Warum und wie Sie HIPAA-konforme E-Mails senden sollten – und wie nicht

Geschrieben von Tresorit Team Compliance de
Warum und wie Sie HIPAA-konforme E-Mails senden sollten – und wie nicht

Laut dem Bericht von IBM über die Kosten einer Datenschutzverletzung gehören kompromittierte Business-E-Mails zu den vier kostspieligsten Arten von Sicherheitsvorfällen – mit Durchschnittskosten in Höhe von 4,67 Millionen US-Dollar. Dies beinhaltet die Ausgaben, die den Umfrageteilnehmern als Ergebnis der Vorfallerkennung und -eskalierung, der Meldung, der die Datenschutzverletzung folgenden Reaktion und geschäftlicher Einbußen entstanden sind, wie z. B. Honorare für Forensikexperten, Preisnachlässe auf zukünftige Produkte und Dienstleistungen oder die Kosten für das Outsourcing des Hotline-Supports.

Für unter das HIPAA-fallende juristische Personen und Organisationen kann dieser Betrag jedoch abhängig davon, ob sie die HIPAA-Compliance für E-Mails vernachlässigt haben, noch sehr viel höher ausfallen – und wir sprechen hier von 100–50.000 US-Dollar höher pro Verstoß. In diesem Artikel werden wir einen genaueren Blick auf alles rund um HIPAA-Compliance für E-Mails werfen, von der Definition und Bedeutung von HIPAA-Compliance in Bezug auf E-Mails bis hin zu den HIPAA-konformen E-Mail-Diensten, die unter das Gesetz fallenden Organisationen zur Verfügung stehen.

Das Wichtigste vorweg: Was ist eine HIPAA-konforme E-Mail?

Eine kurze Zusammenfassung unserer früheren Vertiefungen zu administrativen und technischen Sicherheitsmaßnahmen des HIPAA: Das US-amerikanische Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) wurde 1996 vom US-Kongress verabschiedet und von Präsident Bill Clinton unterzeichnet und in Kraft gesetzt – mit dem primären Ziel, mehr amerikanischen Bürgern Krankenversicherungsschutz zu gewähren, einen Verlust der Krankenversicherung beim Wechsel der Arbeitsstelle zu verhindern und Verschwendung, Betrug und Missbrauch bezüglich Krankenversicherungen und Gesundheitsversorgung zu minimieren.

Um die Datenschutzrisiken anzugehen, die neue Fortschritte in digitalen Technologien im Gesundheitswesen verursacht hatten, riefen Gesetzgeber im Dezember 2000 die HIPAA-Datenschutzbestimmung ins Leben, gefolgt von der HIPAA-Sicherheitsbestimmung im Februar 2003. Der Zweck dieser neuen Verordnungen bestand darin, einen nationalen Standard für den Schutz von persönlich identifizierbaren Gesundheitsinformationen festzulegen und die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsinformationen zu gewährleisten.

Der Begriff „geschützte Gesundheitsinformationen“ (Protected Health Information, PHI) bezieht sich auf sämtliche Informationen, mündlich oder aufgezeichnet, die von einem Gesundheitsanbieter, einer Krankenversicherung, einer Gesundheitsbehörde, einem Arbeitgeber, einer Lebensversicherung, einer Schule oder Universität oder einer Clearingstelle produziert oder empfangen werden und den vergangenen, aktuellen oder zukünftigen körperlichen oder geistigen Gesundheitszustand einer Einzelperson oder die Bereitstellung oder Kostenübernahme der Gesundheitsversorgung einer Einzelperson betreffen.

Gemäß der HIPAA-Sicherheitsbestimmung versteht man unter e-PHI (kurz für „electronic Protected Health Information) „geschützte Gesundheitsinformationen im elektronischen Format“. Dies bezieht sich auf geschützte Gesundheitsinformationen, die von einer unter das Gesetz fallenden juristischen Person oder Organisation mithilfe elektronischer Medien produziert, übertragen, empfangen, gespeichert und verwaltet werden. Dieselbe Verordnung schreibt vor, dass absehbare Bedrohungen der Sicherheit von e-PHI identifiziert und Schutzmaßnahmen ergriffen werden müssen, um sie abzuwenden.

