HIPAA
Schuetzen Sie Gesundheitsdaten und erreichen Sie HIPAA-Compliance mit CyberOrigen.
Uebersicht
HIPAA (Health Insurance Portability and Accountability Act) schuetzt sensible Patientengesundheitsinformationen (PHI). Es gilt fuer Covered Entities und deren Business Associates.
HIPAA-Regeln
Privacy Rule
Schuetzt PHI-Nutzung und -Offenlegung:
- Patientenrechte
- Mindestnotwendigkeitsstandard
- Autorisierungsanforderungen
Security Rule
Technische Schutzmassnahmen fuer ePHI:
| Kategorie | Anforderung |
|---|---|
| Administrativ | Richtlinien, Schulung, Risikoanalyse |
| Physisch | Gebaeudezugang, Arbeitsplatzsicherheit |
| Technisch | Zugangskontrollen, Verschluesselung, Audit |
Breach Notification Rule
Erfordert Benachrichtigung bei PHI-Kompromittierung:
- Patientenbenachrichtigung (innerhalb von 60 Tagen)
- HHS-Benachrichtigung
- Medienbenachrichtigung (>500 Personen)
Security Rule-Anforderungen
Administrative Schutzmassnahmen
| Standard | Implementierung |
|---|---|
| 164.308(a)(1) | Risikoanalyse und -management |
| 164.308(a)(2) | Zugewiesene Sicherheitsverantwortung |
| 164.308(a)(3) | Belegschaftssicherheit |
| 164.308(a)(4) | Informationszugangsmanagement |
| 164.308(a)(5) | Sicherheitsbewusstsein und Schulung |
| 164.308(a)(6) | Sicherheitsvorfall-Verfahren |
| 164.308(a)(7) | Notfallplan |
| 164.308(a)(8) | Evaluierung |
| 164.308(b)(1) | Business Associate Agreements |
Physische Schutzmassnahmen
| Standard | Implementierung |
|---|---|
| 164.310(a)(1) | Gebaeudezugangskontrollen |
| 164.310(b) | Arbeitsplatznutzung |
| 164.310(c) | Arbeitsplatzsicherheit |
| 164.310(d)(1) | Geraete- und Medienkontrollen |
Technische Schutzmassnahmen
| Standard | Implementierung |
|---|---|
| 164.312(a)(1) | Zugangskontrolle |
| 164.312(b) | Audit-Kontrollen |
| 164.312(c)(1) | Integritaet |
| 164.312(d) | Personen-/Entitaetsauthentifizierung |
| 164.312(e)(1) | Uebertragungssicherheit |
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei HIPAA
- Klicken Sie auf Aktivieren
2. Risikoanalyse
HIPAA erfordert dokumentierte Risikoanalyse:
- Gehen Sie zu GRC → Risikoregister
- Identifizieren Sie ePHI-Standorte
- Bewerten Sie Bedrohungen und Schwachstellen
- Dokumentieren Sie Risikostufen
3. Schutzmassnahmen implementieren
Behandeln Sie erforderliche und adressierbare Standards:
- Erforderlich: Muss implementiert werden
- Adressierbar: Implementieren oder Alternative dokumentieren
Schluesselkontrollen
Technische Kontrollen
| Anforderung | CyberOrigen-Funktion |
|---|---|
| 164.312(a)(1) Zugangskontrolle | Zugriffs-Scanning, Ueberpruefungen |
| 164.312(b) Audit-Kontrollen | Audit-Log-Verfolgung |
| 164.312(c)(1) Integritaet | Dateiintegritaetspruefungen |
| 164.312(e)(1) Uebertragung | TLS/Verschluesselungs-Scanning |
Administrative Kontrollen
| Anforderung | CyberOrigen-Funktion |
|---|---|
| 164.308(a)(1) Risikoanalyse | Risikoregister |
| 164.308(a)(5) Schulung | Richtlinienbestaetigung |
| 164.308(a)(6) Vorfaelle | Behebungs-Workflow |
PHI-Identifikation
Was ist PHI?
Protected Health Information umfasst:
- Namen
- Daten (Geburt, Aufnahme, Entlassung)
- Telefon-/Faxnummern
- E-Mail-Adressen
- Sozialversicherungsnummern
- Krankenaktennummern
- Versicherungs-IDs
- Kontonummern
- Zertifikat-/Lizenznummern
- Fahrzeugkennzeichen
- Geraetekennungen
- URLs
- IP-Adressen
- Biometrische Kennungen
- Fotos
- Jede eindeutige Identifikationsnummer
ePHI-Systeme
Identifizieren Sie Systeme mit elektronischer PHI:
- Gehen Sie zu GRC → Kontrollbibliothek
- Ordnen Sie Assets der PHI-Verarbeitung zu
- Verfolgen Sie im Asset-Inventar
Business Associate Agreements
BAA-Anforderungen
Verfolgen Sie Lieferanten-BAAs:
- Gehen Sie zu GRC → Lieferanten
- Fuegen Sie Lieferanten mit PHI-Zugang hinzu
- Laden Sie BAA-Dokumente hoch
- Verfolgen Sie Ablaufdaten
Lieferantenrisikobewertung
Bewerten Sie BA-Sicherheit:
- Sicherheitsfrageboegen
- SOC 2-Berichte
- Penetrationstest-Ergebnisse
Nachweissammlung
Automatisierte Nachweise
- Zugangskontroll-Scans
- Verschluesselungsverifizierung
- Schwachstellenbewertungen
- Audit-Log-Exporte
Manuelle Nachweise
- Richtlinien und Verfahren
- Risikoanalyse-Dokumentation
- Schulungsunterlagen
- BAAs
- Incident-Response-Plaene
Kontrollzuordnung
HIPAA ordnet sich anderen Frameworks zu:
| HIPAA | SOC 2 | ISO 27001 |
|---|---|---|
| 164.312(a)(1) | CC6.1 | A.9.1.1 |
| 164.312(b) | CC7.2 | A.12.4.1 |
| 164.312(e)(1) | CC6.7 | A.10.1.1 |
| 164.308(a)(1) | CC3.2 | 6.1 |
Breach Response
Wann benachrichtigen
Benachrichtigung erforderlich, wenn:
- Unbefugter Zugriff auf PHI
- Nutzung oder Offenlegung unter Verletzung der Privacy Rule
- Geringe Kompromittierungswahrscheinlichkeit nicht nachweisbar
Reaktionsschritte
- Breach-Umfang identifizieren
- Untersuchung dokumentieren
- Personen benachrichtigen (innerhalb von 60 Tagen)
- HHS benachrichtigen
- Medien benachrichtigen (bei >500 Personen)
- Schwachstellen beheben
Haeufige Luecken
| Anforderung | Problem | Loesung |
|---|---|---|
| 164.308(a)(1) | Keine Risikoanalyse | Risikobewertung durchfuehren |
| 164.312(a)(2)(i) | Geteilte Konten | Eindeutige Benutzer-IDs |
| 164.312(e)(1) | Unverschluesselte E-Mail | Verschluesselungsloesung |
| 164.308(b)(1) | Fehlende BAAs | BAA-Verfolgung |