HIPAA

Übersicht

Eine wachsende Zahl von Dienstleistern aus dem Gesundheitswesen, Krankenkassen und IT-Fachleuten verwendet nutzungsbasierte Cloud-Services von AWS, um geschützte Daten aus dem Gesundheitswesen (PHI) zu verarbeiten, zu speichern und zu übermitteln.

AWS ermöglicht Einrichtungen und ihren Geschäftspartnern, die dem U.S. Health Insurance Portability and Accountability Act von 1996 (HIPAA) unterliegen, die Möglichkeit, für die Verarbeitung, Pflege und Speicherung geschützter gesundheitsbezogener Daten die sichere AWS-Umgebung zu nutzen.

Ausführliche Informationen zur Verarbeitung und Speicherung von Gesundheitsdaten auf AWS finden Sie im Whitepaper Erstellen von Architekturen für HIPAA-Sicherheit und -Compliance in Amazon Web Services.

AWS-Kunden im Bereich Gesundheitswesen und Biowissenschaften


  • Der Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 ist ein US-amerikanisches Gesetzeswerk, das Angestellten in den USA die Beibehaltung ihres Krankenversicherungsschutzes bei einem Verlust oder Wechsel ihres Arbeitsplatzes erleichtern soll. Zudem setzt der Gesetzgeber damit die Absicht um, die Akzeptanz elektronischer Gesundheitsdaten zu fördern, um die Effizienz und Qualität des US-amerikanischen Gesundheitssystems durch besseren Datenaustausch zu verbessern.

    Im Zuge der zunehmenden Nutzung elektronischer Krankenakten setzt HIPAA Bestimmungen zum Schutz geschützter Daten aus dem Gesundheitswesen (PHI) durch. PHI umfassen eine breite Palette personenbezogener Gesundheitsdaten von Versicherungs- und Abrechnungsdaten bis zu Diagnosedaten, Informationen über die klinische Pflege sowie Laborergebnisse, etwa Bilder und Testergebnisse. Die HIPAA-Regeln betreffen vom Gesetz erfasste Einrichtungen wie Krankenhäuser, Anbieter medizinischer Dienste, vom Arbeitgeber geförderte Gesundheitspläne, Forschungseinrichtungen und Versicherungsgesellschaften, die direkt mit Patienten kommunizieren und Patientendaten verarbeiten. Die HIPAA-Regelung zum Schutz von Gesundheitsdaten (PHI) gilt auch für Geschäftspartner.

    Die HIPAA-Regeln wurden im Jahr 2009 durch den Health Information Technology for Economic and Clinical Health Act (HITECH) ergänzt. HIPAA und HITECH definieren gemeinsam eine Reihe von Normen auf Ebene der Bundesstaaten, die dem Schutz der Gesundheitsdaten dienen. Diese Bestimmungen sind in den sogenannten Regeln zur „administrativen Vereinfachung“ enthalten. HIPAA und HITECH stellen Anforderungen hinsichtlich der Nutzung und Offenlegung von PHI, treffen geeignete Sicherheitsvorkehrungen zum Schutz der PHI, der individuellen Rechte und der administrativen Verantwortlichkeiten.

    Weitere Informationen zum Schutz von Gesundheitsdaten durch HIPAA und HITECH finden Sie auf der Webseite Health Information Privacy des US-Gesundheitsministeriums.

  • Das Common Security Framework (CSF) der Health Information Trust Alliance (HITRUST) wird intern als ein „zertifizierbarer Rahmen, der Unternehmen einen umfassenden, flexiblen und effizienten Ansatz zur Compliance bei Vorschriften und Risikomanagement bietet,“ bezeichnet. HITRUST CSF wurde in Zusammenarbeit mit Sicherheitsfachleuten aus dem Gesundheitswesen und dem IT-Bereich entwickelt und rationalisiert relevante Vorschriften und Normen aus dem Gesundheitswesen in einem übergreifenden Sicherheitsrahmen.“

    HITRUST CSF fasst die Sicherheitskontrollen US-amerikanischer Bundesgesetze (wie HIPAA und HITECH), bundesstaatlicher Gesetze (wie Standards for the Protection of Personal Information of Residents of the Commonwealth des US-Bundesstaates Massachusetts) und nicht-staatlicher Regelungen (wie die des PCI Security Standards Council) zu einem gemeinsamen Rahmenwerk speziell für das Gesundheitswesen zusammen.

    AWS bietet eine zuverlässige, skalierbare und kostengünstige Datenverarbeitungsplattform, die die Anwendungen von Kunden im Gesundheitswesen auf eine Weise unterstützen kann, die mit HIPAA, HITECH und HITRUST CSF übereinstimmt.

