Was sind ePHI? Bedeutung, Beispiele und 4 Best Practices zum Schutz von Gesundheitsinformationen

Anfang dieses Jahres reichte das US Department of Health and Human Services Office for Civil Rights, kurz HHS OCR, zwei Berichte zum Stand der Sicherheit von geschützten Gesundheitsinformationen (Protected Health Information, PHI) und zu HIPAA-Compliance 2021 beim Kongress der Vereinigten Staaten ein. Diese ergaben, dass von 2017 bis 2021 Beschwerden betreff Verletzungen des Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetzes (Health Insurance Portability and Accountability Act, HIPAA) um 39% und gemeldete umfangreiche Datenschutzverletzungen um 58% zugenommen hatten. Beim HHS OCR gingen 609 Meldungen zu Vorfällen ein, die 500 oder mehr Personen und somit insgesamt ungefähr 37,2 Millionen Patienten betrafen.

Somit ist unbestritten, dass es im Hinblick auf den Schutz und die vertrauliche Handhabung von Gesundheitsinformationen für eine Verbesserung der Privatsphäre von Patienten und der Compliance mit HIPAA-Datenschutz- und Sicherheitsauflagen für betreffende Einrichtungen noch jede Menge zu tun – und zu lernen – gibt. Dies gilt insbesondere für den digitalen Raum, in dem Gesundheitsdienstleister sich einer wachsenden Anzahl neuer Bedrohungen gegenübersehen – von Phishing-E-Mails, mit denen Patienteninformationen gestohlen werden können, bis hin zu DDoS-Attacken, die den Betrieb von Einrichtungen derartig lahmlegen können, dass keine angemessene medizinische Versorgung mehr geleistet werden kann.

Was also genau sind ePHI im Sinne des HIPAA – und was nicht? Und welche Best Practices existieren, um elektronische geschützte Gesundheitsinformationen vor Kompromittierung zu schützen? Lesen Sie weiter, um genau dies herauszufinden.

Was bedeutet die Abkürzung ePHI – und was ist der Unterschied zwischen PHI und ePHI?

Kurz gesagt: Die Abkürzung ePHI steht für „electronic Protected Health Information“, also elektronische geschützte Gesundheitsinformationen, und bezieht sich also auf „PHI im elektronischen Format“. Lassen Sie uns dies jedoch noch ein wenig genauer beleuchten.

Die Sicherheitsbestimmung (Security Rule) des Health Insurance Portability and Accountability Act (HIPAA) 1996 definiert ePHI als „individuell identifizierbare Gesundheitsinformationen, die von betreffenden Einrichtungen im elektronischen Format erstellt, empfangen, verwahrt oder übertragen werden“. Mündlich oder schriftlich übertragene geschützte Gesundheitsinformationen sind von dieser Regel ausgeschlossen. Das bedeutet, dass ePHI eine Teilmenge von geschützten Gesundheitsinformationen (Protected Health Information oder auch Personal Health Information – kurz PHI) ausmachen, die durch die Datenschutzbestimmung (Privacy Rule) des HIPAA geschützt sind.

Gemäß der HIPAA-Datenschutzbestimmung bezieht sich der Begriff PHI aufsämtliche Informationen, mündlich oder schriftlich erfasst, die „von einem Gesundheitsdienstleister, einer Krankenversicherung, einer Gesundheitsbehörde, einem Arbeitgeber, einer Lebensversicherung, einer Bildungseinrichtung wie Schulen und Universitäten oder einer Clearingstelle für Gesundheitsversorgung erstellt oder empfangen“ wurden „und sich auf die Vergangenheit, Gegenwart oder Zukunft der physischen oder psychischen Gesundheit oder Verfassung einer Person; die Bereitstellung von Gesundheitsversorgung für eine Person oder die vergangene, gegenwärtige oder zukünftige Finanzierung für die Bereitstellung von Gesundheitsversorgung für eine Person“ beziehen.

Was sind keine ePHI? Gängige Beispiele für ePHI und Ausnahmen

Sämtliche Gesundheitsinformationen, die elektronisch von einer unter das HIPAA fallenden juristischen Person oder Organisation gehandhabt werden, gelten als ePHI, wenn sie mit einem der vom HIPAA festgelegten 18 Identifikatoren gekoppelt sind. Diese beinhalten Folgendes:

