HIPAA-Konformität für Google Workspace

Datensicherheit und Compliance sind besonders wichtig, wenn es um sensible Informationen aus dem Gesundheitswesen geht. Um das Vertrauen Ihrer Patienten zu erhalten und kostspielige Strafen zu vermeiden, müssen Sie sicherstellen, dass Ihre Geschäftswerkzeuge und -plattformen die gesetzlichen Standards einhalten. Der Health Insurance Portability and Accountability Act (HIPAA) stellt strenge Anforderungen an den Schutz von Patientendaten, so dass Sie sich unbedingt die Frage stellen sollten: Ist Google Workspace HIPAA-konform?

Ist Google Workspace HIPAA-konform?

Google Workspace unterstützt HIPAA durch eine Reihe von Compliance-Maßnahmen zum Schutz vertraulicher Nutzerdaten, darunter Konfigurationen für HIPAA-konforme E-Mails und die Möglichkeit, eine Zwei-Faktor-Authentifizierung für Workspace-Konten zu implementieren. Um jedoch bei der Verwendung von Google Workspace vollständig HIPAA-konform zu sein, müssen die Endnutzer auch geeignete Maßnahmen ergreifen, um die Sicherheit von PHI und anderen sensiblen Daten zu gewährleisten, wenn sie Workspace in einer Gesundheitseinrichtung verwenden.

Einige Beispiele sind die Unterzeichnung einer HIPAA-Business Associate-Vereinbarung (BAA) mit Google, die Beschränkung von PHI auf sichere Google-Dienste und die regelmäßige Schulung der Mitarbeiter über ihre Pflichten gemäß HIPAA zum Schutz von Patientendaten.

Was ist HIPAA?

Der HIPAA regelt, wie die betroffenen Einrichtungen des Gesundheitswesens Patientendaten bei Routinetransaktionen schützen müssen. Sie besteht aus mehreren Regeln und Vorschriften, die jeweils einem bestimmten Zweck dienen.

• Privacy Rule - Legt Standards für den Schutz von Krankenakten und geschützten Gesundheitsinformationen (PHI) von Einzelpersonen fest.
• Security Rule (Sicherheitsregel) - Legt die Sicherheitsvorkehrungen fest, die zum Schutz elektronischer PHI (ePHI) vorhanden sein müssen, um deren Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.
• Unique Identifiers Rule - Weist Gesundheitsdienstleistern, Gesundheitsplänen und Arbeitgebern eindeutige Identifikatoren zu, um elektronische Transaktionen zu standardisieren.
• Transactions and Code Set Rule - Setzt Standards für elektronische Transaktionen im Gesundheitswesen, einschließlich Codesätze für Diagnosen und Verfahren.
• Enforcement Rule (Durchsetzungsregel) - legt Sanktionen und Verfahren zur Durchsetzung der Einhaltung der anderen HIPAA-Regeln fest.

Was sind geschützte Gesundheitsinformationen (PHI)?

PHI sind alle individuell identifizierbaren Gesundheitsinformationen, einschließlich Patientennamen, Adressen, Sozialversicherungsnummern und Krankenakten. Der HIPAA regelt streng die Verwendung, Weitergabe und Speicherung von PHI.

Die Einhaltung des HIPAA ist nicht nur ein Kästchen, sondern hat Auswirkungen darauf, wie Daten gesammelt werden, wie lange sie gespeichert werden können und wie sie geschützt werden müssen. Die vorsätzliche Nichteinhaltung des HIPAA kann zu Strafen von $50.000 oder mehr pro Vorfall führen.

Ist Google Workspace HIPAA-konform?

Google Workspace - ehemals G-Suite - ist die Antwort von Google auf Microsoft Office und umfasst eine Reihe von Cloud-basierten Diensten von Google. Mit Google Workspace können Unternehmen einen zusammenhängenden und vernetzten digitalen Arbeitsplatz einrichten, auf den alle Mitarbeiter von jedem Ort aus zugreifen können.

