HIPAA-konformes File Sharing und Cloud-Speicherung

Geschützte Gesundheitsdaten (Protected Health Information, PHI) sind individuell identifizierbare Daten, die sich auf den medizinischen oder psychischen Zustand eines Patienten, die Bereitstellung medizinischer Dienste oder deren Bezahlung (in der Vergangenheit, Gegenwart oder Zukunft) beziehen. PHI beinhalten ebenfalls allgemeine Identifikationsmerkmale wie Name, Adresse, Sozialversicherungsnummer und Geburtsdatum des Patienten.

Betreffende Instanzen umfassen alle Organisationen im Gesundheitswesen, die PHI erstellen, erhalten oder übertragen. Krankenhäuser, Ärzte, Kliniken und andere Dienstleister im Gesundheitswesen, die als „betreffende Instanzen“ angesehen werden, sind für die Konformität mit HIPAA und HITECH verantwortlich.

Die HIPAA-Datenschutzregel legt Standards für den Schutz der PHI fest. Im Rahmen der Datenschutzregel müssen Dienstleister im Gesundheitswesen geeignete Sicherheitsvorkehrungen treffen, um persönliche Gesundheitsdaten zu schützen, sowie die Nutzung und Offenlegung von PHI einschränken.

Die HIPAA-Sicherheitsregel definiert Sicherheitsvorkehrungen, die von Dienstleistern im Gesundheitswesen zum Schutz und zur Steuerung des Zugriffs auf PHI getroffen werden müssen. Im Rahmen der Sicherheitsregel sind sie zu Folgendem verpflichtet:

• Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der PHI, die sie erstellen, erhalten, übertragen oder führen
• Erkennung von und Schutz vor Bedrohungen ihrer PHI
• Schutz vor unzulässiger Verwendung oder Offenlegung von PHI
• Sicherstellung, dass die Mitarbeiter die HIPAA-Regeln befolgen
• Überprüfung und Änderung der Sicherheitsmaßnahmen zum Schutz der PHI bei veränderten Umständen

Die HIPAA-Regelung zur Meldung bei Verstößen verlangt von Dienstleistern im Gesundheitswesen, bei Sicherheitsverstößen mit ungesicherten PHI die Benachrichtigung der betroffenen Patienten, der Gesundheitsbehörden und manchmal auch der Presse. Die meisten Meldungen müssen innerhalb von 60 Tagen nach Entdeckung des Verstoßes erfolgen (es gibt Ausnahmen bei Verstößen mit weniger als 500 betroffenen Personen).

Die Box-Plattform und die zugehörigen Produkte sind seit November 2012 mit HIPAA, HITECH und der letzten HIPAA Omnibus Rule compliant. Alle in Box gespeicherten PHI sind im Einklang mit HIPAA geschützt. Box unterzeichnet außerdem mit allen Kunden, die planen PHI in der Cloud zu speichern, ein Business Associate Agreements (BAAs).

Box aktualisiert regelmäßig seine Produkte, Richtlinien und Vorgehensweisen, um durchgängige HIPAA-Compliance sicherzustellen. Zusätzlich wurde Box durch einen externen Auditor geprüft, der in seinem Bericht bestätigt, dass Box über alle erforderlichen Kontrollen verfügt, um den Anforderungen von HIPAA bezüglich Datenschutz und Sicherheit zu entsprechen.

Box gewährleistet HIPAA-Compliance durch diverse wichtige Funktionen und Unternehmensrichtlinien:

• Datenverschlüsselung (sowohl bei der Übertragung als auch im Speicher)
• Eingeschränkter physischer Zugang zu Produktionsservern
• Strenge logische Systemzugriffskontrollen
• Berichte und Audit-Trails für Account-Aktivitäten (Benutzer und Inhalte)
• Mitarbeiterschulung zu Sicherheitsrichtlinien und -kontrollen
• Stark begrenzter Mitarbeiterzugang zu Kundendaten
• Gespiegelte Aktiv-Aktiv-Rechenzentrumseinrichtungen zur Abmilderung von Katastrophensituationen

Unternehmen jeder Größe und Spezialisierung im Gesundheitswesen vertrauen beim Schutz sensibler Patientendaten und bei der Einhaltung der HIPAA-Compliance auf Box. Es ist jedoch wichtig anzumerken, dass es in der Veranwortung dieser Unternehmen liegt, Box so konfigurieren, dass die HIPAA-Compliance gewährleistet wird und die erforderlichen Unternehmensrichtlinien umgesetzt werden.