Ist Zoom HIPAA-konform?

Zoom ist eine Cloud-basierte Videokonferenzplattform und Instant Messaging-Software, die von Unternehmen jeder Größe und Branche genutzt wird, um Teams zusammenzubringen und die Zusammenarbeit am Arbeitsplatz schneller und effektiver zu gestalten. Zoom-Benutzer in stark regulierten Branchen wie dem Gesundheitswesen müssen sich jedoch an staatliche Gesetze wie HIPAA halten. Gesundheitsdienstleister müssen bei der Verwendung von Zoom zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass sie dies auf eine HIPAA-konforme Weise tun. 

Was ist Zoom? 

Zoom ist ein beliebtes Tool für Videokonferenzen, mit dem Benutzer (mit oder ohne Zoom-Konto) virtuelle Meetings mit Teilnehmern aus der ganzen Welt abhalten können. Zoom ist eine beliebte Plattform für die geschäftliche Nutzung und erfreute sich großer Beliebtheit, als Mitarbeiter während der Pandemie gezwungen waren, aus der Ferne zu arbeiten. Zoom bietet Video und Chat in Echtzeit und umfasst Funktionen wie Bildschirmfreigabe, Webinar-Hosting, automatische Transkription und mehr. Zoom ist für fast alle Geräte und Betriebssysteme verfügbar. 

Was ist Zoom Team Chat? 

Zoom Team Chat ist eine Messaging-Funktion in der Zoom-Videokonferenzplattform, mit der Benutzer während eines Zoom-Meetings oder außerhalb eines Meetings textbasierte Nachrichten senden können. Dies ermöglicht die Kommunikation in Echtzeit zwischen den Teammitgliedern, unabhängig davon, ob sie sich am selben Ort oder an einem anderen Ort befinden. Mit dem Zoom Team Chat können Benutzer Ideen, Dateien und Links austauschen und über private Nachrichten, Gruppennachrichten und öffentliche Kanäle, die nach Themen geordnet sind, effizient an Projekten zusammenarbeiten. 

Was ist HIPAA? 

Nach amerikanischem Recht sind sensible Informationen über Ihre Gesundheit und medizinische Behandlung durch den Health Insurance Portability and Accountability Act (HIPAA) geschützt. Dieses Gesetz schafft nationale Standards für die Kontrolle geschützter Gesundheitsinformationen (PHI) und elektronischer PHI (ePHI). Vom HIPAA abgedeckte Einrichtungen, wie z.B. Gesundheitsdienstleister, müssen eine Reihe strenger Standards einhalten, um sicherzustellen, dass auf die von ihnen verwalteten PHI nicht unrechtmäßig zugegriffen oder diese exfiltriert werden.  

Ist Zoom im Jahr 2023 HIPAA-konform? 

Der Standarddienst von Zoom erfüllt nicht die Anforderungen des HIPAA. Organisationen im Gesundheitswesen sollten daher den speziellen Zoom for Healthcare-Dienst nutzen, insbesondere wenn sie telemedizinische Dienste anbieten. Zoom for Healthcare wurde speziell entwickelt, um die vom HIPAA geforderten Sicherheits- und Datenschutzstandards zu erfüllen, indem die geschützten Gesundheitsinformationen (PHI), die in Zoom-Meetings ausgetauscht werden, geschützt werden. Da die Zoom-Technologie jedoch weder vom Office of the National Coordinator for Health Information Technology noch vom National Institute of Standards and Technology zertifiziert werden kann, ist Zoom nicht offiziell HIPAA-zertifiziert. 

Was ist Zoom für das Gesundheitswesen? 

Zoom bietet einen speziellen Service namens Zoom for Healthcare an, der die Anforderungen des HIPAA erfüllt. Dieser Service umfasst Funktionen wie Ende-zu-Ende-Verschlüsselung, Zugriffskontrollen und secure messaging, die dazu beitragen können, die Vertraulichkeit, Integrität und Verfügbarkeit von Patientendaten zu schützen. 

Warum ist Zoom nicht in allen Fällen HIPAA-konform? 

HIPAA ist eine Reihe von Datenschutzstandards, die für geschützte Gesundheitsinformationen (PHI) gelten. Da diese Daten vertraulich sind, erfordern sie eine sicherere und überlegtere Behandlung als andere, weniger sensible Datenarten. 

