PII und PHI
Was versteht man unter PII und PHI?
Persönlich identifizierbare Informationen (PII) sind alle Daten, die potenziell eine bestimmte Person identifizieren können. Dazu gehören Informationen wie Vor- und Nachnamen, Adressen, Sozialversicherungsnummern, Führerscheinnummern, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Bankkontodaten, Kreditkartendaten und Informationen zur Bonität, sowie Ausweisdaten.
Geschützte Gesundheitsinformationen (Protected Health Information, PHI) sind eine Untergruppe der PII, die sich speziell auf die Gesundheitsgeschichte und/oder den Gesundheitszustand einer Person beziehen. Dazu gehören Dinge wie Krankenakten und Versicherungsansprüche.
Im Folgenden werden sowohl PII als auch PHI näher betrachtet und ein Überblick über die Gesetze und Vorschriften zum Datenschutz in den USA sowie in einigen anderen Ländern vermittelt.
Datenschutzgesetze zum Schutz von PII
Es gibt zahlreiche Datenschutzgesetze zum Schutz der personenbezogenen Daten (PII). In über 80 Ländern gibt es derzeit irgendeine Form von Datenschutzgesetzen in Bezug auf PII und/oder PHI. Zu den verschiedenen Arten von PII gehören die folgenden:
- Name
- Adresse
- Telefonnummern
- Geburtsdatum
- Reisepass, Führerschein oder andere von behördlicher Seite vergebene ID-Nummern
- Sozialversicherungsnummer oder gleichwertige amtliche Kennung
- Fingerabdrücke oder andere biometrische Daten
- Nummern von Kredit- oder Debitkarten
PII-bezogene Datenschutzbestimmungen in den U.S.A.
In den USA gibt es kein zentrales Gesetz oder keine einheitliche Vorschrift hinsichtlich personenbezogener Daten. Es gibt einen Flickenteppich aus staatlichen und bundesstaatlichen Gesetzen, branchenspezifischen Compliance-Vorschriften und anderen Gesetzen und Standards, die die Erhebung, Verwendung, Verarbeitung und Weitergabe personenbezogener Daten regeln.
Der Gramm-Leach-Bliley Act und PII
Der Gramm-Leach-Bliley Act (GLBA) ist ein US-Bundesgesetz, das regelt, wie personenbezogene Daten gesammelt, verwendet und weitergegeben werden können. Der GLBA wurde erlassen als Reaktion auf die wachsende Sorge hinsichtlich der Bedrohung der persönlichen Daten der Verbraucher durch die zunehmende Nutzung elektronischer Medien und Daten.
Der GLBA besteht aus drei Abschnitten: 1) die Financial Privacy Rule, die die Erhebung und Weitergabe von Finanzdaten regelt, 2) die Safeguards Rule, die Finanzinstitute verpflichtet, Sicherheitsprotokolle zum Schutz der erhobenen Daten zu implementieren, und 3) die Pretexting Provisions, welche fingierte Versuche abdecken, auf sensible Informationen zuzugreifen.
Der GLBA verpflichtet Finanzinstitute, ihre Kunden jährlich über ihre Datenschutzrichtlinien zu informieren. Er gibt den Kunden auch das Recht, der Weitergabe ihrer personenbezogenen Daten an Dritte zu widersprechen.
California Consumer Privacy Act und PII
Der California Consumer Privacy Act (CCPA) ist am 1. Januar 2020 in Kraft getreten und gibt Verbrauchern das Recht zu erfahren, welche persönlichen Daten über sie erhoben werden, das Recht, diese Daten löschen zu lassen, und das Recht, den Verkauf ihrer persönlichen Daten abzulehnen.
