Das Gesetz „Health Insurance Portability and Accountability Act“ (HIPAA) wurde 1996 verabschiedet. Die Gesetzesvorschriften sollten die Verfahren vereinfachen, damit Arbeitnehmer ihren Krankenversicherungsschutz beibehalten, wenn sie ihren Arbeitsplatz wechseln oder verlieren. Zudem setzte der Gesetzgaber damit die Absicht um, die Akzeptanz elektronischer Gesundheitsdaten zu fördern, um die Effizienz und Qualität des US-amerikanischen Gesundheitssystems durch besseren Datenaustausch zu verbessern.

Zusammen mit der zunehmenden Nutzung elektronischer Krankenakten hat das Gesetz Bestimmungen zum Schutz der geschützten Gesundheitsdaten (Protected Health Information – PHI) einbezogen. PHI umfassen eine breite Palette personenbezogener Gesundheitsdaten von Versicherungs- und Abrechnungsdaten bis zu Diagnosedaten, Informationen über die klinische Pflege sowie Laborergebnisse, etwa Bilder und Testergebnisse. Die Regeln betreffen „Covered Entities“ (vom Gesetz erfasste Einrichtungen). Dazu gehören Krankenhäuser, Anbieter medizinischer Dienste, vom Arbeitgeber geförderte Gesundheitspläne, Forschungseinrichtungen und Versicherungsgesellschaften, die direkt mit Patienten kommunizieren und Patientendaten verarbeiten. Das Gesetz und die Bestimmungen erweitern die Anforderungen an die geschützten Gesundheitsdaten auf „Geschäftspartner“.

HIPAA wurde 2009 durch den Health Information Technology for Economic and Clinical Health Act erweitert. HIPAA und HITECH umfassen eine Reihe von Normen auf der Ebene der Bundesstaaten, die den Schutz der Gesundheitsdaten betreffen. Diese Bestimmungen sind in den sogenannten Regeln zur „administrativen Vereinfachung“ enthalten. HIPAA und HITECH stellen Anforderungen hinsichtlich der Nutzung und Offenlegung von PHI, treffen geeignete Sicherheitsvorkehrungen zum Schutz der PHI, der individuellen Rechte und der administrativen Verantwortlichkeiten. Weitere Informationen darüber, wie HIPAA und HITECH Gesundheitsdaten schützen, finden Sie unter: http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

Die Health Information Trust Alliance oder HITRUST Common Security Framework (CSF), wie sie intern bezeichnet wird, „ist ein zertifizierbarer Rahmen, der Unternehmen einen umfassenden, flexiblen und effizienten Ansatz zur Compliance bei Vorschriften und Risikomanagement bietet. HITRUST CSF wurde in Zusammenarbeit mit Sicherheitsfachleuten aus dem Gesundheitswesen und dem IT-Bereich entwickelt und rationalisiert relevante Vorschriften und Normen aus dem Gesundheitswesen in einem übergreifenden Sicherheitsrahmen.“

Mit HITRUST CSF sollen Sicherheitskontrollen gemäß den Bundesgesetzen (beispielsweise HIPAA/HITECH), Bundesstaatengesetzen (beispielsweise Massachusetts), sowie Nichtregierungs-Institutionen (beispielsweise COBIT und PCI-DSS) in einem Rahmen vereinfachen, der speziell auf den Bedarf und die Nutzung im Gesundheitswesen zugeschnitten ist.

AWS bietet eine zuverlässige, skalierbare und kostengünstige Datenverarbeitungsplattform, die die Anwendungen von Kunden im Gesundheitswesen auf eine Weise unterstützen kann, die mit HIPAA, HITECH und HITRUST CSF übereinstimmt. Ein Beispiel: Einer unserer Kunden hat eine Umgebung in AWS erstellt, die erfolgreich im Hinblick auf die Compliance mit HIPAA/HITECH geprüft und für HITRUST zertifiziert wurde.

