HIPAA-konforme Cloud-Speicherlösungen:Wahrung der Compliance im Gesundheitswesen

Krankenhäuser, Kliniken und andere Gesundheitsorganisationen hatten in den letzten Jahren einen holprigen Weg zur Einführung der Cloud. Die impliziten Sicherheitsrisiken bei der Nutzung der Public Cloud oder der Zusammenarbeit mit einem Drittanbieter haben die Einführung der Cloud in der Gesundheitsbranche erheblich verzögert.

Selbst heute, wo 84 % der Gesundheitsorganisationen Cloud-Dienste nutzen, kann die Frage nach der Wahl des richtigen HIPAA-konformen Cloud-Anbieters Kopfschmerzen bereiten.

Alle Gesundheitsdienstleister, deren Kundendaten in den USA gespeichert werden, unterliegen einer Reihe von Vorschriften, die als HIPAA-Compliance bekannt sind

Heutzutage muss jede Organisation, die mit vertraulichen Patientendaten umgeht, die HIPAA-Speicheranforderungen einhalten.

Was ist HIPAA-Compliance?

HIPAA-Standards bieten Schutz von Gesundheitsdaten. Jeder Anbieter, der mit einer Gesundheitsorganisation oder einem Unternehmen zusammenarbeitet, das Gesundheitsakten handhabt, muss sich an die HIPAA-Datenschutzregeln halten. Es gibt auch viele Zulieferindustrien, die sich an die Richtlinien halten müssen, wenn sie Zugang zu medizinischen und Patientendaten haben. Hier spielt HIPPA-konformer Cloud-Speicher eine wichtige Rolle.

Im Jahr 1996 „erließ das US-Gesundheitsministerium („HHS“) die Datenschutzrichtlinie, um die Anforderung des Health Insurance Portability and Accountability Act (HIPAA) von 1996 umzusetzen.“ Die Datenschutzregel befasst sich mit den „elektronisch geschützten Gesundheitsinformationen“ von Patienten und wie Organisationen oder „HIPAA-betroffene Einrichtungen“, die den Datenschutzregeln unterliegen, diese einhalten müssen.

Die meisten Gesundheitseinrichtungen verwenden irgendeine Form von elektronischen Geräten, um medizinische Versorgung bereitzustellen. Das bedeutet, dass sich Informationen nicht mehr auf einer Papierkarte befinden, sondern auf einem Computer oder in der Cloud. Im Gegensatz zu allgemeinen Unternehmen oder den meisten kommerziellen Einrichtungen sind Gesundheitseinrichtungen gesetzlich verpflichtet, die zuverlässigsten Datensicherungsverfahren anzuwenden.

Wie wirkt sich das also auf die Wahl eines Cloud-Anbieters aus?

Bei der Planung ihres Umstiegs auf Cloud Computing müssen Gesundheitseinrichtungen sicherstellen, dass ihr Anbieter bestimmte Sicherheitskriterien erfüllt.

Diese Kriterien werden in Anforderungen und Schwellenwerte übersetzt, die ein Unternehmen erfüllen und einhalten muss, um HIPAA-fähig zu werden. Diese bestehen aus einer Reihe von Zertifizierungen, SOC-Audits und -Berichten, Verschlüsselungsstufen und physischen Sicherheitsfunktionen.

HIPAA-Cloud-Speicherlösungen sollten funktionieren, um die Einhaltung der Vorschriften einfach und unkompliziert zu machen. Auf diese Weise müssen sich Gesundheitsorganisationen um eine Sache weniger kümmern und können sich auf die Verbesserung ihrer kritischen Prozesse konzentrieren.

 HIPAA Cloud-Speicher- und Datensicherungsanforderungen

Ein Cloud-Dienstanbieter, der mit einem Unternehmen Geschäfte macht, das gemäß den Regeln des HIPAA-HITECH-Gesetzes tätig ist, gilt als Geschäftspartner. Als solches muss es nachweisen, dass es die Cloud-Compliance-Standards einhält und alle relevanten Standards befolgt. Obwohl der Anbieter Patientendaten nicht direkt verarbeitet, erhält, verwaltet und speichert er geschützte Gesundheitsinformationen (PHI). Allein diese Tatsache macht sie dafür verantwortlich, sie gemäß den Richtlinien des HIPAA-HITECH-Gesetzes zu schützen.

