Warum verlangt der HIPAA Verschlüsselung?
Der HIPAA verlangt aus verschiedenen Gründen Verschlüsselung. Im Kern geht es darum, die Vertraulichkeit und Sicherheit von PHI - geschützten Gesundheitsinformationen - zu gewährleisten. Dazu gehören alle individuell identifizierbaren Gesundheitsinformationen, die von Gesundheitsdienstleistern, Gesundheitsplänen, Gesundheitsdienstleistern oder deren Geschäftspartnern erstellt, empfangen, verwaltet oder übermittelt werden.
Einfach ausgedrückt, wandelt die Verschlüsselung sensible Daten in ein Format um, das nur mit dem zugehörigen Entschlüsselungsschlüssel gelesen werden kann. Selbst wenn böswillige Akteure sensible PHI-Informationen in die Hände bekommen, sind die Daten auf diese Weise nutzlos, es sei denn, sie verfügen über einen Schlüssel zur Entschlüsselung.
Verschlüsselung erweist sich auch als nützliche Präventivmaßnahme, z. B. wenn es um die Eindämmung von Datenschutzverletzungen geht - wenn verschlüsselte PHI gestohlen werden, ist das Risiko, dass Einzelpersonen zu Schaden kommen, drastisch reduziert, da Hacker auch den Entschlüsselungsschlüssel erhalten müssen.
Die Implementierung von Verschlüsselung ist ein proaktiver Weg, um das Risiko eines unbefugten Datenzugriffs zu verringern, und wird von der HIPAA als Compliance-Anforderung angesehen.
Insgesamt kann das Versäumnis, robuste Maßnahmen zur Cybersicherheit im Gesundheitswesen zu implementieren, zu finanziellen Strafen und Rufschädigung führen, wenn es zu einem Verstoß oder unberechtigten Zugriff kommt.
Wer muss die HIPAA Security Rule einhalten?
Laut dem U.S. Department of Health and Human Services - "Die Sicherheitsregel gilt für Gesundheitspläne, Clearingstellen für das Gesundheitswesen und für jeden Gesundheitsdienstleister, der Gesundheitsinformationen in elektronischer Form in Verbindung mit einer Transaktion überträgt, für die das HHS-Ministerium im Rahmen des HIPAA Standards festgelegt hat (die "covered entities"), sowie für deren Geschäftspartner."
Zu den betroffenen Unternehmen gehören -
- Gesundheitsdienstleister - Ärzte, Krankenschwestern, Kliniken, Krankenhäuser, Pflegeheime und andere im Gesundheitswesen tätige Personen oder Einrichtungen, die PHI digital übermitteln oder speichern
- Gesundheitseinrichtungen - Krankenversicherungen, Health Maintenance Organizations, Medicare, Medicaid und andere Versicherungsprogramme, die PHI elektronisch übermitteln oder speichern
- Clearinghäuser des Gesundheitswesens - öffentliche oder private Einrichtungen, einschließlich Abrechnungsdienste, Repricing-Unternehmen, kommunale Gesundheitsmanagement-Informationssysteme oder kommunale Gesundheitsinformationssysteme
Beispiele für Geschäftspartner sind -
- Administratoren von Drittanbietern
- Abrechnungsunternehmen
- Anbieter von Cloud-Speicher
- Medizinische Transkriptionsdienste
- Anbieter von Gesundheitsinformationstechnologie
Die Verantwortlichkeiten und Pflichten des Geschäftspartners werden in einer Vereinbarung, dem so genannten BAA (Business Associate Agreement), dargelegt, die zwischen der betroffenen Einrichtung und dem Geschäftspartner unterzeichnet wird.
Was schützen die HIPAA-Verschlüsselungsanforderungen?
Die HIPAA-Verschlüsselungsanforderungen schützen elektronische PHI (ePHI) vor der Offenlegung, falls diese Daten jemals von einer unbefugten Partei eingesehen werden.
Die Verschlüsselung ist jedoch nur ein Teil einer soliden Cybersicherheitsstrategie, die Gesundheitsorganisationen zum Schutz von ePHI in Betracht ziehen müssen. Böswillige Akteure sind sehr kreativ und geben nicht so leicht auf. Unbefugte könnten demjenigen, der auf der Seite der Gesundheitsorganisation sitzt, vorgaukeln, dass er autorisiert ist und dass man ihm vertrauen kann. Und das ist der Punkt, an dem die Verschlüsselung allein nicht ausreichen würde, um sensible Informationen zu schützen.
Was sind die HIPAA-Verschlüsselungsanforderungen?
Die HIPAA Security Rule enthält keine spezifischen technischen Details, wie die Verschlüsselung verwendet werden sollte. Sie umreißt vielmehr allgemeine Anforderungen und Standards für den Schutz von ePHI durch Verschlüsselung.
