Erklären Sie die HIPAA-Grundlagen: PHI, die Schutzmaßnahmen der Security Rule und wer sie einhalten muss.
Kurzantwort
HIPAA (der US-amerikanische Health Insurance Portability and Accountability Act) schützt Protected Health Information (PHI). Die Privacy Rule regelt Nutzung und Offenlegung von PHI; die Security Rule gilt für elektronische PHI (ePHI) und verlangt drei Kategorien von Schutzmaßnahmen — administrative, physische und technische. Sie gilt für covered entities (Leistungserbringer, Gesundheitspläne, Clearingstellen) und für business associates, die in ihrem Auftrag PHI verarbeiten und durch Business Associate Agreements gebunden sind. Die Breach Notification Rule legt die Pflichten zur Benachrichtigung von Personen, des HHS und mitunter der Medien fest.
HIPAA ist die zentrale US-Regulierung für Gesundheitsdaten. Sicherheitsteams in jeder Organisation, die Gesundheitsdaten berührt — einschließlich SaaS-Anbieter und Cloud-Verarbeiter — werden damit befasst. Interviewer stellen diese Frage, um zu sehen, ob Sie die Regeln auf konkrete Kontrollen abbilden können.
Was HIPAA schützt
Protected Health Information (PHI) sind individuell identifizierbare Gesundheitsinformationen, die von einer covered entity oder einem business associate gehalten oder übermittelt werden. In elektronischer Form sind es ePHI, und die Security Rule greift.
Wer sie einhalten muss
- Covered entities — Gesundheitsdienstleister, Gesundheitspläne und Gesundheits-Clearingstellen.
- Business associates — Anbieter und Partner, die PHI im Auftrag einer covered entity erstellen, empfangen, aufbewahren oder übermitteln. Sie sind durch ein Business Associate Agreement (BAA) gebunden.
Die Schutzmaßnahmen der Security Rule
Die Security Rule verlangt drei Kategorien von Schutzmaßnahmen für ePHI:
- Administrativ — Risikoanalyse, Schulung der Belegschaft, Zugriffsverwaltung, Notfallplanung.
- Physisch — Zutrittskontrollen für Einrichtungen, Geräte- und Datenträgerkontrollen, Sicherheit der Arbeitsplätze.
- Technisch — Zugriffskontrolle, Audit-Kontrollen, Integritätskontrollen, Übertragungssicherheit (Verschlüsselung).
Viele Spezifikationen sind „addressable" — das heißt, Sie beurteilen, ob die Schutzmaßnahme angemessen ist, und dokumentieren Ihre Entscheidung — und nicht optional.
Meldung von Verletzungen
Die Breach Notification Rule verlangt die Benachrichtigung betroffener Personen und des Department of Health and Human Services; Verletzungen, die 500 oder mehr Einwohner eines Bundesstaates betreffen, erfordern zudem die Benachrichtigung wichtiger Medien.
Warum das wichtig ist
Starke Kandidaten weisen darauf hin, dass business associates unmittelbar haftbar sind, dass eine Risikoanalyse die grundlegende administrative Schutzmaßnahme ist und dass „addressable" nicht „ignorieren" bedeutet. Das zeigt echtes Betriebswissen statt einer auswendig gelernten Akronymliste.
Wahrscheinliche Anschlussfragen
- Was ist ein Business Associate Agreement und wann ist es erforderlich?
- Nennen Sie ein Beispiel für eine administrative gegenüber einer technischen Schutzmaßnahme unter der Security Rule.
- Was löst die Pflicht zur Medienbenachrichtigung unter der Breach Notification Rule aus?