Zoom wurde entwickelt, um die Kommunikation und den Informationsaustausch schneller und einfacher zu machen. Die Einhaltung strenger Datensicherheitsvorschriften in allen Fällen würde die Nutzung von Zoom erschweren und letztlich seinen Hauptzweck auf dem Markt zunichte machen. Daher sind Tools wie Zoom nicht standardmäßig HIPAA-konform, können aber auf eine HIPAA-konforme Weise verwendet werden. 

Ist Zoom HIPAA-konform mit einem BAA? 

Organisationen, die unter die HIPAA Privacy Rule fallen, wie z.B. Gesundheitsdienstleister, müssen bei ihrer Geschäftstätigkeit sicherstellen, dass ihre Partner, Mitarbeiter und Auftragnehmer ebenfalls alle PHI-Daten schützen, mit denen sie umgehen. Ein HIPAA Business Associate Agreement (BAA) ist eine rechtliche Vereinbarung, in der die Vorkehrungen beschrieben werden, die jede Partei treffen wird, um PHI zu schützen und diese Informationen sicher zu halten. Zoom schließt BAAs mit Nutzern von Zoom for Healthcare oder mit Nutzern von kostenpflichtigen Zoom-Tarifen ab. Dies ist ein wichtiger Schritt für jedes Unternehmen, das bei der Verwendung von Zoom die HIPAA-Vorschriften einhält. 
Welcher Zoom-Plan ist HIPAA-konform? 

Um PHI zu schützen, sollten Gesundheitsdienstleister den Zoom for Healthcare Plan für Telemedizin, Patientenkonsultationen und andere Webkonferenzen nutzen, bei denen PHI weitergegeben werden könnten. Andere Versionen von Zoom, wie z.B. Zoom Pro, und Bundles wie Zoom One, können so verwendet werden, dass sie den HIPAA-Bestimmungen entsprechen, enthalten aber möglicherweise nicht alle notwendigen Funktionen zur Gewährleistung des Datenschutzes. Zoom Basic, das kostenlose Zoom-Angebot, ist nicht HIPAA-konform, da es den Benutzern nicht erlaubt, eine BAA mit Zoom abzuschließen. 

Wie Sie Zoom-Anrufe und Meetings HIPAA-konform gestalten 

Die Einhaltung des HIPAA beinhaltet die Sicherung von PHI-Daten. Daher kann die Befolgung allgemeiner Best Practices für die Datensicherheit einem Unternehmen helfen, Zoom auf eine Weise zu nutzen, die den HIPAA-Vorschriften entspricht. Einige Beispiele für den Schutz von PHI und sensiblen Daten in Zoom-Meetings sind: 

• Verwenden Sie immer einen Meeting-Passcode, auch wenn Sie Ihre persönliche Meeting-ID verwenden. 
• Genehmigen und lassen Sie Teilnehmer einzeln über die Funktion Wartezimmer zu 
• Beschränken Sie Meeting-Teilnehmer auf angemeldete Konten oder Benutzer aus bestimmten Domänen 
• Sperren Sie Meetings, um zu verhindern, dass Benutzer nach der Startzeit beitreten. 
• Deaktivieren Sie die Funktionen zur gemeinsamen Nutzung des Bildschirms und zur Aufzeichnung für Konferenzteilnehmer 

In vielen Fällen können Kontobesitzer diese Einstellungen automatisch für alle Benutzer aktivieren, so dass Sie sicherstellen können, dass Ihre Mitarbeiter bei der Nutzung von Zoom stets die besten Verfahren zur Informationssicherheit befolgen. 

Welche weiteren Schritte sind erforderlich, um Zoom HIPAA-konform zu machen? 

