Warum das Einrichten von HIPAA-konformen E-Mails für den Geschäftsbetrieb unerlässlich ist

Das Internet ist für Gesundheitsdienstleister Fluch und Segen zugleich. Mit seiner Hilfe kann von überall aus in Sekundenschnelle direkt auf Patientendaten zugegriffen werden. Auch ein Nachschlagen der neuesten Behandlungsmethoden wird zum Kinderspiel. Im Gegenzug erwarten Patienten jedoch ebenfalls ohne Umschweife eine Auskunft über ihren Gesundheitszustand. Auch wenn E-Mails allgegenwärtig sind und eine gute Lösung für diese Forderung zu sein scheinen, sollten Sie niemals Folgendes vergessen: Wenn Sie Bußgelder in Höhe von 100 bis 50.000 USD pro Datenschutzverletzung vermeiden möchten, müssen Sie über eine fundierte Kenntnis von HIPAA-Compliance für E-Mails verfügen. In der Welt von geschützten Gesundheitsinformationen (Protected Health Information, PHI) können selbst geringere Verstöße zu umfangreichen Gerichtsverfahren führen.

Lesen Sie weiter, um einen kurzen Überblick über die Anforderungen des Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetzes (Health Insurance Portability and Accountability Act, HIPAA) in Bezug auf elektronische Kommunikation zu erfahren.

Das Wichtigste vorweg: Was genau ist eine HIPAA-konforme E-Mail?

Gemäß HIPAA müssen jegliche gesundheitsbezogenen Informationen über den vergangenen, gegenwärtigen oder zukünftigen Gesundheitszustand einer Person, die zur Identifizierung der Person führen können, zu jeder Zeit und mit allen erforderlichen Mitteln geschützt werden. Dies bezieht sich auf alle gesammelten, gespeicherten oder übertragenen Daten, die eine Datenbank beinhaltet. Die Bedeutsamkeit dieser Auflage ergibt sich aus der Tatsache, dass bereits die geringfügigste Offenlegung von physischen oder psychologischen Gesundheitsdaten unvorhersehbaren Schaden im beruflichen oder privaten Leben der betroffenen Person anrichten kann.

Praktizierenden Ärzten mögen E-Mails als eine schnelle und effiziente Kommunikationsmethode erscheinen. Deren Sicherung stellt jedoch eine ganz eigene Herausforderung dar und kann nur mithilfe von angemessenen Cybersicherheitstechnologien (Verschlüsselung, Anonymisierung, Scrambling) und sicheren Protokollen erzielt werden.

Warum? Weil Fehler sich in jeden geschäftigen Arbeitstag einschleichen können – und wenn dies geschieht, kann das versehentliche Versenden einer unverschlüsselten gesundheitsbezogenen E-Mail mit vertraulichen Anhängen an die falsche Person verheerende Konsequenzen nach sich ziehen, zumindest aus Sicht der HIPAA-Compliance.

Bevor Sie annehmen, dass Ihr Unternehmen über Routinen und Maßnahmen verfügt, die derartige Fehler verhindern, sollten Sie einmal einen Blick auf einige Beispiele für HIPAA-Verletzungen aus dem wirklichen Leben werfen. Leider lässt sich das Sprichwort „Der Weg zur Hölle ist mit guten Vorsätzen gepflastert“ auf viele dieser Fälle anwenden.

Aus dem Leben gegriffene Beispiele für HIPAA-Verletzungen im Bereich E-Mail und Social Media

1. Der Mitarbeiter, der zu enthusiastisch war, als er auf eine Yelp-Beschwerde reagierte

Community-Management ist ein wichtiger Bestandteil von Marketing-Aktivitäten, auch im Gesundheitswesen. Das Beantworten von Rezensionen auf Yelp – eines der größten durch Crowdsourcing betriebenen Bewertungsportale mit mehr als 200 Millionen verifizierten Business-Bewertungen – gehört dazu und kann gut fürs Geschäft sein. Aber im Jahr 2019 erfuhren die Mitarbeiter von Elite Dental Associates of Dallas (Elite) am eigenen Leib, dass sie vorsichtiger hätten sein müssen. Zwar hatte ein Kollege nur eine unfaire Bewertung korrigieren wollen, aber leider beinhaltete seine Antwort PHI-Daten (Name des Patienten, Name des Behandlungsplans). Dieser Verstoß führte zu einer Untersuchung und einer anschließenden Bußgeldverhängung für Elite in Höhe von 10.000 USD, um die Angelegenheit beizulegen.

