Technische Sicherheitsmaßnahmen des HIPAA: So sorgen Sie für Compliance in einer schnelllebigen, postpandemischen Welt

Jahr für Jahr befördert Wings of Hope, eine in St. Louis ansässige, im Luftverkehr tätige Non-Profit-Organisation (NPO) und langjähriger Tresorit-Kunde, hunderte von Patienten vollständig kostenlos per Flugzeug, damit diese entscheidende und lebensnotwendige medizinische Behandlungen erhalten können. Über die letzten sechs Jahrzehnte hinweg hat sich Wings of Hope von einem Unterfangen mit nur einem Flugzeug, das Versorgungsgüter in eine von der Dürre betroffene Region im Nordwesten von Kenia lieferte, zu einer in 29 US-amerikanischen Bundesstaaten tätigen Organisation mit einer ganzen Flotte von medizinischen Luftverkehrsmitteln entwickelt, die ca. 150 humanitäre Projekte in 47 Ländern rund um den Globus durchgeführt und zwei Nominierungen für den Friedensnobelpreis erhalten hat.

Die Tatsache, dass die Organisation medizinische Transporte tätigt, bedeutet jedoch auch, dass sie medizinische Patientenakten handhabt und somit über die notwendigen physischen, Netzwerk- und Prozessabsicherungen verfügen muss, um geschützte Gesundheitsinformationen (Protected Health Information, PHI) zu schützen, während diese gespeichert, übertragen oder verwendet werden. „Wir müssen uns vergewissern, dass wir unsere Patienten auf sichere und effektive Weise betreuen können. Aus diesem Grund muss jeder potenzielle Patient seine medizinischen Informationen bei unserem Personal einreichen, damit diese geprüft werden können. Diese Informationen fallen unter die Compliance-Verordnungen des HIPAA und müssen sicher gespeichert werden“, erklärt Mark Cutler, ehrenamtlicher IT-Support-Mitarbeiter für Wings of Hope.

Aber was genau sind Sicherheitsmaßnahmen gemäß HIPAA? Was ist der Unterschied zwischen den verschiedenen Arten von Schutzvorkehrungen? Und wie können unter das HIPAA fallende Organisationen diese technischen Sicherheitsmaßnahmen, die oftmals unglaublich schwierig zu verstehen und zu implementieren sind, angehen?

So nehmen Sie HIPAA-Sorgfaltspflicht in Angriff: ein Crashkurs in den Grundlagen

Das US-amerikanische Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) wurde im Jahr 1996 vom US-Kongress verabschiedet und von Präsident Bill Clinton unterzeichnet und in Kraft gesetzt. Interessant ist, dass sein primäres Ziel anfangs wenig mit dem Schutz geschützter Gesundheitsdaten zu tun hatte. Der ursprüngliche Gesetzentwurf, auch als Public Law 104-191 bekannt, wurde konzipiert, um mehr amerikanischen Bürgern Krankenversicherungsschutz zu gewähren, einen Verlust der Krankenversicherung beim Wechsel der Arbeitsstelle zu verhindern und Verschwendung, Betrug und Missbrauch bezüglich Krankenversicherungen und Gesundheitsversorgung zu minimieren.

Jedoch erkannten die politischen Entscheidungsträger, dass Fortschritte in digitalen Technologien bereits neue Risiken für den Datenschutz personenbezogener Informationen im Gesundheitswesen verursacht hatten. Deshalb wurde im Dezember 2000 die HIPAA-Datenschutzbestimmung (HIPAA Privacy Rule) ins Leben gerufen, gefolgt von der HIPAA-Sicherheitsbestimmung (HIPAA Security Rule) im Februar 2003. Diese Verordnungen legten einen nationalen Standard für den Schutz von persönlich identifizierbaren Gesundheitsinformationen und die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsinformationen (e-PHI) fest.

„Heutzutage verwenden medizinische Anbieter klinische Anwendungen wie computerbasierte ärztliche Auftragserfassungssysteme, elektronische Patientenakten und Systeme für Radiologie, Apotheken und Labore. Krankenversicherungspläne bieten Zugang zu Ansprüchen und Behandlungsmanagement sowie zu SB-Anwendungen für Mitglieder“, erklärt das Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (US Department of Health and Human Services, HHS). „Dies bedeutet zwar, dass die medizinische Belegschaft heutzutage auf mobilere und effizientere Weise arbeiten kann, aber die zunehmende Anwendung dieser Technologien erhöht auch die mit ihnen in Verbindung stehenden potenziellen Sicherheitsrisiken.“

Um sicherzugehen, dass Patches für diese Schwachstellen existieren, verlangt die HIPAA-Sicherheitsbestimmung von den ihr unterstehenden juristischen Personen und Organisationen, sinnvolle und angemessene administrative, technische und physische Sicherheitsvorkehrungen zum Schutz von e-PHI zu treffen.