  • Im Rahmen der HIPAA-Regulierungen gelten Cloud-Serviceanbieter (CSPs) wie AWS als Business Associates (Geschäftspartner). Das Business Associate Addendum (BAA, Geschäftspartnervereinbarung) ist ein von AWS unterzeichneter Vertrag, der unter HIPAA als Gewährleistung dafür verlangt wird, dass AWS geschützte Daten aus dem Gesundheitswesen (PHI) nach den von HIPAA festgelegten Regelungen angemessen schützt. Im BAA ist auch geregelt bzw. eingeschränkt, wie AWS geschützte Daten aus dem Gesundheitswesen je nach Beziehung zu seinen Kunden nutzen und evtl. veröffentlichen darf, sowie welche Aktivitäten bzw. Services durch AWS mit diesen Daten durchgeführt werden dürfen.

  • Ja. AWS verfügt über eine standardmäßige Geschäftspartnervereinbarung (Business Associate Addendum, BAA), die wir den Kunden zur Unterschrift vorlegen. Darin werden die einzigartigen Dienstleistungen berücksichtigt, die AWS bereitstellt, und das Modell zur übergreifenden Verantwortlichkeit von AWS ausgeführt.

    Zur Einsicht, Bestätigung und/oder Verwaltung der Geschäftspartnervereinbarung (BAA) Ihres Kontos melden Sie sich in der AWS Management Console bei AWS Artifact an. Falls Sie keinen Zugriff auf Ihr Konto haben, bitten Sie Ihren Administrator um ein kostenloses IAM-Konto mit Zugriff auf die Artifact IAM-Richtlinien.

    Schritt-für-Schritt-Anweisung: Erfahren Sie, wie Sie AWS Artifact zum Akzeptieren von Vereinbarungen für mehrere Konten in Ihrer Organisation verwenden. (02:07)

    Hier sehen Sie, wie Sie AWS Artifact verwenden, um eine Vereinbarung für Ihr Konto zu akzeptieren. (01:39)

  • Für Cloud-Serviceanbieter (CSP) wie AWS gibt es keine HIPAA-Zertifizierung. Um die HIPAA-Anforderungen zu erfüllen, die auf unser Betriebsmodell anwendbar sind, richtet AWS sein HIPAA-Risikomanagementprogramm an den höheren Sicherheitsstandards FedRAMP und NIST 800-53 aus, die den HIPAA-Sicherheitsregeln entsprechen. NIST unterstützt diese Ausrichtung und hat das Dokument SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule herausgegeben, in dem beschrieben wird, wie sich NIST 800-53 an den HIPAA-Sicherheitsregeln orientiert.

  • Kunden können unter einem als HIPAA-Konto definierten Konto jeden beliebigen AWS-Service verwenden, aber sie dürfen geschützte Daten aus dem Gesundheitswesen (PHI) nur in den in der Geschäftspartnervereinbarung (BAA) festgelegten, für HIPAA geeigneten Services verarbeiten, speichern und übertragen. Eine aktuelle Liste der für HIPAA geeigneten AWS-Services finden Sie auf der Webseite HIPAA Eligible Services Reference.

    AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Durch die Nutzung dieser Services für die Speicherung und Verarbeitung von PHI können unsere Kunden und AWS die HIPAA-Anforderungen erfüllen, die auf unser nutzungsbasiertes Betriebsmodell anwendbar sind. AWS fügt je nach Bedarf des Kunden weitere geeignete Services hinzu und priorisiert diese.

    Wenn Sie weitere Informationen über unser Geschäftspartnerprogramm wünschen oder neue geeignete Services anfordern möchten, kontaktieren Sie uns.

  • Nein. Dies ist ein sehr häufiges Szenario. Viele HIPAA-Lösungsanbieter bieten Ihre Software auf AWS als Software as a Service (SaaS) an. Sie als AWS-SaaS-Partner unterzeichnen eine Geschäftspartnervereinbarung (Business Associate Addendum, BAA) mit AWS. Danach unterzeichnet jeder Gesundheitsdienstleister bzw. jede betroffene Organisation eine Geschäftspartnervereinbarung (BAA) mit Ihnen als AWS-SaaS-Partner. Wenn die von HIPAA betroffene Organisation, die Ihre SaaS-Lösungen nutzt, ebenso ein direkter Kunde von AWS für HIPAA-bezogene Systeme ist, benötigt diese Organisation möglicherweise eine Geschäftspartnervereinbarung mit Ihnen und eine weitere Geschäftspartnervereinbarung mit AWS.

  • Von AWS-Kunden und Partnern des Amazon-Partnernetzwerks (APN), die eine Geschäftspartnervereinbarung (BAA) mit AWS unterzeichnet haben, wird die Verwendung von Amazon Elastic Compute Cloud (EC2) Dedicated Instances oder Dedicated Hosts zur Verarbeitung geschützter Gesundheitsdaten (PHI) nicht verlangt. Vor dem 15. Mai 2017 forderte das AWS HIPAA-Konformitätsprogramm, dass Kunden, die PHI mit Amazon EC2 verarbeitet haben, dedizierte Instanzen oder dedizierte Hosts verwenden müssen. Diese Anforderung wurde jedoch entfernt.

Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »