Compliance in der Cloud

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm zur Standardisierung der Sicherheitsprüfung, Autorisierung und laufenden Überwachung von Cloud-Produkten und -Services. FedRAMP ist für alle US-amerikanischen Bundesbehörden wie auch für alle Cloud-Services einschließlich des Gesundheitsministeriums der USA Gesundheitsministerium (U.S. Department of Health and Human Services).

 Zwei getrennte FedRAMP-Agenturen wurden autorisiert, eine für die Region AWS GovCloud (USA) und die andere für die AWS-Regionen USA Ost und USA West.

HITRUST CSF (Cloud Security Framework) fasst die Sicherheitskontrollen zusammen, basierend auf US-amerikanischen Bundesgesetzen (wie HIPAA und HITECH), bundesstaatlichen Gesetzen (wie Massachusetts Standards für den Schutz persönlicher Informationen der Einwohner des Commonwealth) und anerkannter nicht-staatlicher Compliance-Standards (z. B. PCI DSS), zu einem gemeinsamen Rahmenwerk speziell für das Gesundheitswesen.

Ein genehmigter HITRUST-CSF-Gutachter hat bestätigt, dass bestimmte AWS-Services im Rahmen des Programms HITRUST-CSF-Assurance die Zertifizierungskriterien HITRUST CSF v9.3 erfüllen.

Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber dürfen geschützte Gesundheitsinformationen (protected health information (PHI)) nur mit HIPAA-konformen Diensten verarbeiten, speichern und übertragen.

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein Gesetz, das es Arbeitnehmern in den USA erleichtern soll, ihren Krankenversicherungsschutz aufrechtzuerhalten, wenn sie ihren Arbeitsplatz wechseln oder verlieren. Das Gesetz soll auch den Gebrauch elektronischer Gesundheitsdaten fördern, um die Effizienz und Qualität des US-amerikanischen Gesundheitssystems durch besseren Datenaustausch zu verbessern.

Der Health Information Technology for Economic and Clinical Health Act (HITECH) erweiterte 2009 die HIPAA-Regeln. HIPAA und HITECH definieren gemeinsam eine Reihe von bundeseinheitlichen Standards, die der Sicherheit und Privacy geschützter Gesundheitsinformationen (PHI) dienen. Diese Bestimmungen sind in den sogenannten Regeln zur „administrativen Vereinfachung“ enthalten. HIPAA und HITECH stellen Anforderungen hinsichtlich der Nutzung und Offenlegung von PHI, treffen geeignete Sicherheitsvorkehrungen zum Schutz der PHI, der individuellen Rechte und der administrativen Verantwortlichkeiten.

Die US Food and Drug Administration (FDA) hat 21 CFR Teil 11 eingeführt – Vorschriften zu elektronischen Aufzeichnungen und elektronischen Signaturen. 21 CFR Teil 11 gilt für biowissenschaftliche Industrien, die unter den Federal Food, Drug, and Cosmetic Act, den Public Health Service Act oder eine andere FDA-Vorschrift als Teil 11 fallen. Diese werden zusammen als „Prädikatsregeln“ bezeichnet. Im Wesentlichen gilt Teil 11, wenn der betreffende Datensatz als Grundlage dient.

Lesen Sie mehr:

• Datenintegrität und Einhaltung der CGMP-Richtlinien für Arzneimittel Fragen und Antworten Leitfaden für die Industrie
  
• Teil 11, Elektronische Aufzeichnungen; Elektronische Signaturen – Umfang und Anwendung
  
• GxP Systems auf AWS

Die Aufsichtsbehörden auf der ganzen Welt befassen sich weiterhin mit Fragen der Datenintegrität in der Life-Science-Branche. Die FDA hat einen Leitfaden zur Datenintegrität veröffentlicht, um Life-Science-Organisationen Klarheit zu verschaffen, damit die Probleme/Bedenken proaktiv angegangen werden können.

Weitere Informationen »

Der Personal Information Protection and Electronic Documents Act (PIPEDA), ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt.

