Blog
Sprintwinkel rechts
HIPAA
Sprintwinkel rechts
HIPAA-konforme Rechenzentren: Wie man sie bewertet

HIPAA-konforme Rechenzentren: Wie man sie bewertet

TL, DR:

Ein HIPAA-konformes Rechenzentrum muss einen HIPAA-Konformitätsbericht (HROC) als Goldstandard für die Verifizierung vorhalten. Target zahlte 18.5 Millionen US-Dollar im Rahmen eines Vergleichs nach einem Datenleck bei einem seiner HLK-Lieferanten.
Zu den erforderlichen Elementen gehören dokumentierte Notfallwiederherstellungspläne, physische Zugangskontrollen (RFID und Überwachung), IP-Trennung für die Speicherung elektronischer Gesundheitsdaten, regelmäßige Risikobewertungen sowie regelmäßige interne und externe Audits.
Organisationen bleiben auch bei Nutzung eines HIPAA-konformen Rechenzentrumsanbieters vollumfänglich für die Einhaltung der HIPAA-Bestimmungen verantwortlich. Das Modell der geteilten Verantwortung verpflichtet beide Parteien zur Aufrechterhaltung von Kontrollmechanismen und zur Durchführung regelmäßiger Bewertungen.

Die COVID-19-Pandemie beschleunigte die Einführung neuer Technologien im Gesundheitswesen. Während die Branche auf Online-Abwicklungsmodelle umstellte, verhängten die HIPAA-Aufsichtsbehörden 2019 keine Strafen wegen Nichteinhaltung, wodurch der Telemedizinsektor schnell wachsen und Online-Gesundheitsdienste anbieten konnte.

Da sich die Lage normalisiert, nimmt HIPAA seine Aufgabe wieder auf, die Sicherheit und Datenintegrität der geschützten Gesundheitsdaten (PHI) von Patienten zu gewährleisten. Der Fokus liegt dabei auf der HIPAA-Konformität aller Rechenzentren, die zur Verarbeitung von PHI genutzt werden.

Die Einhaltung des HIPAA (Health Insurance Portability and Accountability Act) bedeutet, dass Maßnahmen und Richtlinien vorhanden sein müssen, die die Sicherheit und Integrität der geschützten Gesundheitsdaten (Protected Health Information, PHI) von Patienten gewährleisten. Dies gilt sowohl für Patientenakten in Papierform als auch für elektronisch genutzte Daten. 

Als Geschäftsinhaber, der ein Rechenzentrum für seine elektronischen PHI-Aktivitäten (ePHI) nutzt, ist es unerlässlich sicherzustellen, dass die Rechenzentren HIPAA-konform sind. 

Dies bietet eine detaillierte Einführung in das Rechenzentrum. HIPAA-Konformität, warum bestimmte Rechenzentren HIPAA-konform sind und welche Best Practices für die Nutzung eines Rechenzentrums gelten.

Was macht ein Rechenzentrum HIPAA-konform?

Der Goldstandard für HIPAA-konforme Rechenzentren ist das HROC-Dokument (HIPAA Report On Compliance). Verfügt ein Rechenzentrumsanbieter über dieses HROC-Dokument, kann er als geeignete Option für Ihre ePHI-Verarbeitung in Betracht gezogen werden.

Die Wahl eines HIPAA-konformen Cloud-Speicheranbieters ist unerlässlich, da Ihr Unternehmen im Falle von Datenschutzverletzungen haftbar gemacht werden kann. Unser Leitfaden für HIPAA-konformen Cloud-Speicher erläutert das Modell der geteilten Verantwortung und die Anforderungen der Business Associate Agreements (BAA) für AWS, GCP und Azure.

Wenn Sie zum BeispielTarget wurde Opfer eines Datenlecks bei einem seiner Dienstleister für Heizung, Lüftung und Klimaanlagen (HLK). Dieser Vorfall kostete das Unternehmen 18.5 Millionen US-Dollar an Vergleichszahlungen, und Medien und Öffentlichkeit machten Target für das Datenleck verantwortlich, da einer ihrer Zulieferer die Quelle war.

