Was ist die HIPAA Minimum Necessary Rule?
Was besagt die Minimum Necessary Rule?
Die Minimum Necessary Rule ist ein Teil der Privacy Rule des HIPAA. Diese Regel verlangt von den betroffenen Einrichtungen, dass sie sich in angemessener Weise bemühen, nur auf das Minimum an geschützten Gesundheitsinformationen zuzugreifen, das zur Erfüllung ihres Ziels erforderlich ist.
Was bedeutet HIPAA?
Der Health Insurance Portability and Accountability Act (HIPAA) regelt, wie Krankenhäuser, Arztpraxen, Versicherungsgesellschaften und ihre Geschäftspartner mit Patientendaten, den so genannten geschützten Gesundheitsinformationen, umgehen und diese schützen.
Diese Bestimmungen gelten für alle Orte, an denen personenbezogene Gesundheitsinformationen mit Benutzern, Ärzten und Patienten in Kontakt kommen.
Der HIPAA wird vom US-amerikanischen Gesundheitsministerium (Department of Health and Human Services) verwaltet und ist in einzelne Abschnitte unterteilt, die als Regeln (“Rules”) bezeichnet werden und bestimmte Aspekte der Vorschriften bestimmen:
Privacy Rule
Die Privacy Rule ist die erste Regel des HIPAA und in vielerlei Hinsicht die Grundlage für alle nachfolgenden Regeln. Sie definiert die Unternehmen und Einrichtungen, die unter den HIPAA fallen:
- Covered Entities (CE): Betroffene Einrichtungen, wie Krankenhäuser, Arztpraxen, Versicherungsgesellschaften oder andere Institutionen, die direkt gesundheitsbezogene Dienstleistungen erbringen.
- Business Associates (BA): Jeder Drittanbieter oder Dienstleister, der mit einer CE in einer Funktion zusammenarbeitet, die Schnittstellen zu personenbezogenen Gesundheitsinformationen aufweist. Dazu können Finanzdienstleistungen, Datenspeicherdienste, E-Mail- oder Cloud-Dienste gehören.
Darüber hinaus schreibt die Privacy Rule die Verantwortlichkeiten von CEs und BAs vor. Diese Organisationen müssen nämlich alle angemessenen Anstrengungen unternehmen, um den Datenschutz von personenbezogenen Gesundheitsinformationen vor unbefugter Weitergabe an Dritte außerhalb der Beziehung zwischen Patienten und der Einrichtung zu schützen. Unter keinen Umständen dürfen CEs oder BAs die unbefugte Weitergabe von Patienteninformationen, personenbezogenen Daten oder finanziellen Informationen im Zusammenhang mit Gesundheitsdienstleistungen zulassen.
Es gibt einige Ausnahmen, die in der Privacy Rule beschrieben sind. Dazu gehören Situationen wie Forschung, rechtliche Anforderungen, öffentlicher Dienst oder Notfälle, in denen eine nicht autorisierte Offenlegung gerechtfertigt sein kann.
Security Rule
Um den in der Privacy Rule definierten Schutz personenbezogener Gesundheitsinformationen zu erleichtern, legt der HIPAA in der Security Rule Sicherheitsanforderungen fest. Diese Regel unterteilt die Anforderungen in drei Kategorien:
- Technisch: Unternehmen müssen die Technologie und die Systeme implementieren, die zum Schutz personenbezogener Gesundheitsinformationen erforderlich sind. Dazu gehören die HIPAA-Verschlüsselung, angemessene Identitäts- und Zugriffsverwaltungssysteme, perimetrische Sicherheitssysteme, Hardware- und Geräteschutz und andere Maßnahmen.
- Physisch: Administratoren müssen den Zugang zu Computersystemen, die personenbezogene Gesundheitsinformationen enthalten, beschränken. Dies bedeutet, dass Sicherheitsvorkehrungen und Überwachungsmaßnahmen für physische Server und Workstations, Besucherprotokolle, Schutzmaßnahmen für physische Aufzeichnungen und physische Sicherheitsvorkehrungen für Laptops und Workstations eingeführt werden müssen.
- Administrativ: Unternehmen sollten über dokumentierte HIPAA- und Datenschutzrichtlinien verfügen. Diese Richtlinien sollten Schulungsprogramme und Routinen für regelmäßige Aktivitäten wie die Aufnahme und Kündigung von Mitarbeitern umfassen.
Die spezifische technische Umsetzung dieser Regeln ist absichtlich vage gehalten, damit sich die Regel mit neuen Bedrohungen und Technologien weiterentwickeln kann. Die technischen Kontrollen, die für die Einhaltung der HIPAA-Vorschriften ausreichen, sind in der Special Publication 800-66 des National Institute of Standards and Technology definiert: “An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act Security Rule” (Einführender Leitfaden zur Umsetzung der Security Rule des Health Insurance Portability and Accountability Act).
Breach Notification Rule
In Fällen, in denen ein Verstoß gegen den HIPAA vorliegt, muss eine CE oder BA eine Reihe von Benachrichtigungs- und Bekanntgabeverfahren einhalten, um die betroffenen Patienten und die Öffentlichkeit im weiteren Sinne zu informieren.