Zoom kann für die Telemedizin HIPAA-konform sein, wenn bestimmte Sicherheits- und Datenschutzmaßnahmen umgesetzt werden. Einige der Sicherheitsfunktionen von Zoom for Healthcare, die es HIPAA-konform machen, sind: 

1. Ende-zu-Ende-Verschlüsselung: Zoom for Healthcare bietet eine Ende-zu-Ende-Verschlüsselung für alle Videoanrufe, Audio- und Chat-Inhalte, um die Vertraulichkeit von Patientendaten zu schützen.
2. Zugangskontrollen: Mit Zoom für das Gesundheitswesen können Benutzer den Zugang zu Meetings einschränken und kontrollieren, wer an dem Meeting teilnehmen, Inhalte teilen und sich beteiligen kann.
3. Secure messaging: Zoom for Healthcare bietet secure messaging, damit Gesundheitsdienstleister mit Patienten und anderen Fachleuten im Gesundheitswesen kommunizieren können und gleichzeitig die Privatsphäre der Patientendaten geschützt wird.
4. Unterzeichnete Vereinbarung für Geschäftspartner (BAA): Zoom für das Gesundheitswesen stellt eine unterzeichnete Geschäftspartnervereinbarung (BAA) zur Verfügung, die die Verantwortlichkeiten und Verpflichtungen von Zoom als HIPAA-Geschäftspartner beschreibt.

Um sicherzustellen, dass Zoom vollständig HIPAA-konform ist, sollten Unternehmen zusätzliche Sicherheitsmaßnahmen ergreifen, wie z. B. die Einrichtung sicherer Passwörter, die Konfiguration einer Zwei-Faktor-Authentifizierung und die Schulung der Mitarbeiter zur Einhaltung des HIPAA. 

Sind Zoom-Transkriptionen HIPAA-konform? 

Zoom bietet Business-, Education- und Enterprise-Lizenzkunden die Möglichkeit, Live-Audio-Transkriptionen von Meetings zu erstellen. Dabei handelt es sich um maschinell erstellte Transkriptionen mit Hilfe von Sprache-zu-Text-Software, die je nach Audioqualität, Akzent des Sprechers, Hintergrundgeräuschen und Komplexität der verwendeten Sprache unterschiedlich genau sind. Für Benutzer von Zoom für das Gesundheitswesen kann die Live-Transkription hilfreich sein, wenn sie mit gehörlosen oder schwerhörigen Patienten sprechen. Benutzer von Zoom für das Gesundheitswesen haben auch die Möglichkeit, ein Audioprotokoll herunterzuladen und es in der elektronischen Patientenakte zu speichern. 

Jeder Benutzer innerhalb des Zoom-Anrufs kann die schriftliche Transkription speichern, es sei denn, diese Funktion wurde vom Meetingveranstalter deaktiviert. Dies kann PHI-Daten gefährden, wenn die Datei nicht in einem sicheren Repository gespeichert wird, und sollte bedacht werden, bevor Benutzer eine Transkription mit Zoom erstellen. 

Wie unterstützt Mimecast die Einhaltung des HIPAA im Zoom Team Chat? 

Unsere Collaboration Intelligence-Plattform ist mit Zoom Team Chat verbunden, um automatisch und in Echtzeit auf Datensicherheitsrisiken hinzuweisen. 

• Umfassende Funktionen für Datenschutz und Compliance  
• Strenge rollenbasierte Zugriffskontrolle (RBAC) 
• Granulare Aufbewahrungsrichtlinien für die Datenregulierung 
• Einhaltung von Vorschriften und Erkennung von Risiken in Echtzeit 

Mit Mimecast Aware können Unternehmen des Gesundheitswesens PHI durch robuste Workflows zur Einhaltung von Vorschriften schützen, die durch branchenführende natürliche Sprachverarbeitung (NLP) unterstützt werden. Administratoren können die Berechtigungen für ihr Unternehmen anpassen, um eingeschränkte Informationen für genauere Ergebnisse und weniger Fehlalarme zu erhalten. So lässt sich die Einhaltung des HIPAA in Zoom Team Chat schneller und einfacher implementieren und pflegen.  

Mimecast Aware unterstützt außerdem erweiterte Suchfunktionen, um sensible Informationen im Zoom Team Chat anhand einer Vielzahl von Parametern zu identifizieren, darunter reguläre Ausdrücke (Regex), Schlüsselwörter, Verwahrer, Datum/Uhrzeit, Stimmungen und mehr. Dies ermöglicht schnellere und effizientere interne Untersuchungen, Reaktionen auf Sicherheitsvorfälle und Anfragen zur Informationsfreiheit. 

Mit Mimecast Aware können Organisationen des Gesundheitswesens HIPAA-konforme Datenverwaltungsrichtlinien in Zoom Team Chat in Verbindung mit den nativen Zoom HIPAA-Funktionen und internen Richtlinien und Verfahren unterstützen.