2. Ein hastiger Videokommentar zum Coronavirus auf Social Media

Im April 2020 sprach eine Krankenschwester des Lincoln Hospital auf YouTube über die durch die Coronapandemie verursachten Strapazen. Unglücklicherweise erwähnte sie in ihrem Video einen ihrer Patienten, von dem sie dachte, dass er mit den notwendigen Ressourcen gerettet hätte werden können, beim Namen. Die Ermittlungen laufen noch.

3. Das verloren gegangene Firmengerät mit unverschlüsselten elektronischen Gesundheitsdaten (ePHI)

Die Möglichkeit arbeitsbezogene Dateien herunterladen zu können ist zwar auch für Beschäftigte im Gesundheitswesen unerlässlich – aber es gibt gute Gründe, warum Sie für diesen Zweck Kontrollen für alle Geräte einrichten sollten. So trugen z. B. die Catholic Health Care Services des Erzbistums Philadelphia im Jahr 2016 Gründe im Wert von genau 650.000 USD zusammen, als Folge eines gestohlenen Mobilgeräts, auf dem die Informationen von Hunderten von Pflegeheimbewohnern im Klartext-Format gespeichert waren. In einem ähnlichen aus dem Leben gegriffenen Fall einer ePHI-Datenschutzverletzung musste Premera Blue Cross, der größte Gesundheitsplananbieter in Washington, bis zu 6.850.000 USD als Abfindungssumme zahlen – was das Absichern von Daten mit Ende-zu-Ende-Verschlüsselung zu einer sehr kostengünstigen Alternative macht.

4. Unbedachte Massen-E-Mails

Auch ansonsten harmlose Massen-E-Mails können zur Quelle von HIPAA-Verletzungen werden. In einem häufig zitierten Vorfall zum Thema sendete ein Ärztezentrum in Springfield eine E-Mail bezüglich einer Selbsthilfegruppe an seine Adipositaschirurgiepatienten. Auch wenn die Mitarbeiter in gutem Glauben handelten, waren die E-Mail-Adressen aller Empfänger in der E-Mail sichtbar. Dies führte zu unzähligen Beschwerden, da es sich um einen HIPAA-Verstoß handelte.

Somit ist es kein Zufall, dass HIPAA diverse Compliance-Regelungen für E-Mails aufgestellt hat. In der  HIPAA-Fachsprache werden diese als  „administrative” und „physische” Schutzmaßnahmen bezeichnet:

1. E-Mails, die Krankenakten enthalten, können nur an Patienten gesendet werden, die Gegenstand der Informationen sind.
2. Ihre E-Mails müssen über eine angemessene Lösung zur Authentifizierung und Verschlüsselung verfügen, um zu garantieren, dass nur der Empfänger und niemand sonst die Akten einsehen kann.
3. Sie können zu einem einzelnen Zeitpunkt jeweils nur das Minimum an Informationen für medizinische Zwecke versenden – dies ist als Prinzip der „Mindestanforderung“ im Falle von elektronischer Kommunikation bekannt.
4. Gemäß örtlicher gesetzlicher Vorschriften müssen alle E-Mails, die medizinische Daten enthalten, für Jahre aufbewahrt werden. Heutzutage hat jede Privatperson das Recht, Informationen über Offenlegungen von geschützten Gesundheitsdaten zu verlangen, was bedeutet, dass Ihre Organisation HIPAA-konforme E-Mails für festgelegte Zeiträume speichern muss.

Zusammengefasst betrachtet: Auf welche E-Mails müssen Sie als Gesundheitsdienstleister HIPAA-Anforderungen anwenden?

Im Grunde genommen auf alle Nachrichten, in denen Ihre Arzthelfer, Krankenpfleger oder Ärzte Krankenakten via E-Mail versenden. Aber natürlich gibt es auch Ausnahmen: Als Allgemeinmediziner können Sie eine Massen-E-Mail über die Verfügbarkeit der saisonalen Grippeimpfung ohne Sicherheitsmaßnahmen verschicken, so lange Sie keine der 18 als geschützt klassifizierten Personenkennzeichen im Text beinhalten, wie Namen, Sozialversicherungsnummern, Geburtsdaten, Anschriften etc.