Hier sind einige Dinge, die jedes HIPAA-konforme Rechenzentrum erfüllen sollte:

  • Dokumentierte Notfallwiederherstellungspläne
  • Schutz der Serverhardware und anderer Netzwerkressourcen durch die Implementierung physischer Zugangskontrollmaßnahmen (wie z. B. Radiofrequenzidentifikation und Überwachungssysteme).
  • Bereitstellung von Schulungsmaterialien zum Thema Sicherheit, um sicherzustellen, dass alle Benutzer über die neuesten Best Practices im Bereich Sicherheit informiert sind.
  • Vorkehrungen zur Trennung von geistigem Eigentum, um elektronische Gesundheitsdaten (ePHI) getrennt von anderen allgemeinen Geschäftsvermögenswerten zu speichern.
  • Durchführung regelmäßiger und kontinuierlicher Risikobewertungen; regelmäßiger Austausch von Ergebnissen und bewährten Verfahren mit allen Beteiligten, um die fortlaufende Wirksamkeit des Modells der gemeinsamen Verantwortung für die Datensicherheit zu gewährleisten.
  • Regelmäßige interne und externe Prüfungen zur Sicherstellung eines gültigen Datenschutzes

Wie man HIPAA-konforme Rechenzentren bewertet

Bei den HIPAA-konformen Rechenzentrumsdienstleistern handelt es sich in erster Linie um einflussreiche multinationale Unternehmen. Zum BeispielGoogle Cloud Platform (GCP), Amazon Web Services (AWS), Azure und weitere Anbieter. Daher ist es unwahrscheinlich, dass diese Dienstleister ihre HIPAA-Konformität auf Anfrage nicht nachweisen können. Dennoch kann es hilfreich sein, sich mit HIPAA-konformen Rechenzentren auszukennen und die richtigen Fragen zu stellen, wenn man sich für einen neuen Anbieter entscheidet. 

Hier sind einige Möglichkeiten, um festzustellen, ob ein Rechenzentrumsdienstleister HIPAA-konform ist.

1. Zugewiesene Sicherheitsverantwortung

Dem Rechenzentrum werden dedizierte Ressourcen für die Bereitstellung neuer Funktionen zugewiesen. Sicherheitsmaßnahmen und sicherzustellen, dass alle bestehenden Sicherheitsvorkehrungen effizient funktionieren. 

2. Sicherheit der Belegschaft

Sie können die Richtlinien und Maßnahmen vorstellen, die sie in ihrem Unternehmen umgesetzt haben, um sicherzustellen, dass ihren Mitarbeitern nur begrenzte Informationen zugänglich gemacht werden.

3. Informationszugriffsmanagement

Sie können nachweisen, dass ihre Mitarbeiter rollenbasierten Vergütungen unterliegen. Zugangskontrollen und dass jedem Mitarbeiter der Zugang zu Systemen und Verfahren entsprechend seiner Aufgabenstellung gewährt wird.

4. Sensibilisierung für Sicherheitsthemen und Schulung

Sie führen routinemäßige und strenge Prüfungen durch. Sicherheitstraining Aktivitäten, um die Belegschaft über die neuesten Sicherheitsrisiken aufzuklären und bewährte Verfahren auszutauschen, um die Sicherheit kontinuierlich zu gewährleisten.

5. Verfahren bei Sicherheitsvorfällen

Sie haben Richtlinien und Maßnahmen dokumentiert. VorfallreaktionDiese Dokumente sollten alles von der Bedrohungsabwehr bis zur Katastrophenbewältigung umfassen.

6. Notfallplan

Sie haben physische oder sicherheitsrelevante Vorfälle aufgelistet, die die Geschäftskontinuität beeinträchtigen könnten, und haben Notfallpläne dokumentiert, die für jeden einzelnen Fall eingesetzt werden können.

7. Evaluierung

Sie verfügen über Richtlinien und Maßnahmen, um sicherzustellen, dass ihre technischen und nicht-technischen Richtlinien regelmäßig überprüft werden, um die angestrebten Effizienzniveaus zu erreichen. Richtlinien, die die Anforderungen nicht erfüllen, werden entsprechend angepasst oder verworfen.

8. Verträge mit Geschäftspartnern und sonstige Vereinbarungen

Sie haben HIPAA-Geschäftspartner Es liegen Verträge zur Regelung des Zugangs vor.

9. Physische Schutzmaßnahmen

Sie haben physische Sicherheitsvorkehrungen getroffen, um sicherzustellen, dass es zu keinem physischen Sicherheitsvorfall kommt. Zum BeispielSie verwenden RFID-Chips, und ihre physischen Serveranlagen und Netzwerkgeräte werden permanent mit Kameras überwacht.