HIPAA-konform zu sein bedeutet, alle Regeln und Vorschriften umzusetzen, die das Gesetz vorschlägt. Jeder Anbieter, der Dienstleistungen anbietet, die dem Gesetz unterliegen, muss seine Konformität dokumentieren. Diese Dokumentation muss nicht nur an ihre Kunden, sondern auch an das Office for Civil Rights (OCR) gesendet werden. Das OCR ist eine Unterbehörde des US-Bildungsministeriums, die den gleichberechtigten Zugang zu Gesundheits- und Sozialdienstprogrammen fördert.

Organisationen der Gesundheitsbranche, die mit einem HIPAA-konformen Cloudspeicher  arbeiten möchten Anbieter sollten einen Compliance-Nachweis verlangen, um sich zu schützen. Wenn der Anbieter alle Standards befolgt, sollte er keine Bedenken haben, die entsprechende Dokumentation mit Ihnen zu teilen.

HIPAA-Anforderungen für Cloud-Hosting-Organisationen sind die gleichen wie die Anforderungen für Geschäftspartner. Sie fallen in drei unterschiedliche Kategorien:administrative, physische und technische Sicherheitsvorkehrungen.

• Administrative Schutzmaßnahmen:  Diese Arten von Sicherheitsvorkehrungen sind transparente Richtlinien, die darlegen, wie das Unternehmen diese aus betrieblicher Sicht einhalten wird. Die Vorgänge können die Verwaltung von Sicherheitsrisikobewertungen, geeigneten Verfahren, Katastrophen- und Notfallmaßnahmen und die Verwaltung von Passwörtern umfassen.
• Physischer Schutz: Physische Sicherheitsvorkehrungen sind in der Regel Systeme zum Schutz von Kundendaten. Dazu können die ordnungsgemäße Lagerung, Datensicherung und die ordnungsgemäße Entsorgung von Medien in einem Rechenzentrum gehören. Wichtige Sicherheitsvorkehrungen für Einrichtungen, in denen sich Hardware- oder Softwarespeichergeräte befinden, gehören ebenfalls zu dieser Kategorie.
• Technische Sicherheitsvorkehrungen: Diese Gruppe von Schutzmaßnahmen bezieht sich auf technische Merkmale, die implementiert wurden, um das Datenrisiko zu minimieren und den Schutz zu maximieren. Das Erfordernis eindeutiger Anmeldeinformationen, Richtlinien für die automatische Abmeldung und Authentifizierung für den Zugriff auf PHI sind nur einige der technischen Sicherheitsvorkehrungen, die vorhanden sein sollten.

Was macht einen HIPAA-zertifizierten Cloud-Anbieter konform?

Die Bereitstellung von HIPAA-konformer Dateispeicherhardware oder -software ist nicht so einfach wie das Umlegen eines Schalters. Es erfordert enorm viel Zeit und Mühe, bis ein Unternehmen konform ist.

Das entscheidende Element, auf das Sie bei einem HIPAA-zertifizierten Cloud-Speicheranbieter achten sollten, ist seine Bereitschaft, einen Business Associate Agreement abzuschließen. Diese als BAA bekannte Vereinbarung wird zwischen zwei Parteien geschlossen, die beabsichtigen, PHI zu übermitteln, zu verarbeiten oder zu empfangen. Ihr Hauptzweck besteht darin, beide Parteien vor rechtlichen Folgen zu schützen, die zum Missbrauch geschützter Gesundheitsinformationen führen.

Ein Business Associate Agreement BAA darf die Gesamtstandards des HIPAA nicht ergänzen, subtrahieren oder ihnen widersprechen. Wenn jedoch beide Parteien zustimmen, ist die Ergänzung spezifischer Terminologie akzeptabel. Es gibt auch einige Kernbedingungen, die die Grundlage für einen konformen Geschäftspartnervertrag bilden und beibehalten werden müssen, damit der Vertrag als rechtsverbindlich gilt.

Die vom Cloud-Anbieter aktivierte Verschlüsselungsstufe erfordert angemessene Aufmerksamkeit. Das Unternehmen sollte Dateien nicht nur während der Übertragung, sondern auch im Ruhezustand verschlüsseln. Advanced Encryption Standard (AES) ist die minimale Verschlüsselungsstufe, die zum Speichern und Teilen von Dateien verwendet werden sollte. AES ist ein Nachfolger des Data Encryption Standard (DES) und wurde 1997 vom National Institute of Standards and Technology (NIST) entwickelt. Es ist ein fortschrittlicher Verschlüsselungsalgorithmus, der einen verbesserten Schutz gegen verschiedene Sicherheitsvorfälle bietet.