Unternehmen, die dem HIPAA unterliegen, wie z. B. Gesundheitsdienstleister, Versicherungsgesellschaften und Clearingstellen, die sich für Google-Dienste entscheiden, müssen verstehen, wie die Workspace-Plattform die HIPAA-Bestimmungen unterstützt und ihre Verpflichtungen zum Schutz von PHI erfüllt.

Google Workplace ist von Haus aus nicht vollständig HIPAA-konform. Unternehmen müssen mehrere Maßnahmen ergreifen, um eine ordnungsgemäße Konfiguration für eine HIPAA-konforme Nutzung sicherzustellen. Diese Maßnahmen können mithilfe des HIPAA-Implementierungsleitfadens von Google durchgeführt werden.

Einige wesentliche Schritte zur Einhaltung des HIPAA in Google Workspace umfassen:

• Sie verwenden eine kostenpflichtige Version von Google Workspace, z. B. Google Workspace Enterprise.
• Unterzeichnung einer BAA mit Google. Ein BAA ist ein rechtsverbindliches Dokument, das Google als "Geschäftspartner" etabliert und seine Verantwortlichkeiten für den Schutz von ePHI umreißt.
• Konfigurieren von Workspace für PHI, einschließlich der Beschränkung von PHI auf Kerndienste, der Beschränkung des Zugriffs auf autorisiertes Personal und der Implementierung von Verschlüsselung zum Schutz von Daten.

Google Workspace-Produkte und HIPAA-Konformität

Mit Google Workspace steht Gesundheitsorganisationen, die dem HIPAA unterliegen, eine breite Palette von Produkten zur Verfügung, mit denen sie flexibel und kollaborativ in einer sicheren Umgebung arbeiten können. Zu diesen Produkten gehören Gmail, Google Drive, Google Meet, Kalender, Google Sites, Google Cloud Identity Management, Google Apps Script und mehr.

Google arbeitet auch weiterhin an der Integration von KI-Fortschritten wie Google Gemini. Unternehmen müssen jedoch vor dem Umgang mit PHI überprüfen, ob diese Tools den Compliance-Standards entsprechen.

Betroffene Unternehmen müssen für jedes dieser Google-Produkte die Einhaltung des HIPAA sicherstellen. Sie können dies tun, indem Sie Ihre Workspace-Abonnementebene und die Einstellungen für jede Anwendung, die Ihr Unternehmen nutzt, überprüfen.

Die Einschränkungen der kostenlosen Gmail-Konten für die Einhaltung des HIPAA

Google Workspace ist zwar HIPAA-konform, aber kostenlose Gmail-Konten sind nicht für den Umgang mit PHI geeignet. Kostenlose Gmail-Konten verfügen nicht über die notwendigen Sicherheitsfunktionen und Verwaltungskontrollen, um die HIPAA-Vorschriften zu erfüllen.

Organisationen des Gesundheitswesens, die kostenlose Gmail-Konten verwenden, setzen sich dem Risiko der Nichteinhaltung von Vorschriften aus, da sie kein Business Associate Agreement (BAA) mit Google unterzeichnen können, was ein obligatorischer Schritt zur Einhaltung des HIPAA ist.

Darüber hinaus bieten kostenlose Gmail-Konten nicht die fortschrittlichen Sicherheitskonfigurationen, die in Google Workspace verfügbar sind, wie z. B. HIPAA-konforme E-Mail-Verschlüsselung, Schutz vor Datenverlust (DLP) und Audit-Protokollierung. Die Verwendung kostenloser Gmail-Konten zur Speicherung oder Übertragung von PHI kann daher zu Datenschutzverletzungen und rechtlichen Konsequenzen führen.

Was ist ein Business Associate Agreement (BAA) und warum ist es wichtig?

