Was ist die Einhaltung des HIPAA?
Der HIPAA oder Health Insurance Portability and Accountability Act (Gesetz zur Übertragbarkeit von Krankenversicherungen und zur Rechenschaftspflicht) legt Standards für den Schutz und die Sicherheit von geschützten Gesundheitsinformationen (PHI) von Patienten fest, darunter Namen, Adressen, Krankenakten und andere identifizierbare Patientendaten.
Jedes Unternehmen, das mit geschützten Gesundheitsinformationen (Protected Health Information, PHI) arbeitet, muss die Datenschutz- und Sicherheitsvorschriften des HIPAA einhalten. Dazu gehören nicht nur Organisationen des Gesundheitswesens, sondern auch viele Unternehmen, die Verwaltungs-, Finanz-, Rechts-, Beratungs- und Managementdienstleistungen für Organisationen des Gesundheitswesens erbringen und die mit PHI arbeiten.
Was bedeutet HIPAA-konforme E-Mail?
Um den HIPAA einzuhalten, müssen Unternehmen Maßnahmen ergreifen, um PHI zu schützen, die sie erstellen, sammeln oder elektronisch übermitteln oder mit denen sie im Rahmen ihrer Arbeit in Berührung kommen. Da viele Unternehmen PHI per E-Mail übermitteln, müssen E-Mails, die PHI enthalten, vor unbefugtem Zugriff während der Übertragung und im Ruhezustand geschützt werden. Außerdem müssen 100% Nachrichten durch Audit-Kontrollen nachweisbar sein.
Wie kann ich eine HIPAA-konforme E-Mail versenden?
Das Versenden einer HIPAA-konformen E-Mail erfordert die Verwendung einer Verschlüsselung oder die Verwendung eines Secure Messaging, z. B. eines Patientenportals, um PHI in der E-Mail während der Übertragung zu schützen. HIPAA-konforme E-Mails erfordern auch die Verwendung von Zugriffskontrollen, die sicherstellen, dass nur der Absender und der beabsichtigte Empfänger auf die Nachricht zugreifen können.
Die Einhaltung des HIPAA für verschlüsselte E-Mails erfordert innovative Lösungen
Die Einhaltung des HIPAA ist eine große Herausforderung für Organisationen im Gesundheitswesen. Viele Mediziner nutzen E-Mails als primäre Kommunikationsform, und ihre Nachrichten enthalten oft geschützte Gesundheitsinformationen (PHI) von Patienten. Zwar schreibt der Health Insurance Portability and Accountability Act (HIPAA) vor, dass Unternehmen große Anstrengungen unternehmen, um PHI in E-Mails zu schützen, doch die riesige Menge an täglich versendeten und empfangenen E-Mails macht Flüchtigkeitsfehler unvermeidlich und der Wert von PHI für Cyberkriminelle erhöht die Wahrscheinlichkeit von Cyberangriffen.
Um PHI zu schützen und die HIPAA-Konformität von E-Mails zu gewährleisten, benötigen Unternehmen Lösungen, die die Sicherheit von E-Mails bei der Übertragung und im Ruhezustand gewährleisten, Audit-Kontrollen für den Zugriff und die Nutzung durchführen und das Unternehmen und die E-Mail-Daten gegen eine Vielzahl fortschrittlicher Bedrohungen verteidigen können. Unternehmen, die eine benutzerfreundliche Technologie suchen, die ihre IT-Teams nicht mit zusätzlicher Arbeit belastet, bietet Mimecast branchenführende Lösungen für die Email Archive und -Sicherheit.
HIPAA-E-Mail-Verschlüsselung von Mimecast
Mimecast bietet eine einfach zu bedienende Cloud-Plattform, die die Bereitstellung und Verwaltung von E-Mail-Sicherheit, Kontinuität und Datenschutz vereint. Tausende von Unternehmen auf der ganzen Welt vertrauen auf Mimecast, wenn es darum geht, die cyber resilience zu verbessern, die Einhaltung von Vorschriften zu optimieren, die IT-Komplexität zu minimieren und den Betrieb ihres Unternehmens aufrechtzuerhalten.
Für IT-Teams ist die SaaS-basierte Lösung von Mimecast einfach zu implementieren (es fallen keine Investitionskosten an) und einfach zu verwalten, wobei die zentrale Steuerung über eine single Verwaltungskonsole erfolgt. Um die Einhaltung des HIPAA zu gewährleisten, haben die Angebote von Mimecast das HIPAA Security Compliance Assessment bestanden, das die Sicherheitsvorkehrungen zum Schutz von Gesundheitsdaten in der Software und Infrastruktur von Mimecast bestätigt.
Mit Mimecast können Gesundheitsorganisationen und ihre Partner:
- Verhindern Sie per E-Mail übertragene Ransomware-Infektionen und andere fortgeschrittene Angriffe
- Verschlüsseln Sie E-Mail-Nachrichten und teilen Sie Anhänge auf sichere Weise
- Blockieren bösartiger oder unangemessener Webaktivitäten
- Stoppen Sie bösartige URLs und Anhänge
- Erfüllen Sie die HIPAA-Anforderungen mit Audit-Protokollen und richtlinienkonformen chains of custody.
