Für die meisten Organisationen des Gesundheitswesens ist der Schutz der Privatsphäre der Patienten der wichtigste Aspekt des HIPAA und der schwierigste. Der HIPAA verwendet den Begriff „Protected Health Information“ (PHI) für geschützte Daten, aber das Konzept ist dem Begriff „Personally Identifiable Information“ (PII) sehr ähnlich, der in anderen Compliance-Regelungen verwendet wird. Wenn Unternehmen verstehen, wie sich PII und PHI überschneiden, können sie ihre Bemühungen um die Einhaltung der Vorschriften in den verschiedenen Systemen vereinheitlichen und so das Risiko, die Kosten und die Komplexität der Datensicherheit verringern.
PHI vs. PII:
Wie der Name schon sagt, sind personenbezogene Daten alle Daten, die eine Person identifizieren können. Bestimmte Informationen wie der vollständige Name, das Geburtsdatum, die Adresse und biometrische Daten werden immer als PII betrachtet. Andere Daten wie der Vorname, die ersten Initialen und der Nachname oder sogar die Größe oder das Gewicht gelten nur unter bestimmten Umständen oder in Kombination mit anderen Informationen als personenbezogene Daten.
Ein Datensatz, der sich beispielsweise auf „Mr. Smith in New York“ bezieht, würde wahrscheinlich nicht genügend Informationen enthalten, um die Identität der Person zu verraten. Hätte der Patient jedoch einen weniger gebräuchlichen Namen und lebte in einer kleinen Stadt, würde dies wahrscheinlich als PII gelten, da es leicht wäre, auf die Person zu schließen.
Obwohl der HIPAA nicht ausdrücklich auf persönlich identifizierbare Informationen eingeht, werden Situationen wie diese unter dem Begriff „geschützte Gesundheitsinformationen“ geregelt. PHI umfassen alles, was in einem medizinischen Kontext verwendet wird und Patienten identifizieren kann, wie zum Beispiel:
- Name
- Adresse
- Geburtstag
- Kreditkartennummer
- Führerschein
- Krankenakten
PHI unterliegen strengen Vertraulichkeits- und Offenlegungsanforderungen, die für die meisten anderen Branchen in den Vereinigten Staaten nicht gelten. Mit anderen Worten, der Schutz von PHI ist immer gesetzlich vorgeschrieben, während der Schutz von PII nur in einigen Fällen vorgeschrieben ist.
Entwicklung eines einheitlichen Konformitätskonzepts
Die Vereinigten Staaten sind insofern ungewöhnlich, als es keinen einzigen Standard für den Schutz der Privatsphäre und den Datenschutz oder eine Regierungsstelle gibt. Stattdessen sehen sich amerikanische Unternehmen mit branchenspezifischen Gesetzen sowie mit städtischen, bundesstaatlichen und internationalen Compliance-Vorschriften konfrontiert.
Dies ermöglicht zwar vielen Branchen eine umfassendere Nutzung von Verbraucherdaten, birgt aber auch ernsthafte Compliance-Risiken. Da Kalifornien beispielsweise strengere Gesetze für personenbezogene Daten hat als andere Bundesstaaten, könnte ein Unternehmen, das rechtmäßig Nutzer aus Nevada beim Besuch seiner Website verfolgt, gegen die Compliance-Vorschriften verstoßen, wenn ein Kalifornier darauf zugreift.
Auch wenn die Anforderungen an personenbezogene Daten streng sind, wird eine Checkliste zur Einhaltung des HIPAA nicht unbedingt PCI, EU-Datenschutzgesetze und andere Vorschriften berücksichtigen. Anstatt individuelle Programme für jede Regelung zu entwickeln, sollten Unternehmen bewährte Praktiken für die Sicherheit von PII allgemein implementieren und dann iterieren, um die verbleibenden, regelspezifischen Regeln zu erfüllen.
Auditing PII: Developing Compliance-Ready Security
Gute Sicherheit beginnt mit der Identifizierung von PII im gesamten Unternehmen, unabhängig davon, ob sie sich in medizinischen Datenbanken, E-Mails, Backups oder in der IT-Umgebung eines Partners befinden. PII müssen dann danach kategorisiert werden, wie viel Schaden ein Verstoß verursachen könnte – ein Maß, das als Vertraulichkeitsausmaß bekannt ist. Das NIST empfiehlt, die folgenden Faktoren zu berücksichtigen:
- Identifizierbarkeit: Ist es einfach, die Person, die die PII verwendet, eindeutig zu identifizieren?