Ein BAA ist ein rechtsverbindlicher Vertrag zwischen einem HIPAA-abgedeckten Gesundheitsdienstleister und einem Drittanbieter, z. B. einem SaaS-Anbieter wie Google Workspace. Die wichtigsten Gründe, warum ein BAA für die Einhaltung des HIPAA wichtig ist, sind:

• Festlegung der zulässigen Verwendung und Weitergabe von PHI durch den Geschäftspartner, wobei die Verwendung auf das Notwendige beschränkt wird.
• Erläuterung der Verpflichtung des Dritten, Schutzmaßnahmen zum Schutz der Privatsphäre und der Sicherheit der PHI zu ergreifen, einschließlich administrativer, technischer und physischer Maßnahmen.
• Benachrichtigung über Verstöße gegen die PHI, damit der Gesundheitsdienstleister Maßnahmen zur Schadensbegrenzung einleiten kann.
• Ausweitung der HIPAA-Compliance auf die Geschäftspartner, so dass diese bei Verstößen mit Geldbußen und Strafen belegt werden und nicht der Gesundheitsdienstleister.
• Sicherstellen, dass Dritte ihre Unterauftragnehmer zum gleichen Schutz von PHI verpflichten, um Compliance-Lücken in der Lieferantenkette zu vermeiden.

Die Nichtbeachtung eines BAA kann zu Compliance-Lücken zwischen Gesundheitsorganisationen und Drittanbietern führen, die Raum für unnötige Haftungsrisiken lassen.

Zur Unterzeichnung einer BAA mit Google Workspace:

Vergewissern Sie sich, dass Ihr Abonnement auf Enterprise-Ebene ist. Melden Sie sich dann als Administrator bei der Admin-Konsole an. Navigieren Sie zu Kontoeinstellungen und dann zum Bereich Recht und Compliance. Scrollen Sie zu den "Zusätzlichen Bedingungen für Sicherheit und Datenschutz" und suchen Sie die "Google Workspace/Cloud Identity HIPAA Business Associate Amendment".

Klicken Sie auf "Nicht akzeptiert" und dann auf "Überprüfen und akzeptieren", um die Bedingungen sorgfältig zu prüfen. Nachdem Sie die BAA sorgfältig durchgelesen haben, beantworten Sie die drei Bestätigungsfragen. Klicken Sie schließlich auf "Ich akzeptiere", um die BAA von Google zu unterzeichnen.

Es sind weitere Schritte erforderlich, um Google Workspace HIPAA-konform zu machen, aber die Unterzeichnung des HIPAA BAA ist ein notwendiger Anfang.

Wie Sie Google Workspace HIPAA-konform machen

Die Einhaltung des HIPAA in Google Workspace umfasst mehrere Schritte, die die ordnungsgemäße Speicherung, Handhabung und Überwachung von PHI sicherstellen.

• Unterzeichnen Sie eine BAA mit Google, in der die Verantwortlichkeiten beider Parteien für den gesetzeskonformen Umgang mit sensiblen Daten festgelegt sind. Bitte beachten Sie, dass das BAA nur für Google Workspace-Nutzer mit einem Enterprise-Abonnement verfügbar ist.
• Konfigurieren Sie Workspace so, dass es den HIPAA-Standards entspricht, indem Sie die verfügbaren Funktionen von Google und die Integrationen von Drittanbietern nutzen. Variable Faktoren wie Zwei-Faktor-Authentifizierung, Verschlüsselung, Zugriffskontrollen für Dritte, Entzug von Berechtigungen für ungenutzte Workspace-Apps und Datenspeicherungspraktiken müssen alle berücksichtigt werden, um die aktuellen HIPAA-Anforderungen zu erfüllen.
• Die Erstellung von Benachrichtigungen zur Erkennung verdächtiger Aktivitäten in Workspace, die Konfiguration geeigneter Benutzergruppen und die Bereitstellung von E-Mail-Sicherheit sind ebenfalls ratsame Methoden, um die Einhaltung des HIPAA in der gesamten Workspace-Plattform zu gewährleisten.
• Die Mitarbeiter müssen auch über ihre Pflichten zum Schutz der Daten gemäß HIPAA geschult werden. Dazu gehört die Überprüfung bewährter Verfahren für den Umgang mit ePHI und die Festlegung von Unternehmensstandards und Protokollen für den Zugriff auf oder die Übertragung von PHI.