Unternehmen müssen zwar den Einsatz von Verschlüsselung zum Schutz von Patientendaten in Betracht ziehen, sind aber nur dann dazu verpflichtet, wenn dies vernünftig und praktikabel ist. Dies kann z.B. werden durch eine Risikobewertung ermittelt.
Zu den Hauptaspekten der HIPAA-Verschlüsselungsanforderungen gehören unter anderem starke Verschlüsselungstechniken für Daten im Ruhezustand und bei der Übertragung, die Verschlüsselung von virtuellen Festplatten (VDE) und die Verschlüsselung von Dateien und Ordnern.
Die Herausforderung der HIPAA-Verschlüsselungsanforderungen
Die HIPAA-Verschlüsselungsanforderungen stellen eine große Herausforderung für IT-Teams dar, die den Datenschutz und die Sicherheit im Gesundheitswesen gewährleisten sollen.
Im Jahr 1996 wurde mit dem Health Insurance Portability and Accountability Act (HIPAA) eine Vorschrift eingeführt, nach der alle Gesundheitsdienstleister den Schutz geschützter Gesundheitsinformationen (PHI) gewährleisten müssen. Seitdem hat sich die E-Mail zu einer dominierenden Kommunikationsform entwickelt und wird häufig für den Austausch geschützter Patientendaten verwendet. Für IT-Organisationen bedeutet die Einhaltung der HIPAA-Verschlüsselungsanforderungen, dass sie eine Form der secure messaging Technologie für das Gesundheitswesen einführen müssen.
Die Herausforderung für IT-Teams besteht darin, sicherzustellen, dass alle E-Mails die HIPAA-Verschlüsselungsanforderungen erfüllen. Eine Lösung, die es Gesundheitsdienstleistern ermöglicht, HIPAA-verschlüsselte E-Mails zu versenden, ist eine Sache; sicherzustellen, dass Patienten und ihre Betreuer außerhalb der Organisation verschlüsselte Rückmeldungen senden können, ist eine ganz andere. Die meisten Lösungen zur Erfüllung der HIPAA-Verschlüsselungsanforderungen beinhalten aufwändige Verwaltungsfunktionen oder Software, die der Einzelne herunterladen muss, um eine verschlüsselte Nachricht zu erhalten.
Als führender Anbieter von Lösungen für E-Mail-Sicherheit, -Archivierung und -Kontinuität bietet Mimecast eine All-in-One-Lösung, die es Organisationen im Gesundheitswesen leicht macht, die HIPAA-Verschlüsselungsanforderungen zu erfüllen.
Verschiedene Arten der Verschlüsselung, um die HIPAA-Anforderungen zu erfüllen
Die gängigsten Verschlüsselungsarten, die zur Erfüllung der HIPAA-Anforderungen verwendet werden, sind der Advanced Encryption Standard (AES-256), Transport Layer Security (TLS), OpenPHP (Pretty Good Privacy) und S/MIME.
Erfüllen Sie die HIPAA-Verschlüsselungsanforderungen mit Mimecast
Der Cloud-basierte Abonnementdienst von Mimecast ermöglicht es Organisationen im Gesundheitswesen, die Kosten und die Komplexität der Verwaltung und des Schutzes von E-Mails zu reduzieren und gleichzeitig die HIPAA-Verschlüsselungsanforderungen einzuhalten. Als SaaS-basierte Lösung lässt sich Mimecast schnell implementieren und leicht skalieren, um sich an veränderte Geschäftsanforderungen anzupassen.
Die umfassenden Dienste von Mimecast ermöglichen es Unternehmen, die Email Archive zu vereinfachen, die email continuity auch bei Ausfällen zu gewährleisten und sich gegen eine Vielzahl von Bedrohungen der Cybersicherheit im Gesundheitswesen zu schützen. Mimecast erfüllt nicht nur die HIPAA-Anforderungen für E-Mails, sondern bietet auch Schutz vor Ransomware, Spear-Phishing und Imitationsangriffen, die häufig verwendet werden, um die Netzwerkabwehr zu durchdringen und Patientendaten zu stehlen.
Wichtigkeit der Verschlüsselung von E-Mail-Kommunikation, die PHI enthält
Der Schutz von Patientendaten ist entscheidend. Sie können sensible Informationen wie Röntgenaufnahmen, Patientenbilder und andere Gesundheitsdaten enthalten, die streng vertraulich sind.
E-Mails, die diese Art von sensiblen Daten enthalten, müssen verschlüsselt werden, um die Vertraulichkeit, Integrität und Verfügbarkeit von PHI zu gewährleisten. E-Mail-Verschlüsselung ist ein effektiver Weg, um Patientendaten zu schützen.