- Menge der PII: Wie viele Identitäten könnten durch einen Verstoß gefährdet werden? Die Art und Weise, wie Ihre Daten organisiert sind, ist ein Faktor. Eine Klinik würde zum Beispiel wahrscheinlich mehr PII gefährden, wenn sie eine Datenbank mit anderen Kliniken teilt, als wenn sie eine separate Datenbank unterhält.
- Empfindlichkeit der Datenfelder: Wie viel Schaden könnten die Daten anrichten, wenn sie verletzt werden? Eine Telefonnummer ist weniger sensibel als z. B. eine Kreditkarten- oder Sozialversicherungsnummer. Wenn jedoch eine Verletzung der Telefonnummer höchstwahrscheinlich auch den Namen, die Sozialversicherungsnummer oder andere persönliche Daten gefährden würde, sollte die Telefonnummer als sensibel angesehen werden.
- Nutzungskontext: Beeinflusst die Art und Weise, wie die Informationen verwendet werden, ihre Auswirkungen? Stellen Sie sich zum Beispiel vor, Ihr Krankenhaus würde einen Opt-in-Newsletter an Patienten, Ärzte, Organisationen und andere Gemeindemitglieder versenden. Eine Liste der Newsletter-Abonnenten würde die PII einiger Patienten enthalten, aber diese Informationen wären weniger sensibel als die gleichen PII in den Krankenakten der Patienten, da sie nicht unbedingt den Patientenstatus angeben würden.
- Verpflichtungen zum Schutz der Vertraulichkeit: Welche Informationen müssen Sie gemäß HIPAA, HITECH, PCI und anderen Regelungen schützen?
- Zugriff auf personenbezogene Daten und deren Speicherort: Die personenbezogenen Daten, für die der HIPAA gilt, werden häufig von IT-Diensten Dritter gespeichert, transportiert und verarbeitet, auf die medizinisches Fachpersonal, das nicht bei der Organisation beschäftigt ist, außerhalb des Standorts zugreift und die von verschiedenen Geschäftspartnern verarbeitet werden. Dadurch entstehen Risiken, die nicht vorhanden wären, wenn die PII beispielsweise in einem Tresor eingeschlossen wären und nur ein Arzt darauf zugreifen könnte.
Implementierung von Best Practices für die PII-Sicherheit
Alle Daten, die Sie speichern, sind potenziell angreifbar. Der einfachste Weg, diese Anfälligkeit zu verringern, besteht darin, weniger Daten zu sammeln und unnötige personenbezogene Daten aus Ihren Aufzeichnungen zu entfernen. Außerdem sollten Sie Daten nach Möglichkeit de-identifizieren. Richtig durchgeführt, können Maßnahmen wie die Anonymisierung von Patientenfeedback und die Entfernung oder Tokenisierung von PII diese Daten vollständig aus dem Geltungsbereich des HIPAA herausnehmen.
Zugangskontrolle ist eine weitere wertvolle Best Practice für PII-Sicherheit. Sensible Informationen sollten nur den Personen zugänglich sein, die sie für ihre Arbeit benötigen. So brauchen z. B. die Mitarbeiter an der Rezeption, die nicht mit der Rechnungsstellung befasst sind, keinen Zugang zu vollständigen Krankenakten.
In jedem Compliance-System sollten alle sensiblen Daten standardmäßig verschlüsselt werden. HIPAA-konforme E-Mails und verschlüsselte Cloud-Speicher verhindern, dass Hacker personenbezogene Daten entschlüsseln, selbst wenn sie sie abfangen.
Ausdrückliche Richtlinien und regelmäßige Schulungen können dazu beitragen, dass Ihre Mitarbeiter sichere E-Mails und Speichermedien verwenden, aber Patienten dazu zu bringen, die E-Mail-Verschlüsselung zu nutzen, ist schwieriger. Viele schrecken vor den Unannehmlichkeiten von Gesundheitsportalen zurück, was zu sehr niedrigen Akzeptanzraten führt. Virtru Pro ermöglicht es Patienten, ihre eigenen E-Mail-Konten zu verwenden und Nachrichten und Anhänge mit einem einzigen Klick zu verschlüsseln, wodurch die Unannehmlichkeiten beseitigt werden, die einer sinnvollen Nutzung im Wege stehen.