In Fällen, in denen ein Hacker in ein Gesundheitssystem eindringt, oder bei jedem anderen Vorfall, bei dem möglicherweise personenbezogene Gesundheitsinformationen gefährdet sein könnten, müssen CEs und BAs einige grundlegende Schritte unternehmen:
- Benachrichtigung: Das Unternehmen muss sich in angemessener Weise bemühen, die betroffenen Patienten unter Verwendung ihrer bestehenden Kontaktdaten zu benachrichtigen. Wenn eine erhebliche Anzahl von Patienten nicht direkt erreicht werden kann, muss die betreffende Institution weitere öffentliche Maßnahmen ergreifen, um die Patienten zu benachrichtigen, z. B. über eine öffentliche Website und eine gebührenfreie Telefon-Hotline.
- Öffentliche Bekanntgabe: Wenn der Verstoß eine große Anzahl von Personen betrifft, muss das Unternehmen den Verstoß gegenüber den Medien in den betroffenen Ländern öffentlich bekannt geben.
- Benachrichtigung der Behörden: Außerdem muss das Unternehmen das amerikanische Gesundheitsministerium (Office of the Secretary of HHS) informieren.
Omnibus Rule
Die Omnibus Rule ist eine Ergänzung der HIPAA-Bestimmungen, die 2013 verabschiedet wurde, um einige ihrer Aspekte im Hinblick auf neue Technologien und Bedrohungen zu modernisieren. Einige der wichtigsten Änderungen, die mit der Omnibus Rule eingeführt wurden, sind:
- Die Anforderung, dass ein Unternehmen auf Wunsch eines Patienten keine personenbezogenen Gesundheitsinformationen an die Krankenkasse des Patienten weitergeben darf, sofern dies nicht gesetzlich vorgeschrieben ist.
- Unternehmen dürfen personenbezogene Gesundheitsinformationen niemals für Marketingzwecke verwenden.
- BAs, die bisher nur begrenzt für HIPAA-Verstöße zur Rechenschaft gezogen werden konnten, werden nun in vollem Umfang für die Einhaltung des HIPAA (bzw. deren Nichteinhaltung) zur Rechenschaft gezogen. Das bedeutet, dass sie im Falle eines HIPAA-Verstoßes im Rahmen ihrer Tätigkeit für ein CE voll verantwortlich sind.
Was versteht man unter der Minimum Necessary Rule?
Im Gegensatz zu den anderen hier aufgelisteten Regeln ist die Minimum Necessary Rule kein eigenständiger Teil des HIPAA, sondern ein kleinerer Abschnitt innerhalb der Privacy Rule, der definiert, wie CEs und BAs die personenbezogenen Gesundheitsinformationen verwenden dürfen.
Im Grunde besagt die Minimum Necessary Rule, dass betroffene Einrichtungen und Geschäftspartner (CEs und BAs) sich bemühen müssen, die Nutzung und Offenlegung personenbezogener Gesundheitsinformationen auf das “Minimum” zu beschränken, das notwendig ist, um die beabsichtigten Zwecke zu erreichen.
Wie auch bei anderen Aspekten des HIPAA ist die Bedeutung von “angemessen” flexibel und in gewisser Weise dem Ermessen des Unternehmens überlassen (mit entsprechender Begründung). Das bedeutet im Allgemeinen, dass, wenn ein Unternehmen seine minimal notwendige Informationsverarbeitung rechtfertigen kann und dennoch einmal personenbezogene Gesundheitsinformationen offenlegt, die möglichen Strafen weitaus geringer ausfallen, als wenn es sich einfach weigert, die Regeln einzuhalten.
Es gibt einige Ausnahmen von dieser Regel:
- Ein Anbieter kann Informationen zur Verfügung stellen, die über seinen Verarbeitungsbedarf hinausgehen und der Behandlung dienen
- Wenn die Verarbeitung oder Weitergabe unter eine der Ausnahmen für die Weitergabe in der Privacy Rule fällt
- Alle rechtmäßigen Offenlegungen gegenüber dem Secretary of HHS
- Offenlegungen, die gesetzlich vorgeschrieben sind
Um die Einhaltung der Minimum Necessary Rule zu gewährleisten, sollten Unternehmen über gut dokumentierte Richtlinien für ihren Informationsbedarf verfügen und genau festlegen, wie sie personenbezogene Gesundheitsinformationen verwenden werden. Außerdem sollten sie über klar definierte rollenbasierte Zugriffssteuerungen verfügen, um einzuschränken, wer auf Patienteninformationen zugreifen darf und zu welchem Zweck. Diese Sicherheitsprotokolle müssen in der Cyber-Risikomanagement-Strategie eines Unternehmens dokumentiert werden.
Zusätzlich zu den oben genannten Punkten müssen Unternehmen mit ihren Mitarbeitern zusammenarbeiten, um Schulungsmaßnahmen zu implementieren, Aufzeichnungen und Audit-Protokolle zu erstellen und Sanktionen gegen das jeweilige Unternehmen und die Mitarbeiter im Falle eines Verstoßes zu klären.
