Health Insurance Portability & Accountability Act

(HIPAA)

Back to Compliance

Title Green Bar Fokus

Die Vorgaben von HIPAA für Sicherheit, Datenschutz und die Meldung von Verstößen konzentrieren sich auf den Schutz von Patientendaten im Gesundheitswesen. Es sind besondere physische, administrative und technische Sicherheitsvorkehrungen für elektronische Patientendaten (ePHI) vorgeschrieben.
 

Title Green Bar Daten

ePHI beinhalten 18 Arten von Informationen, darunter Name, Anschrift, Sozialversicherungsnummer, E-Mail-Adresse, Patientenakten, Zahlungsinformationen von Patienten und mehr.
 

Title Green Bar Umfang

USA und weltweit – alle Einrichtungen (Krankenkassen und Abrechnungsstellen) sowie deren Geschäftspartner, die Tätigkeiten ausüben, die die Nutzung oder Offenlegung von Patientendaten beinhalten.
 
 

Title Green Bar Verstoß

Benachrichtigung des Gesundheitsministeriums, aller betroffenen Personen und in einigen Fällen der Medien.
 

Title Green Bar Nichteinhaltung

Audits, Ermittlungen, hohe Bußgelder (Geldstrafen bis zu 1,5 Mio. USD pro Jahr) und mögliche strafrechtliche Sanktionen.
 
 
Title Green Bar  HIPAA-Anforderungen Title Green Bar  Verschlüsselung Title Green Bar  WinMagic-Lösung

Abschnitt 164.312

Technische Sicherheitsvorkehrungen
164.312 (a)

Zugriffssteuerung
horizontalline green

Abschnitt 164.312

Technische Sicherheitsvorkehrungen
164.213 (b)

Auditkontrollen
horizontalline green

Abschnitt 164.312

Technische Sicherheitsvorkehrungen
164.213 (d)

Authentifizierung

HIPAA empfiehlt ausdrücklich die Verwendung von Verschlüsselung, Auditkontrolle und Authentifizierung:

  • Implementierung eines Mechanismus zum Ver- und Entschlüsseln von ePHI [164.312 (a)(1)]

  • Implementierung von Hardware, Software und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen, die ePHI [164.213 (b)] enthalten oder verwenden, erfassen und untersuchen

  • Implementierung von Verfahren zur Überprüfung, ob es sich bei einer Person oder Einrichtung, die Zugang zu ePHI beantragt, um tatsächlich um die Person handelt [164.213 (d)]

SecureDoc Enterprise stärkt die Einhaltung der technischen Sicherheitsvorkehrungen durch Verschlüsselung, Zugriffskontrolle und Authentifizierung.

Die fortschrittliche Verschlüsselungs-Engine der SecureDoc-Festplattenverschlüsselung ist nach FIPS 140-2 zertifiziert und entspricht NIST 800-111.

Leitfaden, um nicht geschützte Patientendaten für nicht autorisierte Personen unbrauchbar, unlesbar oder unverständlich zu machen

 Dieser Leitfaden beschreibt die Anforderungen an die Verschlüsselung gespeicherter Daten. Wenn verschlüsselte Geräte verloren gehen oder gestohlen werden, sind sie ohne Zugang zu einem vertraulichen Prozess oder Schlüssel unbrauchbar, sodass keine Meldung des Sicherheitsverstoßes erforderlich ist. Die Verschlüsselung muss gemäß NIST 800-111 erfolgen. SecureDoc reduziert die Gefahr eines Sicherheitsverstoßes durch eine leistungsstarke Verschlüsselung und eine sichere Schlüsselverwaltung erheblich. So wird sichergestellt, dass vertrauliche Daten und die zugehörigen Entschlüsselungs-Keys geschützt sind. Gleichzeitig sinken der Aufwand und die Kosten, die mit der Meldung eines Verstoßes verbunden sind.
Leitfaden zu HIPAA und Cloud-Computing Wenn ePHI auf einem Niveau verschlüsselt sind, das nicht den HIPAA-Standards entspricht, oder wenn auch der Entschlüsselungs-Key von einem Sicherheitsverstoß betroffen ist, muss der Vorfall gemeldet werden. SecureDoc CloudVM bietet eine durch das Unternehmen selbst kontrollierte Verschlüsselung und Schlüsselverwaltung zum Schutz vor Datenverstößen in der Cloud.