Und nun die schwierige Frage: Sind Sie eine unter das HIPAA fallende juristische Person?

Ja, wenn Sie geschützte Gesundheitsinformationen (PHI) für Transaktionen übertragen, für die das US-amerikanische Ministerium für Gesundheitspflege und Soziale Dienste bestimmte Standards festgelegt hat, informiert das HIPAA Journal. Dies betrifft Krankenversicherungs- und Gesundheitsversorgungsanbieter oder Clearingstellen, die Gesundheitsleistungen und Beratungen zu Status, Zahlung und Überweisungen sowie die Koordination von Unterstützungsleistungen, Registrierungen und Abmeldungen, Berechtigungsprüfungen, elektronische Überweisungen von Gesundheitsfonds und Überweisungsbestätigungen und -autorisierungen handhaben.

Geschäftspartner von unter das HIPAA fallenden juristischen Personen und Organisationen werden im Grunde genommen ebenfalls als unter das Gesetz fallende juristische Personen angesehen, solang sie den oben aufgeführten Organisationen einen Service bereitstellen, der verlangt, dass sie Zugriff auf geschützte Gesundheitsdaten nehmen oder diese speichern, handhaben oder übertragen müssen. Darunter fallen z. B. Drittanbieter für administrative Dienstleistungen, Abrechnungsunternehmen, Transkriptionsdienste, Cloudspeicheranbieter, Datenspeicherunternehmen, Anbieter von elektronischen Gesundheitsakten, Berater, Anwälte, Wirtschaftsprüfer, Arzneimittelberater, Schadensabwicklungssachbearbeiter, Inkassounternehmen und Hersteller von medizinischen Geräten.

Die drei Schutzvorkehrungen der HIPAA-Sicherheitsbestimmung: administrative technische und physische Sicherheitsmaßnahmen

Administrative Sicherheitsvorkehrungen beinhalten „administrative Handlungen, Richtlinien und Verfahren, um die Auswahl, Entwicklung, Implementierung und Instandhaltung von Sicherheitsmaßnahmen zum Schutz elektronischer geschützter Gesundheitsinformationen zu verwalten und die Verhaltensweisen der Belegschaft der unter das Gesetz fallenden Organisation in Bezug auf den Schutz dieser Informationen zu managen.“ Gemeint sind also Protokolle und Arbeitsabläufe, die unter das HIPAA fallende Organisationen einrichten müssen, um PHI zu schützen, anstatt physische oder technische Anforderungen, wie die American Medical Association erläutert.

Im Gegensatz dazu betreffen physische Schutzmaßnahmen den Zugriff auf die physischen Strukturen und das elektronische Equipment der unter das HIPAA fallenden Organisationen, z. B. Gebäude, Geräte und Informationssysteme. In dieser Hinsicht haben diese Organisationen zweierlei Pflichten: Zum einen müssen sie den unbefugten physischen Zugang und Zugriff auf ihre Anlagen und Einrichtungen unterbinden, ohne dabei den berechtigten Zugang und Zugriff einzuschränken. Zum anderen müssen Sie Regeln für die korrekte Nutzung von Workstations und Geräten sowie für die Übertragung, Entfernung, Entsorgung und Wiederverwendung elektronischer Medien festlegen, um den Schutz elektronischer geschützter Gesundheitsinformationen zu gewährleisten.

Die technischen Sicherheitsvorkehrungen des HIPAA beziehen sich auf die Technologien und für diese relevante Richtlinien und Verfahren, die unter das Gesetz fallende Organisationen implementieren müssen, um den Schutz von e-PHI zu gewährleisten und den Zugriff auf sie zu kontrollieren, wie z. B. Prüfungskontrollen, Nutzerverifizierung und automatische Abmeldung. Außerdem wird in diesen eindeutig angegeben, dass Verschlüsselung beim Schutz vor unbefugter Nutzung und Offenlegung eine zentrale Rolle spielt und angewendet werden muss, wenn eine Organisation im Anschluss an eine Risikoeinschätzung zu dem Ergebnis gekommen ist, dass Verschlüsselung eine geeignete Sicherheitsmaßnahme für ihr Risikomanagement bezüglich der Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsinformationen ist.