Erfüllen Sie mit Kiteworks die Vorgaben der Minimum Necessary Rule zur Verarbeitung vertraulicher Gesundheitsinformationen
Der Kern der Anforderungen an eine minimale Verarbeitung personenbezogener Gesundheitsdaten besteht darin, diese vor unbefugter Offenlegung zu schützen, den Zugriff zu beschränken, so dass nur Personen, die die Daten unbedingt benötigen, sie nutzen können, und alle Aktivitäten im Zusammenhang mit diesen Daten zu dokumentieren und zu protokollieren, um sicherzustellen, dass die personenbezogenen Daten auch bei Einhaltung der HIPAA-Sicherheitsmaßnahmen nicht nach außen gelangen.
Um diese Anforderungen zu erfüllen, kann sich Ihr Unternehmen nicht auf manuelle Systeme verlassen. Stattdessen müssen Sie die richtige Plattform implementieren, die vertrauliche Patienteninformationen sicher speichern und übertragen können und gleichzeitig die Protokollierung von Audits, Sicherheitskontrollen und Compliance-Analysen automatisieren.
INSERT BANNER TO h/webinar-addressing-the-biggest-gap-in-your-zero-trust-strategy
Kiteworks Private Content Networks beinhalten die folgenden Funktionen:
- Sicherheit und Compliance: Kiteworks verwendet AES-256-Verschlüsselung für Daten im ruhenden Zustand und TLS 1.2+ für Daten während der Übertragung. Die gehärtete virtuelle Appliance der Plattform, die granularen Kontrollen, die Authentifizierung, die Integration anderer Security Stacks und die umfassende Protokollierung und Audit-Berichte ermöglichen es Unternehmen, die Einhaltung von Sicherheitsstandards einfach und schnell nachzuweisen.
Die Kiteworks-Plattform verfügt über sofort anwendbare Compliance-Berichte für branchenspezifische und gesetzliche Bestimmungen und Standards, wie den Health Insurance Portability and Accountability Act (HIPAA), den Payment Card Industry Data Security Standard (PCI DSS), SOC 2 und die General Data Protection Regulation (GDPR/DSGVO).
Darüber hinaus kann Kiteworks auf die Zertifizierung und Einhaltung verschiedener Standards verweisen, zu denen unter anderem FedRAMP, FIPS (Federal Information Processing Standards) und FISMA (Federal Information Security Management Act) gehören. Kiteworks ermöglicht auch die Einhaltung von CMMC 2.0 (Cybersecurity Maturity Model Certification) und wurde durch das IRAP (Infosec Registered Assessors Program) entsprechend der Sicherheitsstufe PROTECTED bewertet.
- Audit-Protokollierung: Mit den unveränderlichen Audit-Protokollen der Kiteworks-Plattform können Unternehmen darauf vertrauen, dass Angriffe früher erkannt werden und die korrekte Beweiskette für die Durchführung der Forensik aufrechterhalten wird.
Da das System die Einträge aller Komponenten zusammenführt und standardisiert, sparen die Teams des Security Operations Center mit Kiteworks’ vereinheitlichtem Syslog und Alarmen viel Zeit. Gleichzeitig unterstützt Kiteworks die Compliance-Teams bei der Vorbereitung auf Audits.
- SIEM-Integration: Kiteworks unterstützt die Integration mit den wichtigsten Sicherheitsinformations- und Ereignisverwaltungslösungen, darunter IBM QRadar, ArcSight, FireEye Helix, LogRhythm und andere. Es verfügt auch über den Splunk Forwarder und enthält eine Splunk App.
- Transparenz und Management: Das CISO-Dashboard in Kiteworks gibt Unternehmen einen Überblick über ihre Informationen: wo sie sich befinden, wer darauf zugreift, wie sie verwendet werden und ob die gesendeten, gemeinsam genutzten oder übertragenen Daten den gesetzlichen Vorgaben und Standards entsprechen. Das CISO-Dashboard ermöglicht es Führungskräften, fundierte Entscheidungen zu treffen und bietet gleichzeitig einen detaillierten Überblick über die Gesetzes- und Richtlinienkonformität.
- Single-Tenant-Cloud-Umgebung: Dateiübertragungen, Dateispeicherung und Benutzerzugriff erfolgen auf einer dedizierten Kiteworks-Instanz, die vor Ort, auf den Infrastructure-as-a-Service-Ressourcen eines Unternehmens oder als private Single-Tenant-Instanz von Kiteworks in der Cloud auf dem Kiteworks Cloud-Server gehostet wird.
Das bedeutet keine gemeinsame Laufzeit, keine gemeinsamen Datenbanken oder Repositorys, keine gemeinsamen Ressourcen und kein Potenzial für Cloud-übergreifende Datenschutzverletzungen oder Angriffe.
Entdecken Sie, wie Kiteworks Ihre Maßnahmen zur Einhaltung des HIPAA unterstützt. Fordern Sie eine individuelle Demo an, die auf den spezifischen Anforderungen Ihres Unternehmens basiert.
WEITERE INFORMATIONEN