Sind E-Mails eine HIPAA-konforme Methode, um PHI geschützt zu übertragen und sicher zu halten? Sie können es sein, wenn für das Versenden von PHI via E-Mail angemessene Sicherheitsvorkehrungen getroffen wurden, wie Verschlüsselung, Maskierung oder Scrambling. Dies ist entscheidend, da menschliches Versagen – sei es aus Versehen oder das Resultat von Untätigkeit seitens eines Mitarbeiters – ein ebenso großes Risiko für die Bemühungen eines Unternehmens in Sachen E-Mail-HIPAA-Compliance sein kann, wie böswillige Outsider. Lassen Sie uns einmal einen Blick darauf werfen, warum.

Beispiele für HIPAA-Verstöße: E-Mail und Social Media

Der Mitarbeiter, der zu eifrig auf Yelp war

  • Das Beantworten von Bewertungen auf Yelp, einem der größten auf Crowdsourcing basierenden Bewertungsportale mit mehr als 178 Millionen Besuchern pro Monat, ist eine großartige Möglichkeit, Sichtbarkeit und Vertrauen bei Kunden aufzubauen. Bis es jedoch zu einem Verstoß gegen die Datenschutzanforderungen für PHI gemäß HIPAA kommt. Das erfuhr die zahnärztliche Praxis Elite Dental Associates aus Texas im Jahr 2019 auf schmerzhafte Weise.
  • Bei der Antwort auf den Beitrag eines Patienten veröffentlichte Elite deren Nachnamen sowie Details zu ihrem Gesundheitszustand, Behandlungsplan, Versicherung und Kosten, wie das HIPAA Journal berichtete. Eine Untersuchung des Office for Civil Rights (OCR) des US-Ministeriums für Gesundheit und Soziale Dienste folgte, die nicht nur eine unzulässige Offenlegung von PHI durch den Gesundheitsdienstleister in diesem Fall bestätigte, sondern auch in mehreren anderen Fällen.
  • Um die Dinge zu verschärfen, ergab die Untersuchung auch, dass Elite es versäumt hatte, Richtlinien und Verfahren im Zusammenhang mit PHI zu implementieren und den erforderlichen Mindestinhalt in ihren Hinweisen zur Datenschutzpraxis gemäß der HIPAA-Datenschutzbestimmung aufzunehmen. Am Ende verhängte das OCR eine Geldstrafe von 10.000 US-Dollar und einen Maßnahmenplan für Elite, einschließlich der Entwicklung von HIPAA-konformen Richtlinien, um vergangene Verstöße beizulegen und zukünftige zu verhindern.

Der übereilte Kommentar über einen verstorbenen Kollegen auf YouTube

  • Im Jahr 2020 geriet eine Krankenschwester aus einer Notaufnahme in New York City in die Kritik, nachdem sie Videomaterial geteilt hatte, auf dem sie und ihre Kollegen über die Strapazen sprachen, die sie als Frontpersonal während des Höhepunkts der Coronavirus-Krise überwinden mussten. Leider nannten sie bei der Beschreibung, wie sie mehr Leben hätten retten können, wenn sie nicht mit Engpässen bei Schutzausrüstung und Zubehör konfrontiert gewesen wären, einen ehemaligen Kollegen, der im Lincoln Hospital an COVID-19 verstorben war.
  • Die Ergebnisse der darauf folgenden Untersuchung wurden nicht öffentlich bekannt gegeben, aber Disziplin und vorübergehende Suspendierung wurden als mögliche Konsequenzen genannt.

Die unüberlegte Massen-E-Mail-Kampagne an bariatrische Patienten

  • In einem von Allan Collautt Associates zitierten Beispiel versandte ein Gesundheitszentrum mit Sitz in Springfield, Pennsylvania, eine E-Mail an etwa 900 bariatrische OP-Patienten mit Informationen zu einer Selbsthilfegruppe. Da die E-Mail-Adressen der Empfänger im CC-Feld der E-Mail eingetragen waren, waren sie für alle sichtbar, die sie erhielten. Da jeder, der die E-Mail las, vernünftigerweise annehmen konnte, dass alle Empfänger sich einer bariatrischen Operation unterzogen hatten, könnte ein solcher Fehler als Grund für einen HIPAA-Verstoß gelten.

Für welche Art der E-Mail-Kommunikation gelten die HIPAA-Anforderungen?