• Name (vollständiger Name oder Nachname und Initialen);
• alle geografischen Identifikatoren, die spezifischer als ein Bundesstaat sind;
• Datum (mit Ausnahme des Jahres), das sich direkt auf eine Einzelperson bezieht;
• Telefonnummern, Faxnummern, E-Mail-Adressen;
• Sozialversicherungsnummern, Krankenaktennummern, Nummern von Krankenversicherungsleistungsempfängern, Kontonummern und Nummern von Zertifikaten und Genehmigungen;
• Identifikatoren von Fahrzeugen (einschließlich Seriennummern und Fahrzeugkennzeichen) und Geräten sowie Seriennummern;
• Internet-Ressourcenverorter (Uniform Resource Locators, URLs) und Nummern von IP-Adressen;
• biometrische Identifikatoren, einschließlich Fingerabdrücke, Iris-Erkennung und Sprecherauthentifizierung sowie fotografische Bilder von Gesichtern und vergleichbare Bilder;
• sämtliche weitere einzigartige Identifizierungsnummern, -charakteristika oder -codes, mit Ausnahme des einzigartigen Codes, der durch den Prüfer für die Codierung der Daten zugewiesen wird

An dieser Stelle ist es wichtig zu vermerken, dass Gesundheitsinformationen, die nicht mit einem dieser Identifikatoren gekoppelt sind, nicht als PHI oder ePHI angesehen werden. So fällt beispielsweise laut der UC Berkeleyein Datensatz Vitalparameter nicht in die Kategorie geschützter Gesundheitsinformationen. Wenn die Vitalparameter jedoch Krankenaktennummern zugeordnet sind, wird der gesamte Datensatz zu PHI. Und wenn dieser Datensatz im weiteren Sinne via E-Mail an einen Krankenversicherungsdienstleister weitergeleitet wird, wird er als ePHI klassifiziert.

Sichere ePHI: Was sind die Schutzmaßnahmen der HIPAA-Sicherheitsbestimmung?

Wie wir bereits in unserem früheren Beitrag zu PII und PHI ausgeführt haben, wurde das Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA), das auch als Public Law 104-191 bekannt ist, im Jahr 1996 erlassen. Es legte das Fundament für die Einführung angemessener Standards für den Datenschutz und die Sicherheit von individuell identifizierbaren Gesundheitsinformationen, die sich im Besitz von unter das HIPAA fallenden Einrichtungen befinden.

Im Dezember 2000 führten Entscheidungsträger dann die HIPAA-Datenschutzbestimmung (Privacy Rule) und im Februar 2003 die HIPAA-Sicherheitsbestimmung (Security Rule) ein, um nationale Standards für den Schutz individuell identifizierbarer Gesundheitsinformationen festzulegen bzw. um die Vertraulichkeit, Integrität und Verfügbarkeit von elektronischen geschützten Gesundheitsinformationen zu schützen.

Laut dem Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (HHS) verlangt die HIPAA-Sicherheitsbestimmung von den betreffenden Organisationen, dass sie:

• die Vertraulichkeit, Integrität und Verfügbarkeit aller von ihnen erstellten, empfangenen, verwahrten oder übertragenen ePHI gewährleisten;
• zu erwartende Bedrohungen in Bezug auf die Sicherheit und Integrität der Informationen identifizieren und Schutzmaßnahmen gegen sie ergreifen;
• vor zu erwartenden, unzulässigen Verwendungen oder Offenlegungen schützen und Compliance seitens ihrer Belegschaft gewährleisten.

Sie erzielt dies, indem sie die betreffenden Einrichtungen dazu verpflichtet, vernünftige und angemessene administrative, technische und physische Sicherheitsvorkehrungen zum Schutz von ePHI zu treffen. Lassen Sie uns einmal einen Blick darauf werfen, was diese Schutzmaßnahmen sind und was sie für ePHI-Eigentümer bedeuten.

1. Administrative Sicherheitsvorkehrungen

Gemäß dem HIPAA handelt es sich bei administrativen Sicherheitsvorkehrungen um „administrative Handlungen, Richtlinien und Verfahren, um die Auswahl, Entwicklung, Implementierung und Instandhaltung von Sicherheitsmaßnahmen zum Schutz elektronischer geschützter Gesundheitsinformationen zu verwalten und die Verhaltensweisen der Belegschaft der unter das Gesetz fallenden Organisation in Bezug auf den Schutz dieser Informationen zu managen“. Gemeint sind also Protokolle und Arbeitsabläufe im Hinblick auf Sicherheitsmanagement, über die unter das HIPAA fallende Organisationen verfügen müssen, anstatt physische oder technische Anforderungen.