Der CCPA erlegt Unternehmen, die diesem Gesetz unterliegen, auch neue Verpflichtungen auf. So müssen sie offenlegen, welche Kategorien personenbezogener Daten sie sammeln, und den Verbrauchern die Möglichkeit geben, die Löschung ihrer Daten zu verlangen. Der CCPA wurde erlassen, um auf die zunehmenden Datenschutzverletzungen in den Bereichen Technologie, Medien, Unterhaltung und Telekommunikation zu reagieren.
Der Fair Credit Reporting Act und PII
Der Fair Credit Reporting Act (FCRA) trägt dazu bei, dass Kreditauskunfteien genaue und faire Informationen verwenden, wenn sie Entscheidungen über die Kreditwürdigkeit einer Person treffen. Dies ist wichtig, da ungenaue Informationen zu einer ungerechten Verweigerung von Krediten oder anderen Leistungen führen können. Es legt auch fest, wie diese Informationen verwendet, weitergegeben und abgerufen werden, um ungesetzliche Vorgehensweisen einzuschränken.
Der Consumer Data Protection Act in Virginia und PII
Am 2. März 2021 verabschiedete der US-Bundesstaat Virginia sein Pendant zum CCPA in Form des Consumer Data Protection Act (CDPA). Es schafft einen Rahmen für die Kontrolle und Verarbeitung personenbezogener Daten im Commonwealth und gilt für alle Personen, die im Commonwealth geschäftlich tätig sind und entweder 1) personenbezogene Daten von mindestens 100.000 Verbrauchern kontrollieren oder verarbeiten oder 2) mehr als 50 % der Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen und PII von mindestens 25.000 Verbrauchern kontrollieren oder verarbeiten.
Das Gesetz gewährt den Verbrauchern das Recht auf Zugang, Berichtigung, Löschung und Erhalt einer Kopie ihrer persönlichen Daten sowie das Recht, der Verarbeitung dieser Daten zum Zwecke der gezielten Werbung, des Verkaufs von PII oder der Profilerstellung des Verbrauchers zu widersprechen. Der CDPA trat am 1. Januar 2023 in Kraft.
PII-Datenschutzbestimmungen in EMEA, Kanada und der APJ-Region
Das bekannteste Datenschutzgesetz ist die General Data Protection Regulation (GDPR/DSGVO) in der Europäischen Union. Aber auch an anderen Orten gibt es gesetzliche Regelungen zum Datenschutz, wie z. B. den kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA) und den britischen Data Protection Act 2018 (DPA 2018).
GDPR und PII
Die GDPR (DSGVO) ist eine Verordnung der Europäischen Union (EU), die am 25. Mai 2018 in Kraft getreten ist. Sie stärkt die EU-Datenschutzvorschriften, indem sie Einzelpersonen mehr Kontrolle über ihre persönlichen Daten gibt, einschließlich des Rechts, ihre Daten löschen zu lassen und ihrer Verwendung zu widersprechen. Gemäß GDPR müssen Unternehmen Maßnahmen ergreifen, um Benutzerdaten vor versehentlichem oder unbefugtem Zugriff, Zerstörung, Manipulation oder unbefugter Nutzung zu schützen.
Sie legt strenge Regeln dafür fest, wie personenbezogene Daten von Unternehmen, die in der EU tätig sind, erfasst, verwendet und geschützt werden müssen. Die GDPR hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen müssen, völlig verändert.
Diese Verordnung gilt für jedes Unternehmen, das die Daten von Personen mit Wohnsitz in der EU verarbeitet oder zu verarbeiten beabsichtigt, unabhängig davon, ob dieses Unternehmen seinen Sitz innerhalb oder außerhalb Europas hat.
PIPEDA und PII
Seit seinem Inkrafttreten im Jahr 2001 regelt der Personal Information Protection and Electronic Documents Act (PIPEDA), wie Unternehmen die persönlichen Daten von Kanadiern erfassen, verwenden und weitergeben. PIPEDA gilt für alle Unternehmen und Institutionen, die im Rahmen ihrer Geschäftstätigkeit personenbezogene Daten erheben, verwenden oder weitergeben – also für so ziemlich jede Organisation, die in Kanada tätig ist.