Kurz gesagt: für sämtliche E-Mail-Kommunikation, die von einer unter das HIPAA fallenden juristischen Person oder Organisation initiiert wird. Also

  • Krankenkassen, einschließlich Krankenversicherungsgesellschaften, HMOs, Betriebskrankenkassen, staatlicher Programme für die Kostenübernahme der Gesundheitsversorgung wie Medicare, Medicaid und Gesundheitsversorgungsprogramme fürs Militär und Veteranen
  • Ärzte, Kliniken, Psychologen, Zahnärzte, Chiropraktiker, Pflegeheime und Apotheken, vorausgesetzt sie übertragen Informationen in Verbindung mit einer Transaktion, für die das HHS einen Standard hat, auf elektronische Weise
  • Clearingstellen für die medizinische Versorgung, einschließlich juristischer Personen und Organisationen, die atypische Gesundheitsinformationen, die sie von einer anderen juristischen Person oder Organisation erhalten, zu einem Standard (wie ein standardmäßiges elektronisches Format oder Standarddateninhalte) verarbeiten – oder umgekehrt

und ihre Geschäftspartner, wie Unternehmen, die

  • Ärzten helfen, für die Bereitstellung medizinischer Versorgung bezahlt zu werden
  • bei der Verwaltung von Gesundheitsschutzplänen helfen
  • medizinische Dokumente speichern oder vernichten

sowie externe Partner, wie Rechtsanwälte, Buchhalter und IT-Fachkräfte.

Welche Arten von E-Mails fallen unter die HIPAA-Regeln und Anforderungen? 3 Beispiele für via E-Mail geteilte PHI

    1. E-Mails an Patienten über ihren Gesundheitszustand und ihre Behandlung

    Die HIPAA-Datenschutzbestimmung gestattet unter das HIPAA fallenden juristischen Personen und Organisationen, Gesundheitsbelange mit Patienten via E-Mail zu besprechen, schreibt ihnen jedoch vor, dabei angemessene Schutzvorkehrungen zu treffen. Dazu gehören die Überprüfung der E-Mail-Adresse des vorgesehenen Empfängers vor dem Senden, um eine versehentliche Offenlegung von PHI zu vermeiden; die Reduzierung der geteilten Informationen, wenn PHI oder Einzelheiten zu Behandlungen unverschlüsselt per E-Mail versendet werden, und die Übernahme der in 45 C.F.R. Teil 164, Unterabschnitt C dargelegten Sicherheitsstandards.

    2. Massen-E-Mails an frühere, aktuelle oder potenzielle Patienten

    Das Versenden einer Massen-E-Mail, bei der die Empfänger nicht ins BCC-Feld eingegeben werden, ist das gängigste Beispiel eines E-Mail-bezogenen HIPAA-Verstoßes – unabhängig davon, was die eigentliche E-Mail enthält. Solange die Empfänger sehen können, wem die Nachricht sonst noch zugeschickt wurde, können sie eine frühere, zukünftige oder aktuelle Beziehung zwischen dem Gesundheitsanbieter und den Empfängern ableiten, was eine deutliche unzulässige Offenlegung von PHI darstellt.

    3. E-Mail-Antworten von juristischen Personen und Organisationen, die unter das Gesetz fallen – oder nicht

    Die HIPAA-Sicherheitsbestimmung schreibt unter das Gesetz fallenden juristischen Personen und Organisationen und deren Geschäftspartnern vor, beim Versenden von PHI via E-Mail angemessene Sicherheitsvorkehrungen zu treffen. Diese Anforderung gilt jedoch nicht für eingehenden E-Mail-Verkehr. Das bedeutet, dass der Schutz sensibler Informationen in E-Mail-Antworten die Verantwortlichkeit des Senders ist, solange es sich bei diesem ebenfalls um eine unter das Gesetz fallende juristische Person oder Organisation oder deren Geschäftspartner handelt (falls nicht, kann kein HIPAA-Verstoß nachgewiesen werden).

    HIPAA für E-Mails von Therapeuten: Gelten dieselben Regeln?

    Im Großen und Ganzen ja.

    Als unter das Gesetz fallende juristische Personen und Organisationen müssen psychosoziale Fachkräfte die HIPAA-Datenschutz- und -Sicherheitsstandards genauso wie alle anderen Gesundheitsanbieter erfüllen. Jedoch gelten einige Ausnahmen. So gestattet die HIPAA-Datenschutzbestimmung beispielsweise eine Kommunikation zwischen dem Gesundheitsanbieter und Familienangehörigen und Freunden von Patienten, die bei der Behandlung und deren Ergebnissen oftmals eine tragende Rolle spielen.