HIPAA-Anforderungen bezüglich E-Mail-Verschlüsselung: Eine kurze Übersicht

Die Anforderungen des HIPAA in Bezug auf E-Mails zwingen Sie nicht per se dazu, echte Ende-zu-Ende-Verschlüsselung auf all Ihre Nachrichten und Daten anzuwenden, trotz aller vorherigen Einschränkungen.

Folglich ist das unverschlüsselte Versenden von Krankenakten innerhalb Ihrer Organisation gestattet,  wenn stets adäquate Cybersicherheit für Ihre Server vorhanden ist und Protokolle stets befolgt werden.

„Stets” ist hierbei wörtlich zu nehmen. Zuerst müssen Sie gewährleisten, dass niemand auf die Computer Zugriff hat, mit Ausnahme des medizinischen Personals in Ihrem Büro, das die Befugnis hat, die Nachrichten im Klartext zu lesen. Außerdem darf niemand sonst im selben Raum anwesend sein, wenn diese Mitarbeiter die Krankenakten einsehen.

Theoretisch gesehen kann gemäß HIPAA auch extern gerichtete Kommunikation ohne Verschlüsselung stattfinden, wenn Sie bestimmte Auflagen erfüllen:

1. Sie haben all Ihre Patienten im Vorfeld vollständig über die Risiken von E-Mail-Kommunikation aufgeklärt.
2. Sie haben sie außerdem über weitere sicherere Kommunikationsmöglichkeiten informiert.
3. Ihre Patienten haben verlautbart, dass sie sich trotz der Haftung für die weniger sichere Option entscheiden.
4. Ihre Patienten stimmen den oben genannten Bedingungen auf nachverfolgbare und belegbare Weise zu.

Eine Missachtung dieser Kriterien für unverschlüsselte E-Mail-Kommunikation betreff Krankenakten  kann eine direkte HIPAA-Verletzung darstellen.

Wie können Sie Ihre E-Mails HIPAA-konform machen?

Sie sollten sich darüber im Klaren sein, dass ein Verstoß zwar harmlos erscheinen mag, aber dennoch zu einer Beschwerde und zu Bußgeldern in Höhe von 100 bis 50.000 USD pro Verletzung führen kann. Verstöße werden in vier Kategorien unterteilt, mit einer maximalen Geldstrafe von 1.500.000 USD pro Jahr in jeder(!) Kategorie. Daher hat es sich als bewährteste Methode erwiesen, die maximalen Sicherheitsmaßnahmen auf Ihre gesamte E-Mail-Kommunikation anzuwenden.

• Wählen Sie einen Drittanbieter, der Partnerabkommen (Business Associate Agreements, BAA) und zuverlässige Verschlüsselungsstandards wie AES einsetzt.
• Verbessern Sie die Sicherheitsstandards innerhalb Ihrer Organisation, indem Sie Zwei-Stufen-Authentifizierung und Bildschirmsperren auf Firmengeräten aktivieren. Die Einrichtung eines Nutzerverwaltungssystems wird als Bonus angesehen: Mit diesem können Sie sicherstellen, dass Nutzerrollen eindeutig festgelegt sind und Ihre Dateien protokolliert werden.
• Wenden Sie echte Ende-zu-Ende-Verschlüsselung auf all Ihre Daten und E-Mails an. Dies kann – wie im Falle von Tresorit – über ein Verschlüsselungs-Plug-in erfolgen.

Ist Gmail HIPAA-konform?

Als weltweit größter Drittanbieter für E-Mail-Services mit mehr als 1,5 Milliarden aktiven Nutzern scheint Google auf den ersten Blick die sichere Wahl für Geschäftszwecke zu sein – selbst für Gesundheitsdienstleister. In der Realität ist die kostenlose Version von Gmail jedoch nicht HIPAA-konform und selbst Google macht keinen Hehl aus dieser Tatsache. Darüber hinaus verstößt das Versenden von PHI via Gmail ohne Ende-zu-Ende-Verschlüsselung gegen Googles eigene Nutzungsbedingungen.

Trotz dieser Umstände werden diverse Tools angeboten, mit denen Sie Gmail-HIPAA-Compliance zur Realität machen können. Um dies zu tun, müssen Sie zu einem kostenpflichtigen Google Workspace Account wechseln und Verschlüsselung via Gmail S/MIME für Ihre Nachrichten aktivieren. Außerdem sollten Sie ein BAA mit Google unterzeichnen, da das Unternehmen als Ihr Geschäftspartner die Verantwortung mit Ihrer Organisation teilen wird, wenn es Ihnen gestattet PHI via Gmail zu versenden. Dies setzt aufgrund der oben genannten „administrativen“ und „physischen“ Schutzmaßnahmen voraus, dass Google vor der Unterzeichnung des Abkommens eine HIPAA-Compliance-Prüfung ausführt.