Gemäß dem „Health Insurance Portability and Accountability Act“ (HIPAA) ist ein „Geschäftspartner“ eine Person oder eine Einrichtung, die Funktionen oder Aktivitäten im Auftrag einer vom Gesetz erfassten Einrichtung ausführt oder für diese bestimmte Dienstleistungen bereitstellt und nicht von der vom Gesetz erfassten Einrichtung beschäftigt wird. Ein „Geschäftspartner“ bezeichnet auch einen Subunternehmer, der geschützte Gesundheitsdaten im Auftrag eines anderen Geschäftspartners erstellt, empfängt, pflegt oder überträgt. Gemäß den HIPAA-Bestimmungen sind Cloud-Service-Anbieter wie AWS Geschäftspartner. Die HIPAA-Vorschriften verlangen in der Regel, dass vom Gesetz erfasste Einrichtungen und Geschäftspartner Verträge abschließen, um sicherzustellen, dass die Geschäftspartner die Sicherheit der geschützten Gesundheitsdaten ordnungsgemäß gewährleisten. Die Geschäftspartnervereinbarung dient auch dazu, die erlaubten Nutzungen und Offenlegungen der geschützten Gesundheitsdaten durch den Geschäftspartner je nach der Beziehung zwischen den Parteien und den vom Geschäftspartner ausgeführten Aktivitäten oder Dienstleistungen gegebenenfalls zu klären und einzuschränken. AWS bezeichnet solche Verträge als Business Associate Addendums (Zusätze zu Geschäftspartnervereinbarungen).

Ja. AWS verfügt über ein standardmäßiges Business Associate Addendum, das wir den Kunden zur Unterschrift vorlegen. Darin werden die einzigartigen Dienstleistungen berücksichtigt, die AWS bereitstellt, und das Modell zur übergreifenden Verantwortlichkeit von AWS ausgeführt.

Sie können AWS Artifact zum Überprüfen, Akzeptieren und Verwalten des Status Ihres Business Associate Addendums (BAA) für Ihr Konto verwenden.

Es gibt keine HIPAA-Zertifizierung für einen Cloud-Anbieter wie AWS. Um die HIPAA-Anforderungen zu erfüllen, die auf unser Betriebsmodell anwendbar sind, richtet AWS sein HIPAA-Risikomanagementprogramm an FedRAMP und NIST 800-53 aus, einem höheren Sicherheitsstandard, der den HIPAA-Sicherheitsregeln entspricht. NIST unterstützt diese Ausrichtung und hat das Dokument SP 800-66 „An Introductory Resource Guide for Implementing the HIPAA Security Rule“ herausgegeben, in dem beschrieben wird, wie NIST 800-53 sich an den HIPAA-Sicherheitsregeln orientiert.

Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber sie dürfen Daten aus dem Gesundheitswesen nur in den in der Geschäftspartnervereinbarung festgelegten, für HIPAA geeigneten Services verarbeiten, speichern und übertragen. Auf der Seite Referenz zu Services, die unter die HIPAA-Bestimmungen fallen, finden Sie die aktuelle Liste der HIPAA-konformen Services. 

AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Durch die Nutzung dieser Services für die Speicherung und Verarbeitung von PHI können unsere Kunden und AWS die HIPAA-Anforderungen erfüllen, die auf unser nutzungsbasiertes Betriebsmodell anwendbar sind. AWS fügt je nach Bedarf des Kunden weitere geeignete Services hinzu und priorisiert diese.

Um weitere Informationen über unser Geschäftspartnerprogramm zu erhalten oder neue geeignete Services anzufordern, kontaktieren Sie uns bitte.

Nein. Dies ist ein gängiges Szenario und es gibt eine Vielzahl innovativer HIPAA-Lösungspartner, die ihre SaaS-Angebote in AWS ausführen: In diesem Fall erstellt jeder Gesundheitsdienstleister bzw. jede vom Gesetz erfasste Einrichtung nur eine Geschäftspartnervereinbarung mit dem SaaS-Partner und der SaaS-Partner unterzeichnet eine Geschäftspartnervereinbarung mit AWS. Wenn die vom Gesetz erfasste Einrichtung, die mit dem SaaS-Partner zusammenarbeitet, ebenso ein direkter Kunde von AWS für HIPAA-bezogene Systeme ist, braucht die vom Gesetz erfasste Einrichtung möglicherweise eine Geschäftspartnervereinbarung mit dem SaaS-Partner und eine weitere Geschäftspartnervereinbarung mit AWS.

Ab 15. Mai 2017 wird von AWS-Kunden und APN-Partnern, die ein Business Associate Addendum (BAA) mit AWS abgeschlossen haben, nicht mehr verlangt, Amazon EC2 Dedicated Instances oder Dedicated Hosts zu verwenden, um Protected Health Information (PHI) zu verarbeiten. Davor erforderte das AWS HIPAA Compliance-Programm, dass Kunden, die Protected Health Information (PHI) mithilfe von Amazon EC2 verarbeiten, Dedicated Instances oder Dedicated Hosts einsetzen. Diese Anforderung wurde gestrichen.