Im Jahr 2018 wurde PIPEDA aktualisiert, um die persönlichen Daten der Kanadier besser zu schützen.
Obwohl PIPEDA für alle Unternehmen mit einer kommerziellen Präsenz in Kanada gilt, gilt es nicht für bestimmte Arten von Unternehmen, wie z. B. solche, die unter die Gesetze der Provinzen oder Territorien fallen, die Gesundheitsinformationen regeln.
DPA 2018 and PII
Der britische Data Protection Act 2018 (DPA 2018) legt Regeln dafür fest, wie personenbezogene Daten von Unternehmen erhoben, verarbeitet und gespeichert werden müssen. Das Gesetz gilt für jede Organisation, die die Daten von Einwohnern des Vereinigten Königreichs verarbeitet oder zu verarbeiten beabsichtigt, unabhängig davon, ob sie ihren Sitz im Vereinigten Königreich hat oder nicht.
Bewertung der Auswirkungen von PII-Datenschutzverletzungen
Personenbezogene Daten sind für Cyberkriminelle nach wie vor sehr attraktiv, da sie diese für Identitätsdiebstahl und Betrug nutzen können. Hunderte von Millionen Menschen sind jedes Jahr von personenbezogenen Datenschutzverletzungen betroffen. Unternehmen müssen Umsatzeinbußen, Rufschädigung und Strafen hinnehmen, wenn sie Opfer eines Angriffs werden.
Was versteht man unter PHI?
Damit Gesundheitsdaten als geschützte Gesundheitsinformationen (“Protected Health Information”, PHI) gelten und dem “Health Insurance Portability and Accountability Act” (HIPAA) unterliegen, müssen sie zum einen die Identität des Patienten erkennen lassen und zum anderen im Verlauf einer Behandlung verwendet oder an eine entsprechende Institution weitergegeben werden. Zwar sind PHI den personenbezogenen Daten (PII) ähnlich und stellen eine Untergruppe davon dar, doch sind sie nicht exakt dasselbe.
HIPAA-Standards zum Schutz von PHI
Was PHI betrifft, so wurde der HIPAA 1996 mit dem Ziel verabschiedet und in Kraft gesetzt, strenge Standards für den Schutz der PHI festzulegen. Der HIPAA legt 18 verschiedene Identifizierungsmerkmale für PHI fest, die zur Identifizierung, Kontaktaufnahme oder Lokalisierung einer Person verwendet werden können. Diese sind:
- Name
- Adresse (alles kleiner als ein Staat)
- Daten (außer Jahren), die sich auf Personen beziehen, wie z. B. Geburtsdatum, Aufnahmedatum usw.
- Telefonnummer
- Faxnummer
- E-Mail-Adresse
- Sozialversicherungsnummer
- Nummer der Patientenakte
- Nummer des Begünstigten der Krankenkasse
- Kontonummer
- Nummer einer Bescheinigung oder Lizenz
- Fahrzeugkennzeichen, wie z. B. Nummernschilder und Seriennummern
- Geräte-Kennungen
- Web-URL
- Internetprotokoll (IP)-Adressen
- Biometrische IDs wie Fingerabdrücke oder Stimmaufnahmen
- Gesichtsaufnahmen und andere Fotos mit identifizierenden Merkmalen
- Jedes andere einzigartige qualifizierende Merkmal
Die unbefugte Weitergabe von PHI ist ein schwerwiegender Verstoß gegen den HIPAA. Deshalb ist es wichtig, dass die betroffenen Unternehmen (“Covered Entities”, CEs) Maßnahmen ergreifen, um sensible Patientendaten zu schützen.