Bevor Sie dies tun, sollten Sie sich jedoch über drei essenzielle Fakten bewusst sein:

1. Googles BAA wird die Verantwortung des Unternehmens ausschließlich auf die Situationen beschränken, in denen Ihre PHI-E-Mails sich hinter Googles Firewalls und Cybersicherheitssystem befinden. Somit tragen Sie die Verantwortung dafür, den Zugriff auf diese zu sichern, sobald sie sich auf den Geräten Ihrer Patienten befinden. Das bedeutet, dass Sie sich um ein HIPAA-konformes Add-on für die Verschlüsselung von Gmail als zusätzliche Sicherheitsmaßnahme kümmern müssen.
2. Google S/MIME hat eine bedeutsame Schwäche: Das komplizierte Verschlüsselungssystem ist nur dann aktiv, wenn sowohl der Sender als auch der Empfänger ein Google Workspace Account nutzen. In allen anderen Fällen wird der Sicherheitsstandard auf die simplere, standardmäßige Google-Verschlüsselung mit TLS heruntergestuft, die eine größere Angriffsfläche für Hacker bietet.
3. Auch wenn Sie mit einem unterzeichneten BAA Googles Apps gemäß HIPAA-Anforderungen verwenden können, liegt die Verantwortung, eine den HIPAA-Standards entsprechende Compliance über Ihre gesamte Kommunikation hinweg aufrechtzuerhalten, bei Ihnen.

Eine einfach anwendbare und HIPAA-konforme E-Mail-Verschlüsselung? Tresorits Plug-in für Gmail

Zum Glück gibt es einfachere Methoden zum Versenden von PHI-E-Mails via Gmail. Sie können z. B. Optionen wie Pretty Good Privacys Plug-in für Gmail-Verschlüsselung auf Ihrer Arbeit verwenden. Dies kann Ihre Nachrichten schützen – unter der Voraussetzung, dass Sie über Grundkenntnisse im Bereich Programmierung verfügen und bereit sind Verschlüsselungssoftware parallel einzusetzen.

Sollten Sie es jedoch auf ein Maximum an ePHI-Sicherheit mit einem Minimum an Anstrengung abgesehen haben, ist Tresorits Gmail-Plug-in genau das Richtige für Sie. Mit seinen Funktionalitäten können Sie die hochmoderne Cybersicherheit von Tresorit mit Googles E-Mail-Programm kombinieren.

Mit Tresorit für Gmail können Sie die komplette Kontrolle über jegliche E-Mail-Anhänge behalten, indem Sie diese durch sichere Links zum Teilen ersetzen, die so durch Passwörter geschützt sind, dass HIPAA-Auflagen erfüllt werden. Auch wenn das Gmail-Plug-in nicht die E-Mails an sich verschlüsselt, können Sie versichert sein, dass alle über die E-Mails geteilten Dateien auf HIPAA-konforme Weise versendet werden. Mithilfe von Tresorits Lösungen können Sie unter Verwendung plattformspezifischer Clients oder des Web-Clients mit angemessenen Sicherheitsmaßnahmen von jedem beliebigen Gerät aus auf Dateien zugreifen. Sie können Zwei-Stufen-Verifizierung einrichten; sehen, wer auf geteilte Dateien zugegriffen hat; geteilte Links sperren oder die Anzahl der Downloads für eine bestimmte Datei beschränken.

Und das Tüpfelchen auf dem I: Mit Tresorit ist das Aktivieren von wahrer Ende-zu-Ende-Verschlüsselung ein echtes Kinderspiel. Unsere Zero-Knowledge-Authentifizierungsverfahren garantieren höchste Vertraulichkeit, wenn Sie unsere Services nutzen. Niemand, mit dem Sie keine Dateien geteilt haben, kann auf Ihre Daten zugreifen – nicht einmal Tresorit. Diese Technologie macht Tresorit HIPAA-konform und zum perfekten Tool, um SOX- oder DSGVO-Compliance zu erleichtern.

Sie suchen nach einer sicheren und gleichzeitig bequemen Lösung, um Gmail mit echter Ende-zu-Ende-Verschlüsselung zu verwenden? Erfahren Sie, was Tresorit für Gmail Ihnen zu bieten hat.