Eine Aufschlüsselung der technischen Sicherheitskontrollen: von Standards für Prüfungskontrollen bis hin zu Zugriffskontrollen

Die technischen Sicherheitsmaßnahmen gemäß der HIPAA-Sicherheitsbestimmung basieren auf vier Prinzipien:

1. Zugriffskontrollen
   Die unter das Gesetz fallenden Organisationen müssen Nutzern Berechtigungen und Privilegien gewähren, damit diese auf Informationssysteme, Anwendungen, Programme oder Dateien zugreifen können, die für die Ausführung ihrer beruflichen Tätigkeit notwendig sind. Gleichzeitig sollten Nutzer stets nur Zugriff auf das für diese Tätigkeiten absolut notwendige Minimum an Informationen haben.
2. Prüfungskontrollen
   Dieser Standard verlangt, dass unter das HIPAA fallende Organisationen Hardware, Software und relevante Protokolle implementieren müssen, um den Zugriff auf Informationssysteme, die e-PHI enthalten oder verwenden, und andere in diesen auftretenden Aktivitäten zu kontrollieren. Im Klartext: Sie müssen nachverfolgen und protokollieren können, wer wann auf welche Daten Zugriff genommen hat.
3. Integritätskontrollen
   Als einer der primären Zwecke der Sicherheitsbestimmung zielt dieser Standard darauf ab, sicherzustellen, dass e-PHI nicht unsachgemäß bearbeitet oder zerstört werden. Die Integrität von Daten kann durch technische und nicht technische Quellen, versehentlich oder absichtlich und mit oder ohne menschliches Eingreifen kompromittiert werden, was die klinische Qualität und Sicherheit von Patienten aufs Spiel setzen kann.
4. Übertragungssicherheit
   Gemäß dem vierten Standard der technischen HIPAA-Schutzvorkehrungen müssen unter das Gesetz fallende Organisationen technische Sicherheitsmaßnahmen überprüfen und anwenden, um e-PHI, die über ein elektronisches Kommunikationsnetzwerk übertragen werden, vor unbefugten Zugriffen zu schützen.

Compliance mit den technischen Sicherheitsvorkehrungen des HIPAA: einfacher gesagt als getan?

Die Handhabung von e-PHI ist sowohl extrem wichtig als auch extrem risikoreich. Auf dem Schwarzmarkt können gestohlene Patientenakten Preise von bis zu 1000 US-Dollar pro Stück erzielen. Um dieser Zahl ein wenig Kontext beizugeben: Kreditkartennummern, einschließlich CVV-Code, sind im Vergleich dazu für nur 5 US-Dollar ein echtes Schnäppchen, ganz zu schweigen von Sozialversicherungsnummern, die Sie bereits für nur 1 Dollar erwerben können. Da verwundert es kaum, dass die Anzahl der Datenschutzverletzungen im Gesundheitswesen in den letzten Jahren sprunghaft angestiegen ist – was u. a. durch die Coronavirus-Pandemie angeheizt wurde.

Im Jahr 2020 warnte z. B. eine gemeinsame Beratergruppe von Cybersicherheitsexperten der CISA (Cybersecurity and Infrastructure Security Agency), des FBI und des HHS vor einer bevorstehenden Welle von Cybercrime-Angriffen auf Krankenhäuser und Gesundheitsdienstleister mittels TrickBot- und BazarLoader-Schadsoftware sowie vor Erpressersoftwareattacken, Datendiebstählen und Unterbrechungen von Gesundheitsservices.

Tatsächlich hat das HHS bereits 2016 ein Merkblatt dazu veröffentlich, wie man Erpressersoftwareangriffe verhindern und sich wieder von ihnen erholen kann. In diesem wurde auch erwähnt, dass die täglichen Erpressersoftwareattacken innerhalb eines Jahres einen Anstieg von 300% verbucht hatten. Dennoch zählt das Gesundheitswesen laut Forbes weiterhin zu den für Cyberangriffe anfälligsten Branchen und steht laut einer kürzlichen IBM-Studie an der Spitze der Liste der Branchen, in denen durchschnittlich die höchsten Kosten für Datenschutzverletzungen anfallen – mit sage und schreibe 7,13 Millionen US-Dollar.