Alle Unternehmen, die mit PHI zu tun haben, müssen den HIPAA befolgen. Dazu gehört, dass Patientendaten vertraulich behandelt werden und dass nur autorisierte Personen darauf zugreifen können. Die betroffenen Einrichtungen müssen Sicherheitsmaßnahmen ergreifen, um PHI zu schützen. Zu den betroffenen Einrichtungen gehören:
- Arztpraxen, Zahnarztpraxen, Kliniken, Psychologen
- Pflegeheime, Apotheken, Krankenhäuser oder ambulante Pflegedienste
- Krankenkassen, Versicherungsgesellschaften und Gesundheitsorganisationen (Health Maintenance Organisations, HMOs)
- Staatliche Programme zur Finanzierung der Gesundheitsversorgung
- Abrechnungsstellen für das Gesundheitswesen
Die Sicherheitsmaßnahmen, die diese Einrichtungen zum Schutz von Patientendaten ergreifen müssen, umfassen Verschlüsselung, physische Sicherheit und Zugangskontrollsysteme.
HITECH zum Schutz von PHI
Im Jahr 2009 wurde der Health Information Technology for Economic and Clinical Health (HITECH) Act als Teil des American Recovery and Reinvestment Act verabschiedet. Das Hauptziel von HITECH war es, die Einführung von Gesundheitsinformationstechnologie (Health IT) und den Informationsaustausch zu fördern, um die Qualität und Effizienz der Gesundheitsversorgung zu verbessern.
Eine Möglichkeit, dies zu tun, ist die Festlegung von Anforderungen an den Datenschutz und die Sicherheit elektronischer Gesundheitsinformationen. Diese Anforderungen sollen die PHI von Patienten vor unbefugtem Zugriff, Missbrauch oder unerlaubter Weitergabe schützen.
Der Zusammenhang zwischen HIPAA und HITECH
Obwohl die HIPAA Privacy Rule nur für “Covered Entities” (Krankenkassen, Abrechnungsstellen für das Gesundheitswesen und Gesundheitsdienstleister, die Gesundheitsdaten in elektronischer Form übermitteln) und deren Geschäftspartner gilt, verpflichtet der HITECH Act das US-amerikanische Gesundheitsministerium (Department of Health and Human Services), neue Vorschriften zu erlassen.
Ein Ergebnis ist die Breach Notification Rule, die von den betroffenen Einrichtungen und ihren Geschäftspartnern verlangt, die betroffenen Personen und den US-Gesundheitsminister (Secretary of HHS) zu benachrichtigen, wenn es zu einem Datenschutzverstoß bei geschützten elektronischen Gesundheitsinformationen (ePHI) kommt. Die Benachrichtigung muss unverzüglich und spätestens 60 Tage nach der Entdeckung des Verstoßes erfolgen. Sowohl HITECH als auch HIPAA verlangen außerdem, dass geschützte Gesundheitsinformationen (PHI) bei der Übertragung sowie bei der Speicherung auf Geräten und anderen Medien verschlüsselt werden müssen.
Folgen der Offenlegung von PHI und PII
Das Gesundheitswesen ist seit 12 Jahren in Folge die Branche mit den meisten Datenschutzverletzungen. Die finanziellen, rufschädigenden und aufsichtsrechtlichen Auswirkungen einer Datenschutzverletzung gehen in die Millionen und können langfristige Folgen für das betroffene Unternehmen haben – ganz zu schweigen von den Personen, deren persönliche Daten verletzt wurden.
Datenschutzverletzungen in Bezug auf personenbezogene Daten und geschützte Gesundheitsinformationen stellen für Unternehmen ein großes Problem dar. Die Auswirkungen eines einzigen Verstoßes können sich auf Millionen von US-Dollar belaufen. Für das Jahr 2022 haben IBM und das Ponemon Institute in ihrem jüngsten “Cost of a Data Breach Report” festgestellt, dass die durchschnittlichen Kosten einer Datenschutzverletzung bei 4,35 Millionen US-Dollar liegen. Darin sind die negativen Auswirkungen auf eine Marke, wenn die Datenschutzverletzung öffentlich bekannt wird, noch nicht enthalten.