    Darüber hinaus wird psychotherapeutischen Notizen gemäß der Datenschutzbestimmung besonderer Schutz gewährt, da diese äußerst sensible Informationen enthalten und sie in erster Linie für die psychosoziale Fachkraft relevant sind, die sie erstellt hat. Aus diesem Grund müssen derartige Notizen von anderen PHI-Typen separat aufbewahrt werden und können nur mit dem ausdrücklichen Einverständnis des Patienten geteilt werden.

    HIPAA-Anforderungen im Hinblick auf E-Mail-Verschlüsselung: Ein kurzer Rückblick

    Laut der HIPAA-Sicherheitsbestimmung fällt Verschlüsselung in die Kategorie der „adressierbaren“ Vorgaben für die Implementierung. Das bedeutet jedoch bei Weitem nicht, dass sie einfach ein nettes Extra ist.

    Gesetzgeber haben diese Anforderungen vage formuliert, erklärt das HIPAA Journal, um sie technologisch neutral zu halten und Raum für zukünftige technologische Entwicklungen zu lassen. Unter das Gesetz fallenden juristischen Personen und Organisationen und ihren Geschäftspartnern wird empfohlen, zu beurteilen, wie und wie oft sie e-PHI übertragen, und auf den Ergebnissen basierend zu entscheiden, ob Verschlüsselung für den Schutz der e-PHI während der Übertragung erforderlich ist sowie welche Verschlüsselungsmethoden die Übertragung am besten absichern würden.

    Das einzige Szenario, in dem die Übertragung unverschlüsselter geschützter Gesundheitsinformationen kein Stirnrunzeln hervorrufen sollte, ist der Informationsaustausch unter Kollegen im organisationseigenen sicheren Netzwerk – natürlich unter der Voraussetzung, dass die Organisation über angemessene Server-Sicherheitstools und -protokolle verfügt und Mitarbeiter ausschließlich gemäß dem Prinzip „Kenntnis nur, wenn nötig“ Zugriff auf die Informationen im Klartext haben, um ihre Aufgaben zu erfüllen.

    Technisch gesehen kann das Teilen geschützter Gesundheitsinformationen mit Patienten via E-Mail ohne Verschlüsselung erfolgen, jedoch nur, wenn die unter das Gesetz fallende juristische Person oder Organisation den Empfänger im Vorfeld und umfassend über die involvierten Risiken sowie über weitere, sicherere Kommunikationswege informiert hat; der Patient angegeben hat, dass er sich trotz der mit ihr verbundenen Risiken für die weniger sichere Option entschieden hat und sein Einverständnis zu dieser Kommunikationsmethode auf dokumentierte und abrufbare Weise eingeholt wurde.

    So machen Sie Ihre E-Mails HIPAA-konform

      1. Signieren Sie einen BAA mit Ihrem E-Mail-Anbieter

      Das Ziel des sogenannten Business Associate Agreement (BAA), also eines Partnerabkommens, ist die Definition zulässiger Verwendungszwecke und Offenlegungen von PHI durch den Geschäftspartner und die Gewährleistung, dass administrative, physische und technische Sicherheitsmaßnahmen ergriffen werden, um sie zu schützen. Finden Sie eine Vorlage des HHS hier. Ein guter Rat: Wenn Ihr E-Mail-Anbieter sich weigert, eine solche Vereinbarung zu unterzeichnen, suchen Sie sich einen anderen.

      2. Nutzen Sie Ende-zu-Ende-Verschlüsselung

      Ende-zu-Ende-Verschlüsselung kann Nutzern Seelenfrieden bringen – selbst in streng regulierten Branchen wie dem Gesundheitswesen. Sie erreicht dies, indem Nachrichten noch vorm Senden verschlüsselt und nur dann mithilfe zufällig generierter Verschlüsselungscodes entschlüsselt werden, nachdem sie das Gerät des Empfängers erreicht haben. Das bedeutet, dass niemand zwischen diesen beiden Kommunikationsendpunkten die Daten lesen oder modifizieren kann.

      Weitere Details dazu, wie Sie E-Mails sicher versenden, finden Sie in unserem Leitfaden zu E-Mail-Verschlüsselung und wie Sie E-Mails in Outlook sichern.

      3. Verbessern Sie PHI-Sicherheitsprotokolle

      Entwickeln und überarbeiten Sie organisatorische Richtlinien im Hinblick auf den Zugriff auf sowie die Verwaltung und die Übertragung von PHI. Implementieren Sie rollenbasierte Berechtigungen und differenzierte Kontrollen, um den Zugriff auf derartige Informationen auf das absolute Minimum zu reduzieren, sowie Zugriffsprotokolle darüber, wer auf PHI zugegriffen oder dies versucht hat, und führen Sie regelmäßige Audits der Protokolle und Berechtigungen durch.