Mimecast-Technologie für HIPAA-verschlüsselte E-Mails
Um HIPAA-verschlüsselte E-Mail-Nachrichten zu ermöglichen, bietet Mimecast eine Secure Messaging -Lösung für das Gesundheitswesen an, die sowohl für Gesundheitsdienstleister als auch für Patienten einfach zu verwenden ist. Um eine Secure Messaging zu initiieren, müssen Benutzer nur auf das Feld Sicher senden in Outlook oder in ihrem bevorzugten E-Mail-Client klicken. Nachrichten und Anhänge werden in die sichere Cloud von Mimecast hochgeladen, anstatt direkt an die Empfänger gesendet zu werden. Nach der Überprüfung auf malware werden die Nachrichten in einem AES-verschlüsselten Archiv gespeichert. Die Empfänger werden über die HIPAA-verschlüsselte E-Mail informiert und erfahren, wie sie darauf zugreifen können, indem sie sich bei einem sicheren Portal anmelden. Über das Portal können die Empfänger Nachrichten lesen und Anhänge ansehen, dem Absender antworten oder eine neue Nachricht an die Empfänger im Unternehmen verfassen.
Erfahren Sie mehr über HIPAA-verschlüsselte E-Mails und Mimecast.
Zusätzliche Tools für die Einhaltung des HIPAA per E-Mail
Die umfassende E-Mail-Sicherheitsplattform von Mimecast umfasst eine Vielzahl von Lösungen zur Verbesserung der HIPAA-E-Mail-Konformität, darunter:
- Advanced Email Security mit Targeted Threat Protection nutzt hochentwickelte Erkennungsmodule und Bedrohungsdaten, um E-Mails vor targeted attack sowie vor malware, spam und phishing zu schützen.
- Lösungen für Content Control und Data Loss Prevention (DLP) helfen Unternehmen dabei, versehentliche oder böswillige Lecks zu verhindern, die sensible Patientendaten preisgeben könnten.
- Mit den Lösungen für Secure Messaging und den Versand großer Dateien können Mitarbeiter schnell und einfach Geschäfte abwickeln, ohne sich um die Verschlüsselungsanforderungen für die Einhaltung der HIPAA-E-Mails kümmern zu müssen.
HIPAA-konforme E-Mail-FAQs
Was sind die HIPAA-Verschlüsselungsanforderungen?
Das National Institute of Standards and Technology (NIST) empfiehlt, dass Einrichtungen des Gesundheitswesens ihre elektronischen Daten zusätzlich mit dem Advanced Encryption Standard (AES) 128, 192, 256 Bit oder OpenPGP und S/MIME verschlüsseln.
Wie können Sie E-Mails HIPAA-konform gestalten?
Es gibt zwar keine single Formel für die Erstellung einer HIPAA-konformen E-Mail, aber es gibt eine Reihe von Schritten, die Unternehmen unternehmen können, um die Einhaltung der HIPAA-Vorschriften sicherzustellen.
- Verschlüsselungstechnologien oder secure messaging-Portale können E-Mails während der Übertragung erfolgreich schützen. Verschlüsselung macht eine abgefangene E-Mail unlesbar, während secure messaging-Portale Verschlüsselung mit sicheren Zugangsprotokollen kombinieren, die zusätzliche Schutzschichten bieten.
- Lösungen für die Email Archive können Unternehmen dabei helfen, die Anforderungen an Zugriffs-, Integritäts- und Audit-Kontrollen zu erfüllen, und erleichtern die Erstellung von E-Mails für juristische Untersuchungen oder Compliance-Audits.
Was ist ein Verstoß gegen die HIPAA-konformen E-Mail-Vorschriften?
Zu den Handlungen, die gegen die HIPAA-Vorschriften für E-Mails und geschützte Gesundheitsinformationen (PHI) verstoßen können, gehören:
- Das Versäumnis, PHI durch Verschlüsselung, secure messaging oder andere Technologien zu schützen, die unbefugten Zugriff verhindern.
- Versenden von ungeschützten oder unverschlüsselten persönlichen Gesundheitsinformationen per E-Mail ohne Zustimmung des Patienten.
- Versenden von E-Mails ohne ein Business Associate Agreement mit Ihrem E-Mail-Anbieter, das sicherstellt, dass auch dieser die HIPAA-Bestimmungen einhält.
- Das Versäumnis, Prüfpfade zu erstellen, die den Zugriff dokumentieren und die Integrität von E-Mails mit PHI sicherstellen.
Sind Outlook und Office 365 HIPAA-konform?
Das kommt darauf an. E-Mail-Konten auf Outlook.com sind nicht HIPAA-konform. Outlook in Office 365 kann HIPAA-konform sein, wenn Office 365 richtig konfiguriert ist. Und Outlook, das als Software auf einem Laptop oder Desktop installiert ist, kann ebenfalls HIPAA-konform sein, solange Ihr E-Mail-Dienst und der von Ihnen verwendete Computer ebenfalls HIPAA-konform sind. Microsoft Office 365 bietet Pakete, die die Einhaltung des HIPAA unterstützen, aber Office 365 allein bietet nicht alle Kontrollen (wie z.B. die Pflege von Audit-Protokollen), die für die Einhaltung des HIPAA erforderlich sind.
Ist Google Mail HIPAA-konform?
Während Gmail selbst nicht HIPAA-konform ist, kann Gmail als Teil von G Suite mit der Verschlüsselungssoftware eines Drittanbieters HIPAA-konform sein.