Die Bedrohung des Gesundheitswesens und anderer Einrichtungen durch Cyberkriminelle und Schurkenstaaten ist beträchtlich, und die politischen Entscheidungsträger sowie das Gesundheitswesen entwickeln die gesetzlichen Compliance-Standards ständig weiter, um die Sicherheitsprotokolle und -funktionen zum Schutz vor kriminellen Angriffen zu verbessern. Gerade wenn es um PHI geht, ist dies einleuchtend, denn PHI-Datensätze erzielen oft den höchsten Preis im Dark Web.
Unternehmen, die ihr Cyberrisiko in Bezug auf PII und PHI in den Griff bekommen wollen, können eine Reihe von Grundsätzen der Cybersicherheit anwenden, um das Risiko zu mindern. Diese müssen als Teil der Cybersecurity-Risikomanagement-Strategie eines Unternehmens berücksichtigt werden.
Verschaffen Sie sich einen Überblick darüber, welche PII und PHI Ihr Unternehmen erfasst und speichert
Wenn Sie ein Unternehmen besitzen oder betreiben, ist es wichtig zu wissen, was PII und PHI sind und wie Sie diese schützen können. Dies erfordert einen umfassenden Ansatz zur Datenklassifizierung. Wenn Ihr Unternehmen PII und PHI erfasst und speichert, ist das Risiko einer Datenschutzverletzung immens, wenn Sie nicht über die richtigen Sicherheits- und Governance-Kontrollen und eine entsprechende Nachverfolgung verfügen.
Um zu beurteilen, welche personenbezogenen Daten und geschützten Gesundheitsinformationen Ihr Unternehmen sammelt und speichert, sehen Sie sich die Art der Informationen an, die Sie von Kunden, Partnern, Mitarbeitern und anderen Personen erfassen. Eine Liste der PII und PHI finden Sie oben.
Ergreifen Sie strenge Sicherheitsmaßnahmen zum Schutz von PII und PHI
Im Folgenden finden Sie einige praktische Maßnahmen, die Sie umsetzen können, um PII und PHI zu schützen und die Wahrscheinlichkeit eines Datenschutzverstoßes zu verringern:
- Verwenden Sie einen Defense-in-Depth-Ansatz
- Verschlüsseln Sie alle Daten während der Übertragung und im Ruhezustand
- Schützen Sie PII und PHI, ohne die Benutzer zu behindern
- Definieren Sie rollenbasierte Berechtigungen für interne und externe (Third-Party-)Benutzer
- Wenden Sie granulare Richtlinienkontrollen zum Schutz der Daten an
- Wenden Sie inhaltsbasierte Richtlinien konsequent auf alle Kommunikationskanäle an
Vereinheitlichen Sie die Kommunikation sensibler Inhalte auf einer Plattform
Der empfohlene Sicherheitsansatz zum Schutz von PII und PHI ist eine Plattform, die die Verwaltung und den Schutz aller Daten während der Übertragung und im ruhenden Zustand vereinheitlicht und zentralisiert. Da die meisten Unternehmen mit mehreren externen Unternehmen zusammenarbeiten, sorgt eine einzige Plattform für einheitliche Richtlinien und Kontrollen bei jeder Transaktion und über isolierte Kommunikationskanäle wie E-Mail, File-Sharing, Managed File Transfer, Web-Formulare und Application Programming Interfaces (APIs).
Schulung der Mitarbeiter in Best Practices für den Umgang mit PII und PHI
Alle Unternehmen verfügen über personenbezogene Daten, die geschützt werden müssen, und die meisten verfügen auch über einige Gesundheitsinformationen. Die Schulung der Mitarbeiter ist der Schlüssel, um diese Informationen zu schützen und die Einhaltung der Vorschriften zu gewährleisten. Hierzu seien einige der empfohlenen Verfahren genannt:
- Erfassen Sie nur das Minimum an PII und PHI, das für Geschäftszwecke erforderlich ist.