10. Technische Schutzmaßnahmen

Sie verfügen über die technischen Sicherheitsvorkehrungen, um sicherzustellen, dass ihre Lieferanten die besten Praktiken anwenden, um die Sicherheit dauerhaft zu gewährleisten.

erreichen wollen HIPAA-Zertifizierung Einfach und unkompliziert? Laden Sie unsere „HIPAA-Zertifizierung – Eine kurze 7-Schritte-Checkliste“ herunter! Dieser praktische Leitfaden vereinfacht den Prozess in sieben einfachen Schritten. Holen Sie sich jetzt Ihre Checkliste und machen Sie die Einhaltung der Vorschriften zum Kinderspiel!

Welche gängigen Ansätze gibt es bei der Nutzung von Rechenzentren?

Auf Ihrem Weg zur Auswahl eines HIPAA-konformen globalen Rechenzentrums werden Sie auf zwei Arten von Datendienstleistern stoßen. Diese sind:

Rechenzentren vor Ort oder HIPAA-konforme Colocation

Cloudbasierte Rechenzentren oder HIPAA-konforme private Clouds

Je nach Umfang der in Ihren Geschäftsprozessen verarbeiteten elektronischen Gesundheitsdaten (ePHI), der Größe Ihrer Organisation und den damit verbundenen Risiken können Sie diejenige auswählen, die am besten zu den Bedürfnissen Ihrer Organisation passt.

HIPAA-konforme Colocation

Bei Colocation oder On-Premise-Rechenzentren betreiben und warten Sie das Rechenzentrum in Ihren eigenen Räumlichkeiten. Dabei handelt es sich um physische Server, die in einem Serverraum untergebracht sind. IT-Experten argumentieren, dass On-Premise-Rechenzentren die Dinosaurier der Computertechnik sind. Sie können je nach Ihren Geschäftsanforderungen und Ihrer Risikobereitschaft die passende Lösung für Ihre Verarbeitungsprozesse wählen. 

HIPAA-konforme private Clouds

Cloud Computing ist die Zukunft. Wenn Ihr Unternehmen voraussichtlich kein eigenes Rechenzentrum vor Ort einrichten muss, können Sie einen Cloud-Service-Anbieter nutzen.

Die Einbindung eines Serviceanbieters erspart Ihnen Zeit und Ressourcen für Einstellung und Wartung. AWS, Azure und GCP gehören zu den gefragtesten HIPAA-konformen privaten Cloud-Anbietern.

Häufig gestellte Fragen

Da Rechenzentren geschützte Gesundheitsdaten speichern, verarbeiten und an deren Übermittlung beteiligt sind, werden sie zu potenziellen Zielen für Hackerangriffe und andere Angriffe. Um den Datenschutz zu gewährleisten, müssen Rechenzentren die HIPAA-Richtlinien einhalten.

Die beste Möglichkeit, um festzustellen, ob ein Rechenzentrum oder ein Rechenzentrumsdienstleister die HIPAA-Bestimmungen einhält, besteht darin, das HROC-Dokument (HIPAA Record of Compliance) einzusehen.

Organisationen im Gesundheitswesen haben den Nutzen und die Kosten der Digitalisierung erkannt. Diese digitale Revolution hat jedoch auch Nachteile mit sich gebracht. Organisationen speichern und verarbeiten Patientendaten elektronisch, entweder in einer Cloud-Datenbank oder auf eigenen Servern. Dadurch werden sie zu potenziellen Zielen für Hacker, die unsichere Online-Systeme ausnutzen wollen. Angreifer zielen auf Rechenzentren ab, die Patientendaten verarbeiten oder speichern, und nutzen Schwachstellen aus, um Zugriff auf Millionen von Patientendaten zu erlangen. HIPAA-konforme Rechenzentren tragen dazu bei, Sicherheitsvorfälle zu minimieren.

Vimal Mohan
Autorin

Vimal Mohan

Vimal ist Content Lead bei Sprinto und versteht es meisterhaft, Compliance-Themen für jedermann verständlich zu machen. Wenn er nicht gerade komplexe Rahmenwerksanforderungen und Fachjargon entschlüsselt, trifft man ihn im lokalen MMA-Dojo, beim Radfahren auf Trails oder beim Wandern an. Er vereint fundiertes regulatorisches Wissen mit Abenteuerlust und bewegt sich mit souveräner Kompetenz in beiden Welten.
Haben Sie genug von inhaltsleeren GRC- und Cybersicherheitsthemen? Abonnieren Sie unseren Newsletter und erhalten Sie detaillierte Informationen.
Recherchen und Erkenntnisse, die Ihnen helfen sollen, sich einen Platz am Tisch zu sichern.
Einzel-Blog-Fußzeilenbild