Die Vorteile einer HIPAA-konformen Verschlüsselung
Der Hauptvorteil einer HIPAA-konformen Verschlüsselung besteht darin, dass die Wahrscheinlichkeit eines Verstoßes gegen den HIPAA durch unsichere ePHI für die betroffenen Einrichtungen und ihre Geschäftspartner geringer ist.
Alle Daten, die übertragen werden, müssen verschlüsselt sein, und alle Daten, die gespeichert werden, müssen ebenfalls verschlüsselt sein. Die HIPAA-konforme Verschlüsselung stellt sicher, dass die Daten auch bei Verlust oder Diebstahl eines Geräts geschützt sind.
Mimecast-Lösungen für die Erfüllung der HIPAA-Verschlüsselungsanforderungen
Mit dem Secure Messaging Service von Mimecast können Unternehmen den Datenschutz und die Sicherheit im Gesundheitswesen gewährleisten und die HIPAA-Verschlüsselungsanforderungen problemlos erfüllen. Mit Secure Messaging können Benutzer beim Verfassen einer Nachricht in ihrem E-Mail-Client einfach auf Secure senden klicken, um sicherzustellen, dass die Nachricht sicher versendet wird. Nachdem sie auf Senden gedrückt haben, werden die Nachrichten und Anhänge sicher in die Mimecast-Cloud hochgeladen, auf Malware und Viren gescannt und in einem sicheren AES-verschlüsselten Archiv gespeichert. Die Empfänger erhalten dann eine Benachrichtigung, dass eine Nachricht wartet, und Anweisungen, wie sie sich in das sichere Portal von Mimecast einloggen können, um neue Secure Messaging zu lesen, zu beantworten und zu verfassen.
Mimecast Secure Messaging ermöglicht es Unternehmen außerdem, automatisch Nachrichten zu versenden, die den HIPAA-Verschlüsselungsanforderungen entsprechen, wenn sie bestimmte Inhalte enthalten oder an bestimmte Empfänger oder Domänen gesendet werden.
Erfahren Sie mehr über Mimecast und die HIPAA-Verschlüsselungsanforderungen.
Erfüllen Sie die HIPAA-Verschlüsselungsanforderungen mit Mimecast
Der Cloud-basierte Abonnementdienst von Mimecast ermöglicht es Organisationen im Gesundheitswesen, die Kosten und die Komplexität der Verwaltung und des Schutzes von E-Mails zu reduzieren und gleichzeitig die HIPAA-Verschlüsselungsanforderungen einzuhalten. Als SaaS-basierte Lösung lässt sich Mimecast schnell implementieren und leicht skalieren, um sich an veränderte Geschäftsanforderungen anzupassen.
Die umfassenden Dienste von Mimecast ermöglichen es Unternehmen, die Email Archive zu vereinfachen, die email continuity auch bei Ausfällen zu gewährleisten und sich gegen eine Vielzahl von Bedrohungen der Cybersicherheit im Gesundheitswesen zu schützen. Mimecast erfüllt nicht nur die HIPAA-Anforderungen für E-Mails, sondern bietet auch Schutz vor Ransomware, Spear-Phishing- und Imitationsangriffen, die häufig eingesetzt werden, um die Netzwerkabwehr zu durchdringen und Patientendaten zu stehlen.
FAQs: HIPAA-Verschlüsselungsanforderungen
Was bedeutet HIPAA-Verschlüsselung im Ruhezustand?
Einfach ausgedrückt: Auch wenn die ePHI unter "" ruht oder nicht aktiv übertragen wird, muss sie vor möglichen Verletzungen oder unbefugtem Zugriff geschützt werden. Die Verschlüsselung von ePHI im Ruhezustand bietet einen zusätzlichen Schutz, indem die Daten in ein Format umgewandelt werden, das nur von autorisierten Personen, die über den Entschlüsselungsschlüssel verfügen, verstanden und abgerufen werden kann.
HIPAA-Verschlüsselungsanforderungen für Daten im Ruhezustand
Die HIPAA-Verschlüsselungsanforderungen für ruhende Daten beziehen sich auf alle ePHI, die auf einem Server, einer Desktop-Datei, einem USB-Stick oder auf einem mobilen Gerät gespeichert sind. Es ist eine bewährte Praxis, die HIPAA-Verschlüsselung im Ruhezustand auf so viele Geräte wie möglich anzuwenden, auf denen Daten gespeichert sind, um die Möglichkeit zu minimieren, dass ein böswilliger Akteur Zugriff auf unverschlüsselte Geräte erhält.
Was bedeutet HIPAA-Verschlüsselung bei der Übertragung?