Der Health Information Act (HIA) ist das Datenschutzgesetz in Alberta zur Erfassung, Nutzung, Offenlegung und zum Schutz von Gesundheitsdaten, die in Gewahrsam oder unter der Kontrolle eines Verwalters sind.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung.

Das Gesetz zum Schutz personenbezogener Gesundheitsdaten (PHIPA) ist ein Datenschutzgesetz der Provinz Ontario, das die Erfassung, Verwendung und Offenlegung von persönlichen Gesundheitsdaten im Rahmen der Erbringung oder Erleichterung von Gesundheitsdienstleistungen betrifft.

DerGesundheit und Sozialleistungen Cloud Security – Leitfaden Bewährte Verfahren wurde zusammen von NHS Digital, NHS England, dem Gesundheits und Sozialministerium und NHS Improvement geschrieben.

In diesem Leitfaden werden die Sicherheitsvorkehrungen erläutert, die getroffen werden müssen, damit Gesundheits- und Sozialpflegeorganisationen Gesundheits- und Sozialpflegedaten sicher finden können, einschließlich vertraulicher Patienteninformationen in der öffentlichen Cloud, einschließlich Lösungen, die Verlegung von Daten ins Ausland nutzen.

AWS ermöglicht die Compliance durch die Klassifizierung von Workloads, die in AWS bereitgestellt werden und unterstützt sie durch die Implementierung klassenspezifischer Kontrollen. Das Whitepaper „Die Nutzung von AWS im Rahmen der Cloud-Sicherheitsrichtlinien des NHS“ enthält detaillierte Risikomanagementaktivitäten, die Organisationen durchführen müssen, die hauptsächlich technische Maßnahmen umfassen, die dem erforderlichen Sicherheitsniveau entsprechen.

Die MHRA widmet der Datenintegrität weiterhin größere Aufmerksamkeit. Der zunehmende Einsatz von elektronischer Datenerfassung, die Automatisierung von Systemen und die Nutzung von Remote-Technologien haben die Komplexität der Lieferketten und Arbeitsweisen erhöht – was auch die Nutzung von Drittanbietern einschließt. Die MHRA hat den Leitfaden zur Datenintegrität veröffentlicht, um für mehr Klarheit zu sorgen und Erwartungen an die Life-Science-Industrie zu formulieren, um die Einhaltung der Datenintegrität zu gewährleisten.

Weitere Informationen »

Hébergeur de Données de Santé (HDS) – Die von der französischen Gesundheitsbehörde „Agence du Numérique en Santé" (ANS) eingeführte HDS-Zertifizierung (Hébergeur de Données de Santé) soll die Sicherheit und den Schutz von personenbezogenen Gesundheitsdaten stärken.

Für die HDS-Zertifizierung muss ein IT-Anbieter nach ISO 27001 zertifiziert sein. Das bedeutet, dass die Dienste, die von unserer ISO-27001-Zertifizierung abgedeckt sind, in den Geltungsbereich von HDS fallen. Die AWS-Services, die im Geltungsbereich der ISO/IEC-27001:2013-Zertifizierung liegen, finden Sie auf der Webseite zur ISO-Zertifizierung.  

Datenintegrität ist nach wie vor weltweit ein wichtiges Thema. Die EMA – Europäische Arzneimittelagentur – hat einen neuen Leitfaden zur Gewährleistung der Datenintegrität veröffentlicht, der sich auf die Daten bezieht, die bei der Prüfung, Herstellung, Verpackung, Verteilung und Überwachung von Arzneimitteln anfallen.

Lesen Sie mehr:  

• GxP Systems auf AWS
  

DiGAV wurde im April 2020 eingeführt, um die Digitalisierung des deutschen Gesundheitssytems zu unterstützen. DiGAV ermöglicht es bestimmte Anwendungen im Gesundheitswesen anzuerkennen, deren Kosten innerhalb des deutschen Krankenversicherungssystem erstattet werden. Aber, um den Bestimmungen zu entsprechen und für die Kostenerstattung durch DiGAV in Frage zu kommen, müssen Organisationen beweisen, dass ihre Anwendungen den DiGAV-Anforderungen an den Datenschutz entsprechen. Dies beinhaltet, dass personenbezogene Daten nur innerhalb der European Economic Area (EEA) oder einem Land mit einem entsprechenden Beschluss der Europäischen Kommission unter Artikel 45 der EU General Data Protection (GDPR) verarbeitet werden.