Auswahl eines konformen Cloud-Speicheranbieters

Suchen Sie bei der Auswahl eines HIPAA-konformen Anbieters nach HIPAA-Webhosting, das die im vorherigen Abschnitt beschriebenen Maßnahmen erfüllt. Stellen Sie sicher, dass Sie sie nach ihren Sicherheitspraktiken zur Datenspeicherung fragen, um zu erfahren, wie sicher Ihre PHI-Daten sind.

Bietet der potenzielle Anbieter eine Service-Level-Vereinbarung an?

Ein SLA-Vertrag gibt garantierte Reaktionszeiten auf Bedrohungen an, in der Regel innerhalb eines 24-Stunden-Fensters. Als Unternehmen, das PHI übermittelt, müssen Sie wissen, wie schnell der Anbieter Sie im Falle eines Vorfalls benachrichtigen kann. Je schneller Sie eine Benachrichtigung über einen Verstoß erhalten, desto effizienter können Sie darauf reagieren.

Vergessen Sie nicht, dass die Speicherung elektronischer Cloud-basierter Krankenakten in einem sicheren Rechenzentrum erfolgen sollte.

Welche Sicherheitsmaßnahmen gibt es im Falle eines Zwischenfalls? Wie wird der Zugang zur Einrichtung geregelt? Fordern Sie einen detaillierten Überblick darüber an, wie sie physische Sicherheit implementieren und durchsetzen. Überprüfen Sie, wie sie im Falle einer Datenschutzverletzung reagieren. Stellen Sie sicher, dass Sie alle relevanten Details erhalten, bevor Sie Ihre Daten einem Risiko aussetzen.

Ihr ausgewählter Anbieter sollte auch über einen Notfallwiederherstellungs- und Kontinuitätsplan verfügen.

Ein Kontinuitätsplan sieht Verluste aufgrund von Naturkatastrophen, Datenschutzverletzungen und anderen unvorhergesehenen Vorfällen vor. Es wird auch die erforderlichen Prozesse und Verfahren bereitstellen, falls oder wenn solche Ereignisse eintreten. In Bezug auf Best Practices zur Verhinderung von Datenverlust ist es auch wichtig zu bestimmen, wie oft die vorgeschlagene Methode strengen Tests unterzogen wird.

Sicherheit von Patientenakten im Gesundheitswesen – Wie kann ich sicher sein?

Cloud-Anbieter, die Compliance ernst nehmen, stellen sicher, dass ihre Zertifizierungen aktuell sind. Es gibt mehrere Möglichkeiten zu überprüfen, ob sie den Standards und relevanten Vorschriften entsprechen.

Eine Möglichkeit besteht darin, Ihren potenziellen Anbieter mithilfe einer unabhängigen Partei zu prüfen. Audits machen Sie auf mögliche Risiken aufmerksam und zeigen die Sicherheitstaktiken des Anbieters auf. Cloud-Speicher für Anbieter von Krankenakten müssen ihre Systeme und Umgebungen regelmäßig überprüfen, um Bedrohungen abzusichern, um konform zu bleiben. Der Begriff „regelmäßig“ ist im Gesetz nicht definiert, daher ist es unerlässlich, mindestens vierteljährlich Unterlagen und Informationen anzufordern. Sie sollten auch sicherstellen, dass Sie jederzeit Zugriff auf Berichte und Dokumentationen haben, in denen die letzten Audits aufgeführt sind.

Eine andere Möglichkeit, um festzustellen, ob das Unternehmen konform ist, besteht darin, die Qualifikationen seiner Mitarbeiter zu bewerten. Alle Mitarbeiter müssen über die aktuellsten Standards geschult und mit spezifischen Sicherheitsvorkehrungen vertraut gemacht werden. Nur wenn diese vorhanden sind, können Organisationen Compliance erreichen.

Stellen Sie Ihrem potenziellen Anbieter schwierige Fragen. Jeder, der Zugang zu PHI hat, benötigt eine angemessene Schulung zu sicheren Datenübertragungsmethoden. Die Schulung muss die Fähigkeit umfassen, Patientendaten sicher zu verschlüsseln, unabhängig davon, wo sie gespeichert sind.