HIPAA-Verschlüsselungsstandards: Sicher ist sicher

Um Datenschutzverletzungen zu verhindern, müssen medizinische Einrichtungen und ihre Geschäftspartner Wege finden, mit technologischen Neuentwicklungen Schritt zu halten – sowohl in ihrer eigenen Branche als auch was Weiterentwicklungen in der Cyberkriminalität betrifft. Zusätzlich sollten sie bei Bedarf über die gesetzlich vorgeschriebenen Compliance-Anforderungen hinausgehen.

Ein Paradebeispiel sind die HIPAA-Anforderungen an Verschlüsselung: Gemäß dem Übertragungssicherheitsstandard fällt Verschlüsselung in die Kategorie der „adressierbaren“ Vorgaben für die Implementierung. „Nicht vorgeschrieben“ bedeutet jedoch noch lange nicht „nicht notwendig“.

Das HIPAA Journal erklärt: „Einer der Gründe, warum die HIPAA-Anforderungen an Verschlüsselung so vage und vielseitig interpretierbar sind, besteht darin, dass mit dem Erlass der ursprünglichen Sicherheitsbestimmung bereits anerkannt wurde, dass Technologie sich stets weiterentwickelt. Was an einem Tag ein angemessener Verschlüsselungsstandard sein mag, kann bereits am nächsten Tag unzulänglich sein.“ Die HIPAA-Anforderungen an Verschlüsselung sind in Bezug auf Technologie absichtlich neutral und nicht unverständig. Die unter das Gesetz fallenden juristischen Personen und Organisationen sollten jedoch keins von beidem sein.

Gemäß den Empfehlungen des HHS sollten sie beurteilen, wie und wie oft sie e-PHI übertragen und – auf der HIPAA-Risikoanalyse basierend – entscheiden, ob Verschlüsselung zum Schutz der Daten während der Übertragung notwendig ist sowie welche Verschlüsselungsmethoden diesen Schutz am besten gewährleisten würden.

Tresorits sichere Datenspeicherungs- und Datentauschlösung ist vollständig konform mit den HIPAA-Anforderungen und gestattet es Gesundheitsdienstleistern und deren Mitarbeitern, auf Dateien von überall aus zuzugreifen und mit anderen Personen innerhalb und außerhalb ihrer Organisation zusammenzuarbeiten, während geschützte Gesundheitsinformationen und vertrauliche Patientenakten gleichzeitig sicher sind. Das Ersetzen riskanter E-Mail-Anhänge und innovative Datentauschmethoden sind absolut bahnbrechende Funktionen, die die Sicherheit von Patienten und die Qualität der Gesundheitsversorgung gewährleisten.

„Tresorit erlaubt es uns, Dokumente mit Personen außerhalb unserer Nutzergruppe und Organisation zu teilen – dank sicherer Links zum Teilen. Das Erstellen dieser Links ist viel einfacher für uns als die Verwendung eines separaten Systems für sichere E-Mails. Ich erstelle einfach einen sicheren Link und versende diesen in einer regulären E-Mail. Das ist alles“, erklärt Seth Breeden, COO von ACPN.

Die Abkürzung ACPN steht für America's Choice Provider Network, ein in Nevada ansässiger Anbieter für Kosteneinsparungen in der Gesundheitsversorgung. ACPN deckt 50 Bundestaaten ab sowie Kanada, die Dominikanische Republik, Guam, Mexiko und Puerto Rico. Der Anbieter hat bisher über 1700 zahlende Kunden und über 28 Millionen amerikanische und 750.000 internationale Patienten haben Zugriff auf seine Dienstleistungen.
Diese rasante Wachstumsrate führte für das Unternehmen jedoch auch zur rasanten Zunahme von etwas anderem: Daten. Seth erklärt: „Momentan arbeiten wir mit 300.000 verschiedenen Serviceanbietern zusammen. Das bedeutet eine Unmenge an Dokumenten, die jede Menge Speicherplatz beanspruchen. Es ist fantastisch, dass wir mit Tresorit auf all unsere Dokumente von überall aus zugreifen können, ohne sie dafür lokal speichern zu müssen.“