strategien zu entwickeln, mit denen unter das Gesetz fallende Organisationen den Zugriff auf e-PHI im Falle einer Unterbrechung der Geschäftskontinuität wiederherstellen können, z. B. nach einem Feuer, Vandalismus, Systemausfall oder einer Naturkatastrophe. Der Standard umfasst fünf Implementierungsvorgaben: Plan für Daten-Back-up (vorgeschrieben), Notfallwiederherstellungsplan (vorgeschrieben), Plan für den Notbetrieb (vorgeschrieben), Test- und Prüfverfahren (adressierbar) sowie Analyse der geschäftskritischen Bedeutung von Anwendungen und Daten (adressierbar).
8. Bewertung
Unter das Gesetz fallende Organisationen sollten ihre Sicherheitspläne fortwährend kontrollieren und regelmäßig bewerten, um sicherzustellen, dass diese auch weiterhin angemessenen Schutz für e PHI bieten. Die anfängliche Bewertung muss auf den Sicherheitsstandards basieren, die implementiert wurden, um Compliance mit der Sicherheitsbestimmung zu gewährleisten. Im Anschluss müssen periodische Bewertungen als Reaktion auf die Sicherheit von e-PHI betreffende Änderungen des Geschäftsumfelds oder -betriebs ausgeführt werden. Der Standard macht keine Vorgaben zur Implementierung.
9. Verträge mit Geschäftspartnern und andere Vereinbarungen
Der letzte Standard für administrative Sicherheitsmaßnahmen legt fest, dass eine unter das Gesetz fallende Organisation einem Geschäftspartner nur dann gestatten kann, e-PHI in ihrem Namen zu erstellen, zu erhalten, aufzubewahren oder zu übertragen, wenn die Organisation zufriedenstellend gewähren kann, dass der betreffende Geschäftspartner die gehandhabten Informationen angemessen schützen wird. Der Standard enthält eine Implementierungsvorgabe bezüglich schriftlicher Verträge und anderer Vereinbarungen (vorgeschrieben).
Gängige Beispiele für administrative Sicherheitsmaßnahmen
- Die Ausführung von Risikoanalysen zur Identifizierung potenzieller Sicherheitsrisiken und Beurteilung der Wahrscheinlichkeit eines Eintritts und des Ausmaßes solcher Risiken
- Die Festlegung von Audit- und Aktivitätsprüfungsfunktionen für Informationssysteme sowie davon, welche Protokolle und Berichte von ihnen generiert werden sollten
- Die Identifikation von Verantwortlichkeiten des Sicherheitsbeauftragten, die der Größe, Komplexität und technischen Fähigkeit der unter das Gesetz fallenden Organisation entsprechen sollten
- Das Erstellen von detaillierten Tätigkeitsbeschreibungen, um entscheiden zu können, welche Art von Zugriff auf e-PHI Mitarbeitern in verschiedenen Positionen gewährt werden sollte
- Die Entwicklung von Richtlinien und Verfahren für diverse Arten von Sicherheitsvorfällen, einschließlich davon, wie auf sie zu reagieren und wer über sie zu informieren ist
HIPAA-Risikobewertung: Wichtige Überlegungen und Ressourcen
Die Ausführung einer Risikobewertung ist der erste Schritt bei der Entwicklung von Sicherheitsmaßnahmen, die alle Kriterien der Standards und Implementierungsvorgaben der Sicherheitsbestimmung erfüllen. Denken Sie daran, dass alle von einer Organisation erstellten, erhaltenen, aufbewahrten oder übertragenen e-PHI der Sicherheitsbestimmung unterliegen. Unter das Gesetz fallende Organisationen sollten daher Compliance erzielen, indem sie Risiken und Schwachstellen in ihrer Umgebung bewerten und Sicherheitsmaßnahmen ausarbeiten, die den Bedrohungen der Sicherheit oder Integrität elektronischer geschützter Gesundheitsinformationen entsprechen.
Es gibt kein allgemein gültiges Konzept oder Verfahren zur Ausführung einer HIPAA-Sicherheitsrisikobewertung. Sowohl die Größe, Komplexität und Fähigkeiten der unter das Gesetz fallenden Organisation als auch ihre technische Infrastruktur, die Sicherheitsfunktionen ihrer Hardware und Software, die Wahrscheinlichkeit und Auswirkung potenzieller Risiken für e-PHI und die Kosten für die Implementierung von Sicherheitsmaßnahmen sollten alle berücksichtigt werden, erklärt die American Medical Association. Das gilt auch für eine kategorisierte Liste aller vorhersehbaren Risiken, Schwachstellen und Bedrohungen – egal, ob in menschlicher, umgebungsbedingter oder natürlicher Form.
Das US-amerikanische National Institute of Standards and Technology (NIST) stellt umfassende kostenlose Orientierungshilfen zu guten Praktiken für Risikobewertungen und Risikomanagement bereit. Insbesondere der in SP 800-30 ausgeführte NIST-Leitfaden für die Ausführung von Risikobewertungen wird als Branchenstandard für die Identifizierung und Priorisierung von Risiken für den Geschäftsbetrieb und Datenbestände und die Entwicklung der korrekten Strategien zur Risikobewältigung angesehen. Infolgedessen wird er auch weitläufig als Vorlage für eine HIPAA-Risikobewertung eingesetzt und empfohlen.
Die Die „HIPAA Security Toolkit“-Anwendung des NIST wurde entwickelt, um unter das HIPAA fallenden Organisationen jeglicher Größe zu helfen, besser zu verstehen, was die Anforderungen der HIPAA-Sicherheitsstandards sind und wie diese erfolgreich implementiert werden können. Das Office of the National Coordinator for Health Information Technology (ONC) und das HHS OCR haben ein Tool für die HIPAA-Sicherheitsrisikobewertung herausgebracht, um kleinen und mittleren Gesundheitsanbietern und deren Geschäftspartnern dabei zu helfen, Compliance mit der HIPAA-Sicherheitsbestimmung zu erzielen.
Sind Sie auf der Suche nach einer HIPAA-konformen verschlüsselten Cloudspeicher- und Datentauschlösung, um Krankenakten zu verwalten? Erfahren Sie, was Tresorit für Sie tun kann.