AWS stellt eine Reihe brancheführender Tools zur Verfügung, die Kunden unterstützen bei der Beachtung lokaler Regeln und gesetzlicher Anforderungen, inklusive dem Deutschen Digitale-Versorgung-Gesetz (DVG) und der angeschlossenen Digitale Gesundheitsanwendungen-Verordnung (DiGAV), wenn sie Gesundheits-Workloads in die Cloud laden.

Datenintegrität ist nach wie vor weltweit ein wichtiges Thema. Die EMA – Europäische Arzneimittelagentur – hat einen neuen Leitfaden zur Gewährleistung der Datenintegrität veröffentlicht, der sich auf die Daten bezieht, die bei der Prüfung, Herstellung, Verpackung, Verteilung und Überwachung von Arzneimitteln anfallen.

Lesen Sie mehr:  

• GxP Systems auf AWS
  

Das Gesetz zum Schutz personenbezogener Daten (Act of the Protection of Personal Information, APPI) ist die wichtigste Gesetzgebung, die sich mit personenbezogenen Daten in Japan befasst.

Die APPI gilt für alle Unternehmer (natürliche und juristische Personen), die mit personenbezogenen Daten umgehen. Die APPI unterscheidet auch zwischen persönlichen Informationen und persönlichen Daten (die die APPI als persönliche Informationen definiert, die Teil einer Datenbank mit persönlichen Informationen sind). Die Verpflichtungen der Unternehmer variieren je nachdem, ob die Unternehmer personenbezogene Informationen oder Daten erwerben, verwenden oder bereitstellen.

AWS implementiert und unterhält technische und organisatorische Sicherheitsmaßnahmen, die für AWS-Cloud-Infrastrukturdienste gelten, im Rahmen weltweit anerkannter Sicherheitsrahmen und Zertifizierungen, einschließlich ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Kundeninhalten verhindern, wurden von unabhängigen Prüfgesellschaften validiert.

Das Gesetz zum Schutz personenbezogener Daten 2012 (PDPA) gilt für den Schutz personenbezogener Daten in Singapur, auch bezüglich der internationalen Übertragung von diesen Daten zum Zweck der Verarbeitung. Das PDPA regelt die Erfassung, Nutzung, Offenlegung und den Schutz personenbezogener Daten.

AWS implementiert und unterhält technische und organisatorische Sicherheitsmaßnahmen, die für AWS-Cloud-Infrastrukturdienste gelten, im Rahmen weltweit anerkannter Sicherheitsrahmen und Zertifizierungen, einschließlich ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Inhalten von Kunden verhindern, wurden von unabhängigen Prüfern validiert.

AWS unterstützt viele Gesundheitsorganisationen weltweit, indem es die Technologie bereitstellt, die erforderlich ist, um mit der erforderlichen Geschwindigkeit vorzugehen, um eine Wirkung zu erzielen – von der Nutzung des Austauschs medizinischer Daten zur Diagnose zuvor unbekannter Krankheiten bis zur Identifizierung neuer Viren zur Verhinderung einer weiteren Pandemie und vieler anderer wichtiger Funktionen – alles und ermöglichen es Kunden, die höchsten Sicherheits- und Compliance-Anforderungen zu erfüllen. Ein Beispiel ist das Integrated Health Information Systems (IHiS) in Singapur. Diese Behörde, die dafür verantwortlich ist, dem öffentlichen Gesundheitsdienst in Singapur die nötigen Technologien zur Verfügung zu stellen, wandte sich an AWS, um sein IT-System für die Impfungen auf sichere Weise zu vergrößern, um in kürzester Zeit signifikant mehr Leistungen zu erbringen, von anfangs 8 000 täglichen Impfungen zu einer Spitzenleistung von 80 000 täglichen Impfungen innerhalb
von vier Wochen.