Wie gewährleistet HIPAA Sicherheit?
HIPAA gewährleistet Sicherheit durch die HIPAA-Sicherheitsregel, die Gesundheitsdienstleister zur Sicherung elektronischer Gesundheitsdaten verpflichtet. Sie müssen administrative, physische und technische Sicherheitsvorkehrungen treffen, um dies zu erreichen.
Die Sicherheitsrichtlinie des HIPAA verpflichtet Unternehmen, ihren Sicherheitsbedarf zu ermitteln und angemessene Sicherheitsmaßnahmen gemäß den HIPAA-Sicherheitsanforderungen umzusetzen. Obwohl sie keine exakten Maßnahmen für jede Organisation vorschreibt, empfiehlt sie Unternehmen, ihre Sicherheitsmaßnahmen auf Grundlage der folgenden Kriterien anzupassen:
- Größe, Komplexität und Fähigkeiten
- Technische Infrastruktur
- Kostenüberlegungen
- Mögliche Risiken für elektronische Gesundheitsdaten
Die Organisationen müssen außerdem ihre Sicherheitsmaßnahmen zum Schutz elektronischer Gesundheitsdaten kontinuierlich überprüfen und anpassen.
Drei Standards der HIPAA-Sicherheitsregel
Die HIPAA-Sicherheitsregel besteht aus 3 wichtigen Implementierungsstandards:
Administrative Sicherungsmaßnahmen
Administrative Schutzmaßnahmen verpflichten die betroffenen Einrichtungen, Risikoanalysen durchzuführen, potenzielle Risiken im Zusammenhang mit elektronischen Gesundheitsdaten (ePHI) zu identifizieren und geeignete Sicherheitsmaßnahmen umzusetzen.
Zu den Kernaufgaben gehören die Bewertung der Eintrittswahrscheinlichkeit und der Auswirkungen von Risiken, die Dokumentation der gewählten Sicherheitsmaßnahmen und die Aufrechterhaltung kontinuierlicher Sicherheitsvorkehrungen. Dieser Risikoanalyseprozess ist fortlaufend.
Physische Schutzmaßnahmen
Physische Sicherheitsvorkehrungen gewährleisten die physische Sicherheit von Bereichen, in denen elektronische Gesundheitsdaten (ePHI) gespeichert werden. Dazu gehören beispielsweise Alarmanlagen, Sicherheitssysteme und verschlossene Lagerräume. Wichtige Elemente sind die Zugangskontrolle und die Sicherung von Arbeitsplätzen und elektronischen Datenträgern.
Technische Sicherungsmaßnahmen
Zu den technischen Sicherheitsvorkehrungen zum Schutz elektronischer Gesundheitsdaten gehören Firewalls, Verschlüsselung und Datensicherung. Diese Sicherheitsvorkehrungen umfassen Zugriffskontrollen, Prüfkontrollen, Integritätskontrollen und Übertragungssicherheit.
Zugriffskontrollen gewährleisten, dass nur autorisierte Personen auf elektronische Gesundheitsdaten (ePHI) zugreifen können, während Prüfkontrollen den Zugriff auf Systeme mit ePHI protokollieren. Integritätskontrollen verhindern unbefugte Änderungen, und die Übertragungssicherheit schützt ePHI während der elektronischen Netzwerkübertragung.