Für die fortlaufende Einhaltung der Vorschriften und um HIPAA-Verstöße so schnell wie möglich zu entschärfen, können zusätzliche Schritte unternommen werden. Dazu gehören:

• Regelmäßige Prüfung und Überwachung von Google Workspace auf Einhaltung des HIPAA. Sollten Verstöße aufgedeckt werden, müssen Sie diese im Rahmen der Prozesse Ihres Unternehmens zügig bearbeiten.
• Festlegung von Nutzungsrichtlinien für die Kerndienste von Google Workspace. Diese Verhaltensstandards bieten den Mitarbeitern den Rahmen, den sie für die häufigsten Compliance-Risiken benötigen, denen sie ausgesetzt sind.
• Entwicklung von wichtigen Leistungsindikatoren, wie z.B. die Verfolgung von Verstößen, die Abschlussquote von Schulungen und die Wirksamkeit von Korrekturmaßnahmen, um die Einhaltung der Vorschriften zu messen und zu überwachen.
• Förderung einer Kultur der Compliance und Ethik. Ein Verhaltenskodex, Compliance-Schulungen, Richtlinien und ein leicht zugängliches Compliance-Handbuch tragen wesentlich dazu bei, eine effektive Compliance-Mentalität zu entwickeln.

Es ist auch wichtig, PHI und andere sensible Daten mit robusten Sicherungs- und Wiederherstellungsmechanismen zu schützen und zu bewahren, die sicherstellen, dass die Aufbewahrungsanforderungen erfüllt werden und gleichzeitig die Datenintegrität und -verfügbarkeit erhalten bleibt.

Reicht die Einhaltung des HIPAA für Sie aus?

Die Einhaltung des HIPAA ist zwar für Organisationen im Gesundheitswesen von entscheidender Bedeutung, aber es ist nicht die einzige Vorschrift, die für Ihr Unternehmen gelten könnte. Je nach Branche und Art Ihrer Tätigkeit können auch andere Compliance-Standards, wie z.B. HITRUST, relevant sein. Es ist wichtig, Ihre spezifischen Compliance-Anforderungen umfassend zu bewerten und herauszufinden, wie Sie Google Workspace konfigurieren können, um alle Compliance-Verpflichtungen für Ihren digitalen Arbeitsplatz zu erfüllen.

Wie Mimecast Aware die Einhaltung des HIPAA in Google Workspace unterstützen kann

Aware ermöglicht es Organisationen des Gesundheitswesens und anderen betroffenen Einrichtungen, ihre HIPAA-Compliance-Verpflichtungen innerhalb digitaler Tools zu erfüllen, in denen Mitarbeiter zusammenarbeiten.

Die native Google-Integration von Mimecast Aware:

• Unterstützt die Risikominderung und die Einhaltung von Vorschriften innerhalb dieses Datensatzes mit branchenführenden KI-Workflows für die Verarbeitung natürlicher Sprache (NLP), die Daten mithilfe von Schlüsselwörtern und regulären Ausdrücken (Regex) schützen.
• Verschafft Ihnen mithilfe einfach konfigurierbarer Workflows einen kontinuierlichen Einblick in komplexe Datensätze, identifiziert schnell potenzielle Datenschutzverletzungen, erleichtert die sofortige Abhilfe und verbessert die Cybersicherheit.
• Verwendet die Verbundrecherche, um die Untersuchungszeit zu verkürzen, und die rollenbasierte Zugriffskontrolle, um die Exposition von ePHI und das Sicherheitsrisiko zu begrenzen.

Fordern Sie eine Demo an und erfahren Sie, wie Mimecast Aware unbefugten Zugriff und riskantes Verhalten proaktiv erkennt und die Einhaltung des HIPAA für Google-Produkte unterstützt.

Erstmals veröffentlicht Okt. 2023. Aktualisiert Apr. 2024.