2. Physische Schutzmaßnahmen

Die physischen Schutzmaßnahmen der HIPAA-Sicherheitsbestimmung sind maßgeblich für den Zugriff auf die physischen Strukturen und das elektronische Equipment der unter das HIPAA fallenden Organisationen, z. B. Gebäude, Geräte und Informationssysteme. Hierbei gibt es zwei wichtige Erwägungen: Zum einen müssen die betreffenden Einrichtungen den unbefugten physischen Zugang und Zugriff auf ihre Anlagen und Einrichtungen unterbinden, ohne dabei den berechtigten Zugang und Zugriff einzuschränken. Zum anderen müssen sie Regeln für die korrekte Nutzung von Workstations und Geräten sowie für die Übertragung, Entfernung, Entsorgung und Wiederverwendung elektronischer Medien festlegen, um den Schutz von ePHI zu gewährleisten.

3. Technische Sicherheitsvorkehrungen

Die technischen HIPAA-Sicherheitsvorkehrungen beziehen sich auf die Technologien und für diese relevante Richtlinien und Verfahren, die unter das Gesetz fallende Organisationen implementieren sollten, um den Schutz von ePHI zu gewährleisten und den Zugriff auf sie zu kontrollieren, wie z. B. Prüfungskontrollen, Nutzerverifizierung und automatische Abmeldung. Außerdem wird in diesen eindeutig angegeben, dass Verschlüsselung beim Schutz vor unbefugter Nutzung und Offenlegung eine zentrale Rolle spielt und angewendet werden muss, wenneine Organisation im Anschluss an eine Risikoeinschätzung zu dem Ergebnis gekommen ist, dass Verschlüsselung eine geeignete Sicherheitsmaßnahme für ihr Risikomanagement bezüglich der Vertraulichkeit, Integrität und Verfügbarkeit von ePHI ist.

Reaktionscheckliste für versehentliche ePHI-Datenschutzverletzungen

1. Informieren Sie umgehend Ihren Datenschutzbeauftragten

Das Wichtigste zuerst: Der Datenschutzbeauftragte sollte entscheiden , ob der Vorfall die HIPAA-Bestimmungen oder internen Unternehmensrichtlinien verletzt. Ist Ersteres der Fall, hat der Datenschutzbeauftragte die Pflicht zu bestimmen, ob die Verletzung eine unerlaubte Verwendung oder Offenlegung von PHI darstellt. Die American Medical Association teilt mit, dass eine unerlaubte Verwendung oder Offenlegung von PHI als Datenschutzverletzung angesehen wird – es sei denn, die betreffende Einrichtung kann nachweisen, dass für eine Kompromittierung der PHI nur „geringe Wahrscheinlichkeit“ besteht.

2. Stellen Sie Ermittlungen an und bereiten Sie eine Risikobewertung vor

Führen Sie eine Untersuchung aus, um das volle Ausmaß des Vorfalls zu verstehen, das von ihm ausgehende Risiko für Patientendaten zu bestimmen und den besten Weg zu ermitteln, wie die Auswirkungen in Grenzen gehalten und behoben werden können. Laut dem HIPAA Journalsollte eine Risikobewertung erfolgen, um das Wesen der Datenschutzverletzung zu verstehen und um herauszufinden, wer auf die PHI Zugriff genommen hat, welche Art von Informationen in den Vorfall verwickelt waren, welche Patienten möglicherweise betroffen waren, wem die Informationen zugänglich waren und ob die Möglichkeit einer Weiterleitung besteht, ob auf die PHI tatsächlich zugegriffen wurde und in welchem Umfang das Risiko gemanagt wurde.

3. Setzen Sie die Öffentlichkeit über sämtliche ungesicherte PHI-Datenschutzvorfälle in Kenntnis

Sobald bestätigt wurde, dass eine PHI-Datenschutzverletzung vorliegt, müssen Sie gemäß den Bestimmungen der HIPAA Breach Notification Rule Benachrichtigungen versenden. Zu den zu informierenden Parteien können Einzelpersonen, das HHS und die Medien gehören und die Benachrichtigung sollte „ohne unzumutbare Verzögerung“ oder innerhalb von 60 Kalendertagen im Anschluss an die Feststellung der Datenschutzverletzung erfolgen. Falls der Vorfall die ungesicherten PHI von mehr als 500 Personen betrifft, muss ein im Staat oder Zuständigkeitsbereich, in dem sich der Vorfall ereignet hat, bekannter Medienkanal gemeinsam mit dem HHS informiert werden.