    Zusatzfrage Nr. 1: Ist Gmail HIPAA-konform?

    Ja und nein. Die kostenlose Version von Googles E-Mail-Dienst ist nicht HIPAA-konform und ausschließlich für die private Nutzung gedacht. Sollten Sie jedoch zu Googles Workspace- oder Cloud-Identity-Kunden gehören, können Sie Google-Dienste konfigurieren, sodass sie Gmail-HIPAA-Compliance unterstützen. Um dies zu tun, sollten Sie unbedingt ein BAA mit Google unterzeichnen, bevor Sie Googles Services für die Übertragung von PHI nutzen, konsultieren Sie Googles HIPAA-Implementierungsanleitung und aktivieren Sie die S/MIME-Verschlüsselung für Ihre E-Mails.

    Zusatzfrage Nr. 2: Ist Outlook HIPAA-konform?

    Ähnlich wie Google bietet Microsoft Support für HIPAA-Compliance für geschäftliche Nutzer, die als unter das Gesetz fallende juristische Personen oder Organisationen oder deren Geschäftspartner gelten, und ist bereit, ein BAA abzuschließen. Jedoch weist das HIPAA Journal darauf hin, dass die ganze Bandbreite von Features, die für das Erzielen von HIPAA-Compliance notwendig sind, einschließlich Audit-Protokolle, nur für bestimmte Enterprise-Lizenzen verfügbar ist. Darüber hinaus müssen die Dienste sorgfältig konfiguriert und zusätzliche Kontrollen eingerichtet werden, um Outlook HIPAA-konform zu machen.

    Wenn nur das Sicherste sicher genug ist: Tresorit Integration für Gmail und Microsoft 365

    Tresorits Add-ons für Gmail und Microsoft 365 bieten eine zusätzliche Sicherheitsebene, um Ihre wertvollsten Datenbestände mühelos abzusichern. Dies beinhaltet:

    • Ende-zu-Ende-verschlüsseltes Speichern und Daten-Back-up

      Speichern Sie Ihre Daten in einer ultrasicheren, durch Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Prinzip geschützten Cloudumgebung – oder nutzen Sie sie für Ihre Daten-Back-ups.

    • Interner und externer Datentausch ohne Kopfzerbrechen

      Verwenden Sie sichere verschlüsselte Links, um Dateien mit Kollegen, Patienten/Klienten oder Zulieferern auf sichere Weise auszutauschen – selbst wenn diese über kein eigenes Tresorit-Konto verfügen.

    • Admin- und Nutzerkontrollfunktionen an einem Ort

      Verwalten Sie Nutzer, Sicherheitsrichtlinien und Dateiaktivitäten sowie wer auf welche Daten Zugriff hat über eine einzige Benutzeroberfläche.

    • Automatische Verschlüsselung von E-Mail-Anhängen

      Tresorits E-Mail Encryption bietet eine schnelle und einfache Möglichkeit, riskante E-Mail-Anhänge durch verschlüsselte Links zum Teilen und passwortgeschützte Dateien zu ersetzen.

    • Compliance mit den strengsten Datenschutzauflagen

      Stärken und vereinfachen Sie Ihre DSGVO-, CCPA-, HIPAA-, TISAX-, FINRA- und ITAR-Compliance-Bemühungen mit clientseitiger Ende-zu-Ende-Verschlüsselungstechnologie.

    • Einfache Integration durch SIEM oder SSO

      Verbinden Sie Tresorit mit dem Azure Active Directory Ihres Unternehmens via Single Sign-on oder aktivieren Sie die SIEM-Integration mit Microsoft Sentinel.

    • Flexible und sichere On-Premises-Alternative

      Kombinieren Sie die von On-Premises-Systemen gebotene Kontrolle und Sicherheit mit dem Komfort und der Skalierbarkeit von Cloudumgebungen.

    Intrigiert? Erfahren Sie mehr und laden Sie Tresorit für Microsoft 365 oder Tresorit für Gmail herunter. Suchen Sie nach einer HIPAA-konformen, verschlüsselten Cloudspeicher- und Datentauschlösung zur Verwaltung medizinischer Aufzeichnungen? Sehen Sie, was Tresorit für Sie tun kann.

Vorgeschlagene Artikel