- Schützen Sie PII und PHI, indem Sie sie in einer passwortgeschützten und verschlüsselten Datenbank speichern.
- Verwenden Sie eine Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf PII und PHI, auch für die Systeme, die zum Senden, Weitergeben, Empfangen und Speichern verwendet werden.
- Teilen Sie niemals PII oder PHI ohne die ausdrückliche Zustimmung der betroffenen Person.
- Sorgen Sie dafür, dass Ihre Mitarbeiter wissen, wie sie Phishing-Versuche und andere Bedrohungen der Cybersicherheit erkennen können, indem Sie gründliche und kontinuierliche Schulungen zum Thema Sicherheit durchführen.
Beschränken Sie die Menge der erfassten personenbezogenen Daten auf das Notwendige
Obwohl es für Unternehmen unerlässlich ist, einige personenbezogene Daten zu sammeln, um Dienstleistungen oder Waren anbieten zu können, ist es wichtig, die Menge der gesammelten personenbezogenen Daten auf das absolut Notwendige zu beschränken.
Prüfen Sie, warum Ihr Unternehmen bestimmte Arten von PII benötigt und ob es Alternativen gibt, die es Ihnen ermöglichen würden, Ihre Ziele zu erreichen, ohne sensible Daten zu sammeln.
Schützen Sie gespeicherte PII durch physische, technologische und organisatorische Sicherheitsmaßnahmen
Wenn es um den Schutz gespeicherter personenbezogener Daten geht, müssen Unternehmen einen vielschichtigen Ansatz verfolgen. Das bedeutet, dass physische, technologische und organisatorische Sicherheitsmaßnahmen vorhanden sein müssen, um eine solide Absicherung gegen Datenschutzverletzungen zu gewährleisten.
Personenbezogene Daten sollten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden. Die Verschlüsselung sollte sich vom digitalen Austausch der Daten intern und extern bis zur Speicherung auf dem Endsystem des Empfängers erstrecken (z. B. E-Mail, Dateisystem usw.).
Vernichten oder de-identifizieren Sie PII, wenn sie nicht mehr benötigt werden
Eine Möglichkeit, das Cyberrisiko für personenbezogene Daten zu verringern, besteht darin, sie zu vernichten oder zu de-identifizieren, sobald sie nicht mehr benötigt werden. Dadurch wird sichergestellt, dass die PII nicht für Identitätsdiebstahl, Betrug oder Lösegeldzahlungen verwendet werden können. Darüber hinaus sollten Unternehmen über Richtlinien zur Datenaufbewahrung verfügen, in denen festgelegt ist, wie lange personenbezogene Daten aufbewahrt werden sollten. Durch diese Vorsichtsmaßnahmen können Unternehmen sicherstellen, dass PII geschützt und sicher sind.
Verwendung eines Private Content Network zum Schutz von PII und PHI
Das Kiteworks Private Content Network vereinheitlicht die Kommunikation mit sensiblen Inhalten, die PII und PHI enthalten, auf einer Plattform. Die zentralisierte Verwaltung und Sicherheit ermöglicht es Ihnen, inhaltsbasierte Richtlinien festzulegen, die verfolgen und kontrollieren, wer auf PII und PHI zugreifen kann, wer die Inhalte ändern kann und an wen sie gesendet werden können. Ende-zu-Ende-Verschlüsselung, automatische Kontrollen und ein Defense-in-Depth-Sicherheitskonzept rationalisieren den digitalen Austausch vertraulicher Informationen, einschließlich PII und PHI.
Vereinbaren Sie einen Termin für eine maßgeschneiderte Demo des Kiteworks Private Content Network, um zu sehen, wie Ihr Unternehmen personenbezogene Daten und geschützte Gesundheitsinformationen unter Einhaltung der Datenschutzbestimmungen vertraulich behandeln kann.
–>