Der Schutz von ePHI: 4 Best Practices für unter das HIPAA fallende Einrichtungen

1. Im Zweifelsfall Verschlüsselung

Gemäß HIPAA fällt Verschlüsselung in die Kategorie der„adressierbaren“ Vorgaben für die Implementierung Dies gestattet unter das HIPAA fallenden Einrichtungen zu entscheiden, ob eine vorhandene Maßnahme vernünftig und angemessen ist, um innerhalb ihres Sicherheitssystems Anwendung zu finden. Jedoch ist „adressierbar“ nicht gleich „ein nettes Extra“. Denken Sie einmal darüber nach, wie und wie oft Sie ePHI übertragen, ob Verschlüsselung für den Schutz der sich in Transit befindlichen ePHI notwendig ist und welcheVerschlüsselungsmethoden sich am besten zum Ersetzen riskanter E-Mail-Anhänge und Dateitransfermethoden eignen würden.

So macht z. B. Zero-Knowledge-Verschlüsselunges selbst für Ihren Serviceanbieter unmöglich, irgendetwas über Ihren Verschlüsselungscode oder die von Ihnen verarbeiteten oder auf seinen Servern gespeicherten Daten zu wissen. Über das Hinzufügen einer nahezu undurchdringlichen Sicherheitsebene hinaus mindert Verschlüsselung zudem die Wahrscheinlichkeit, dass betreffenden Einrichtungen eine meldepflichtige Datenschutzverletzung ungesicherter ePHI widerfährt. Selbst wenn dieser Fall eintritt, werden sie dazu in der Lage sein, Compliance mit einem anerkannten Sicherheitsregelwerk zu demonstrieren, betont das HIPAA Journal.

2. Nutzen Sie kostenlos verfügbare Ressourcen

Zunächst sollten unter das HIPAA fallende Organisationen und deren Partner den Guide for Conducting Risk Assessments, ausgeführt in SP 800-30, des US National Institute of Standards and Technology (NIST) zu Rate ziehen – ein Branchenstandard zum Identifizieren und Priorisieren von Risiken für den Geschäftsbetrieb und Datenbestände und zur Entwicklung angemessener Risikoreaktionen. Dementsprechend wird der Leitfaden auch häufig als Vorlage für HIPAA-Risikobewertungen empfohlen und eingesetzt.

Die „HIPAA Security Toolkit“-Anwendung des NIST hilft Organisationen jeglicher Größe, die Anforderungen der Sicherheitsbestimmung und deren erfolgreiche Implementierung besser zu verstehen. Kleine und mittlere Gesundheitsdienstleister sollten das Tool zur HIPAA-Sicherheitsrisikobeurteilung vom Office of the National Coordinator for Health Information Technology (ONC) und dem OCR zu Rate ziehen, um Compliance mit der Sicherheitsbestimmung zu fördern.

3. Bringen Sie Ihre Richtlinien zur Zugriffskontrolle auf das nächste Level

Die Minimum Necessary Rule (Regel des notwendigen Minimums) ist ein Eckpfeiler der HIPAA-Sicherheitsbestimmung und besagt, dass PHI nicht verwendet oder offengelegt werden sollten, wenn dies nicht ausdrücklich zur Erfüllung eines legitimen Zwecks oder zur Ausführung einer bestimmten Funktion notwendig ist. Verhindern Sie potenzielle ePHI-Datenschutzverletzungen, indem Sie rollenbasierte Zugriffsberechtigungen und differenzierte Kontrollen einsetzen und internen oder externen Nutzern ausschließlich Zugriff auf bestimmte Informationen und Systeme gewähren. Zusätzlich sollten Sie Protokolle darüber führen, wer wann auf geschützte Gesundheitsinformationen Zugriff genommen oder dies versucht hat – und regelmäßige Protokoll- und Berechtigungsprüfungen ausführen.

4. Machen Sie Mitarbeiter zu Ihrer ersten Verteidigungslinie

Ihre ePHI-Schutzrichtlinien und -maßnahmen sind nur so effektiv, wie die von Ihnen angebotenen Schulungen für Mitarbeiter dazu, was diese für sie bedeuten. Stellen Sie sicher, dass der Schulungsplan die Meldepflicht von Datenschutzverletzungen abdeckt, mit einem Fokus darauf, wann ein Vorfall wem gemeldet werden muss und welche Konsequenzen HIPAA-Verletzungen, wie das Versäumnis der Meldung eines Sicherheitsvorfalls, nach sich ziehen – einschließlich interner Disziplinarmaßnahmen und zivilrechtlicher Sanktionen. Hier finden Sie einige Vorschläge des US Department of Homeland Security dazu, wie Sie Ihre Mitarbeiter befähigen und eine Unternehmenskultur der Wachsamkeit fördern können.

Sind Sie auf der Suche nach einer HIPAA-konformen, verschlüsselten Cloudspeicher- und Datentauschlösung für die Verwaltung medizinischer Unterlagen? Erfahren Sie, was Tresorit für Sie tun kann.