Die HIPAA-Verschlüsselung während der Übertragung bietet einen erheblichen Vorteil, da sie die elektronische Kommunikation mit ePHI schützt, während sie mehrere Router zwischen Absender und Empfänger durchläuft. Entlang dieser Route halten die Router vorübergehend Kopien der Kommunikation bereit, so dass ein Abhören an jedem Punkt möglich ist. Die Verschlüsselung von ePHI während der Übertragung garantiert, dass selbst wenn sich ein böswilliger Akteur Zugang zu einem Router verschafft oder eine Kommunikation abfängt, die darin enthaltenen ePHI vollständig unlesbar, unentzifferbar und unbrauchbar für ihn bleiben.
HIPAA-Verschlüsselungsanforderungen für Daten bei der Übertragung
Die HIPAA Security Rule enthält zwar keine spezifischen technischen Anweisungen für Verschlüsselungsmethoden, betont aber, wie wichtig es ist, elektronisch geschützte Gesundheitsinformationen (ePHI) während der Übertragung zu schützen, oder "data in transit".
Was sind die HIPAA-Verschlüsselungsanforderungen für E-Mails?
Der Health Insurance Portability and Accountability Act (HIPAA) legt Vorschriften für den Datenschutz und die Sicherheit von geschützten Gesundheitsinformationen (PHI) fest. Die HIPAA Security Rule verlangt von Organisationen, den Zugang zu PHI zu beschränken, PHI vor unbefugtem Zugriff zu schützen, die Integrität von PHI im Ruhezustand zu gewährleisten und 100% die Nachvollziehbarkeit von Nachrichten sicherzustellen. Die Vorschrift enthält zwar keine spezifischen HIPAA-Verschlüsselungsanforderungen, empfiehlt aber, dass die betroffenen Einrichtungen und Geschäftspartner nach Möglichkeit eine Ende-zu-Ende-Verschlüsselung verwenden, erlaubt es den Unternehmen aber auch, andere Lösungen als die Verschlüsselung einzusetzen, die dasselbe bewirken.
Wie können Sie die HIPAA-Verschlüsselungsanforderungen für E-Mails erfüllen?
Die beiden effektivsten Technologien zur Einhaltung der HIPAA-Sicherheitsrichtlinie sind Verschlüsselung und secure messaging. Verschlüsselungstechnologien verschlüsseln Nachrichten, bevor sie gesendet werden, so dass sie von Unbefugten nicht gelesen werden können, wenn sie abgefangen werden oder versehentlich durchsickern. Secure messaging-Lösungen bieten eine Plattform, auf der sich Benutzer anmelden können, um verschlüsselte Nachrichten zu senden und zu empfangen. Damit wird eine zusätzliche Ebene der Zugriffskontrolle geschaffen, um die HIPAA-Verschlüsselungsanforderungen zu erfüllen.
Was ist ein Verstoß gegen die HIPAA-Verschlüsselungsanforderungen?
Der häufigste Verstoß gegen die HIPAA-Verschlüsselungsanforderungen ist das Versäumnis, einen angemessenen Ende-zu-Ende-Schutz für PHI zu gewährleisten. Ein weiterer häufiger Verstoß ist die Übermittlung geschützter Gesundheitsdaten per E-Mail von einer Gesundheitseinrichtung an ein persönliches E-Mail-Konto. Dies geschieht, wenn Mitarbeiter sich selbst Dateien schicken, um sie zu Hause zu bearbeiten. Verloren gegangene oder gestohlene Geräte, auf denen sich unverschlüsselte PHI befinden, sind ein weiterer häufiger Verstoß, ebenso wie die Weitergabe von PHI an Dritte, die über keinen angemessenen Verschlüsselungsschutz verfügen.
Erfüllt Google Mail die HIPAA-Verschlüsselungsanforderungen?
Google Mail ist keine HIPAA-konforme Plattform. Organisationen, die Google Mail mit einer HIPAA-konformen Lösung nutzen möchten, können die GSuite von Google verwenden, die es Google ermöglicht, eine HIPAA-Business Associates-Vereinbarung zu unterzeichnen. Da Google jedoch keine Verschlüsselung anbietet, müssen Unternehmen einen Vertrag mit einem Drittanbieter abschließen, um die HIPAA-Verschlüsselungsanforderungen zu erfüllen.
Erfüllt Outlook die HIPAA-Verschlüsselungsanforderungen?
Microsoft bietet mehrere Versionen von Outlook an, die jeweils unterschiedliche Möglichkeiten zur Einhaltung der HIPAA-Verschlüsselungsanforderungen bieten. Outlook.com, die kostenlose Version von Outlook, ist nicht HIPAA-konform und kann die HIPAA-Verschlüsselungsanforderungen nicht erfüllen. Outlook innerhalb von Microsoft Office 365 oder Outlook, das auf einem Desktop oder Laptop installiert ist, kann mit der richtigen Konfiguration, mit einem HIPAA Business Associate Agreement mit Microsoft und durch die Verwendung eines Drittanbieters für die Verschlüsselung HIPAA-konform gemacht werden.