Ein HIPAA-konformes Unternehmen wird Sie nicht um eine Hintertür für den Zugriff auf Ihre Daten oder die Erlaubnis bitten, Ihre Zugriffsverwaltungsprotokolle zu umgehen. Solche Anbieter erkennen das Risiko, zusätzliche Authentifizierungs- oder Zugriffspunkte zu verlangen. Die Kompromittierung des Zugriffs auf Authentifizierungsprotokolle und Passwortanforderungen ist ein schwerwiegender Verstoß und sollte niemals vorkommen.

Häufig gestellte Fragen zu Cloud-Sicherung und -Speicherung

Fragen Sie potenzielle Cloud-Anbieter, welche Methode sie verwenden, um Ihre HIPAA-Compliance zu bewerten.

Ist eine HIPAA-Richtlinienvorlage zur Verwendung verfügbar? Bietet der Anbieter Anleitung und Feedback zur Compliance? Wie stellen sie sicher, dass Sie auf dem neuesten Stand sind und sich der Sicherheitsregeln und -vorschriften bewusst sind? Bieten sie HIPAA-konforme E-Mails an?

Hat das Unternehmen Vollzeitmitarbeiter vor Ort?

Vor Ort präsent und rund um die Uhr verfügbar zu sein, ist ein Mechanismus, um erweiterte Sicherheit zu gewährleisten. Ein verfügbarer Vertreter macht die PHI-Sicherheit zuverlässiger und garantiert im Bedarfsfall eine schnelle Reaktion. Es gibt Ihnen auch die Gewissheit, dass das für Ihren Datenschutz zuständige Unternehmen gründlich mit den erforderlichen Standards vertraut ist.

Der richtige Anbieter sollte sich auch schnell an die Änderungen anpassen und Sie über alles informieren, was sich direkt auf Ihre PHI oder Ihren Zugriff darauf auswirkt.

Die Datenlöschung ist eine entscheidende Komponente bei der Auswahl des geeigneten HIPAA-Geschäftspartners. Wie lange werden die Informationen aufbewahrt, bevor sie gelöscht werden? Wie wird Datenlecks verhindert, wenn Server außer Betrieb genommen oder gelöscht werden? Werden Ihnen die Daten vor der Löschung bereitgestellt? Das Gesetz bietet keine Richtlinien bezüglich der erforderlichen Dauer, aber es ist eine Vereinbarung, die Sie und Ihr Anbieter gemeinsam treffen müssen.

Bestimmen Sie zusätzlich zu Ihrem Wissen, wie gut Ihr potenzieller Anbieter mit den HIPAA-Vorschriften vertraut ist. Cloud-Unternehmen halten sich oft nicht an die neuesten Gesetzesänderungen, und Sie müssen konsequent nach dem einen suchen.

Einkaufsbummel. Geben Sie sich nicht mit dem ersten Angebot zufrieden.

Viele Unternehmen preisen ihre HIPAA-Sicherheit an, nur um festzustellen, dass sie die Messlatte nicht erfüllen. Recherchieren Sie, stellen Sie Fragen und bestimmen Sie, welcher Anbieter Ihren Anforderungen am besten entspricht.

HIPAA-konformer Cloud-Speicher ist entscheidend

Wenn es um den Schutz von Krankenakten in der Cloud geht, unterstützt phoenixNAP Ihre Bemühungen mit höchster Servicequalität, Sicherheit und Zuverlässigkeit.

Wir bieten eine Auswahl an Rechenzentren, die modernsten Schutz für Ihre Krankenakten bieten. Mit skalierbaren Cloud-Lösungen, einer Verfügbarkeitsgarantie von 100 % und unübertroffener Notfallwiederherstellung können Sie sicher sein, dass Ihre Infrastruktur konform ist.

HIPAA-Zertifizierungen können verwirrend, kompliziert und stressig sein.

Sie müssen sich darauf verlassen können, dass Ihr Cloud-Anbieter Ihre Dateien sicher aufbewahrt. PhoenixNap Global IT Services gibt Ihnen die Freiheit, sich auf andere Bereiche Ihres Unternehmens zu konzentrieren und den Schutz Ihrer Unternehmen und Geschäftspartner zu gewährleisten.