Über persönlich identifizierbare Informationen hinaus – HIPAA Business Associates
HIPAA geht in seinen Anforderungen an Partnerorganisationen über die Best Practices für die PII-Sicherheit hinaus. Gemäß der HIPAA-Datenschutzvorschrift haften Gesundheitsdienstleister in erheblichem Maße für Verstöße, die von Geschäftspartnern verursacht werden.
Wolkendienste, Auftragnehmer, Bearbeiter von medizinischen Anträgen und die meisten anderen Organisationen, die PHI verwenden, speichern oder verarbeiten, gelten alle als Geschäftspartner. Sie müssen mit jeder dieser Organisationen Geschäftspartnervereinbarungen (Business Associate Agreements, BAAs) unterzeichnen, in denen Folgendes beschrieben wird:
- angemessene Verwendung von PHI
- Sicherheitsvorkehrungen zum Schutz vor Verstößen
- Schritte zur Behebung von Verstößen und Verletzungen
- Verfahren zur Meldung von Verstößen
Ihre Organisation sollte Geschäftspartner sorgfältig prüfen, um sicherzustellen, dass sie tatsächlich in der Lage sind, ihren Teil der Abmachung einzuhalten. Organisationen sollten über klar dokumentierte Datensicherheitsrichtlinien und -praktiken verfügen, bevor sie ein BAA unterzeichnen, und sich freiwillig regelmäßigen Audits unterziehen, um die Einhaltung der Vorschriften zu gewährleisten.
Über persönlich identifizierbare Informationen hinaus – HIPAA-Hinweise und -Benachrichtigungen
Der HIPAA stellt auch strenge Anforderungen an die Verwendung und Weitergabe von Gesundheitsdaten und verlangt, dass dem Patienten ein Hinweis auf die Datenschutzpraktiken zur Verfügung gestellt wird. Der Datenschutzhinweis sollte eine Reihe von Informationen enthalten, u. a.:
- Wie die Organisation die Daten des Patienten verwenden und weitergeben kann
- Die Rechte des Patienten
- Die Pflicht der Organisation, die Daten zu schützen, und andere gesetzliche Pflichten
- An wen sich der Patient wenden kann, wenn er weitere Informationen wünscht
HIPAA hat auch spezielle Regeln für die Benachrichtigung bei Verstößen. Gemäß den bewährten Verfahren zur Einhaltung des HIPAA müssen Unternehmen alle Personen, deren Daten gefährdet wurden, innerhalb von 60 Tagen nach dem Verstoß benachrichtigen. Es ist von entscheidender Bedeutung, dass Ihre Partner Verschlüsselung verwenden. Verschlüsselte Daten sind von der Meldepflicht ausgenommen, es sei denn, der Schlüssel ist ebenfalls offengelegt. In vielen Fällen kann dies den Unterschied zwischen einer knappen Entscheidung und einer kostspieligen Benachrichtigung über eine Datenschutzverletzung ausmachen.
Die Einhaltung bewährter Praktiken für die Sicherheit von PII hilft Unternehmen, auf der sicheren Seite zu sein. Der HIPAA ist keine Reihe von undurchsichtigen und willkürlichen Regeln, die Ihnen das Leben schwer machen, sondern ein nützlicher Rahmen, um einen hohen Standard der Pflege und Vertraulichkeit für Ihre Patienten zu gewährleisten. Ein Best-Practice-Ansatz für PII vereinfacht die Einhaltung der Vorschriften, indem er sie in ein einziges Regelwerk umwandelt, das in Ihrem gesamten Unternehmen verwendet werden kann. Das macht es einfacher, Patienten zu schützen und sicherzustellen, dass sensible Informationen nicht durch die Maschen fallen.
Erfahren Sie, wie Virtru die Einhaltung des HIPAA in der Cloud schützt, oder kontaktieren Sie uns, um eine Demo einzurichten.