Bauen Sie Anwendungen, die sensible Gesundheitsinformationen speichern, bearbeiten und übertragen, konform Ihrer Privatsphäre- und Sicherheitsverpflichtungen.
Bei AWS haben Sicherheit und Datenschutz oberste Priorität
Für das Gesundheitswesen stellen wir eine Reihe von globalen Zertifikaten und Zulassungen (HIPAA, HITRUST, GDPR und andere) zur Verfügung, die es Ihnen erlauben sehr sensible Daten in der Cloud zu speichern, zu bearbeiten und zu übertragen und Ihr Sicherheits- und Compliance-Niveau zu verbessern.
Rollen und Zuständigkeiten
Ihre Daten, bei AWS gespeichert, bleiben Ihre Daten. Unser geteiltes Sicherheitsmodel versichert den Besitz und die Kontrolle über Ihre Daten zu jeder Zeit. Wir bieten einen starken Satz an Lösungen, um Gesundheitsdaten zu schützen und schnell zugänglich zu machen. AWS bietet Zugriff auf mehr als 130 HIPAA-fähige Diensten sowie zahlreiche Zertifizierungen für branchenrelevante globale IT- und Compliance-Standards, einschließlich Unterstützung für GDPR, HITRUST, ENS High, HDS und C5. Mit zwei mal so vielen Availability Zones als jeder andere Cloud-Dienstleister, können Gesundheitsorganisationen von der Größe und Verlässlichkeit der AWS Cloud profitieren.
AWS und Datenschutz
AWS nimmt Datenschutz sehr ernst, und in diesem Sinne ist es AWS ein Anliegen, das Vertrauen seiner Kunden zu behalten. Nur der Kunde selbst kann den Zugriff auf seine Services und Inhalte verwalten. Wir greifen niemals auf Kundeninhalte zu oder verwenden diese, ohne den Benutzer vorher um Erlaubnis gebeten zu haben. Der Kunde selbst wählt die Regionen aus, in denen seine Inhalte gespeichert werden. Wir verschieben niemals Inhalte weg von den gewählten Regionen des Kunden oder replizieren diese an anderer Stelle, ohne Erlaubnis des Kunden.
Gemeinsame Verantwortung
Zu wissen, wie Anwendungen für das Gesundheitswesen in AWS entwickelt werden, heißt, das Modell der gemeinsamen Verantwortung zu verstehen. In der AWS Cloud sind AWS und der Kunde verantwortlich für die Sicherheit. Das bedeutet, dass bestimmte Aspekte der Sicherheit (wie die physische Sicherheit der zugrunde liegenden Infrastruktur) nun in den Verantwortungsbereich von AWS fallen. Nach wie vor trägt der Kunde jedoch Verantwortung für andere Aspekte der Sicherheit (wie die Sicherheitsvorkehrungen für den Schutz Ihrer Anwendungen) nicht anders als Anwendungen, die in einem herkömmlichen Rechenzentrum ausgeführt werden.
AWS Compliance im Gesundheitswesen / Frameworks
- AWS-Compliance-Zertifizierungen zeigen die „Sicherheit der Cloud“ und die Effektivität der AWS-Kontrollen im Betrieb. Die Kunden sind für die Sicherheit in der Cloud verantwortlich.
- Kunden erben die Compliance-Zertifizierungen und können sie benutzen, um Prüfern und Regulatoren ihren Anteil an der Compliance zu demonstrieren.
Compliance-Zertifizierungen und -Bescheinigungen werden von einem externen, unabhängigen Prüfer bewertet. Anschließend wird eine Zertifizierung, ein Prüfbericht oder eine Compliance-Bescheinigung ausgestellt.
AWS-Kunden sind weiterhin dafür verantwortlich, geltende Compliance-Gesetze und -Vorschriften einzuhalten. In einigen Fällen bietet AWS bestimmte Funktionen (z. B. Sicherheitsfunktionen), Assistenten und rechtliche Vereinbarungen (z. B. die AWS-Vereinbarung zur Datenverarbeitung und Business Associate Addendum) zur Compliance-Unterstützung für Kunden an.
Im Rahmen dieser Gesetze und Vorschriften ist keine formelle Zertifizierung für einen Cloud-Serviceanbieter verfügbar, noch kann eine solche von diesem vergeben werden.
Compliance-Harmonisierungen und -Frameworks enthalten veröffentlichte Sicherheits- oder Compliance-Anforderungen für einen bestimmten Zweck, beispielsweise eine bestimmte Branche oder Funktion. AWS bietet bestimmte Funktionen (z. B. Sicherheitsfunktionen) und Assistenten (einschließlich Compliance-Leitfäden, Mapping-Dokumenten und Whitepapers) für diese Arten von Programmen an.
Es ist wichtig, das Modell der geteilten Verantwortlichkeit zu erwähnen, wenn man über gesetzliche Vorschriften redet. AWS bringt modernste Technologien ein, durchläuft nach Möglichkeit die branchenüblichen Zertifizierungen und Bescheinigungen sowohl global als auch regional und richtet sich an Branchenrahmen aus, um die konforme Implementierung von AWS-Services für die Einhaltung der Gesundheits-Compliance zu erleichtern. Unter dem Dach des Modells der geteilten Verantwortung können Kunden die Compliance-Kontrollen und -Fähigkeiten übernehmen, um die Anforderungen der Compliance im Gesundheitswesen in dieser Region zu erfüllen.
Die Informationen unten zeigen die repräsentativen Zertifikate, Gesetze im Gesundheitswesen und relevanten Frameworks.
Wichtige Zertifizierungen und Bescheinigungen
ISO 9001
ISO 27001, 27017, 27018
SOC 1, 2, 3
PCI DSS Level 1
FedRAMP
Cyber Essentials Plus
DoD SRG
Gesetze im Gesundheitswesen – Regulierungen und Privatsphäre
DSGVO
HIPAA
HITECH
PDPA-2012 (Singapur)
PIPEDA (Kanada)
Privacy Act (Australien)
PDPA – 2010 (Malaysia)
Wichtige Harmonisierungen und Frameworks
Cloud Security Alliance (CSA)
EU-US Privacy Shield
NIST
BioPhorum IT-Kontrollen
USA
AWS und FedRAMP
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm zur Standardisierung der Sicherheitsprüfung, Autorisierung und laufenden Überwachung von Cloud-Produkten und -Services. FedRAMP ist für alle US-amerikanischen Bundesbehörden wie auch für alle Cloud-Services einschließlich des Gesundheitsministeriums der USA Gesundheitsministerium (U.S. Department of Health and Human Services).
Zwei getrennte FedRAMP-Agenturen wurden autorisiert, eine für die Region AWS GovCloud (USA) und die andere für die AWS-Regionen USA Ost und USA West.
AWS und HITRUST-Compliance
HITRUST CSF (Cloud Security Framework) fasst die Sicherheitskontrollen zusammen, basierend auf US-amerikanischen Bundesgesetzen (wie HIPAA und HITECH), bundesstaatlichen Gesetzen (wie Massachusetts Standards für den Schutz persönlicher Informationen der Einwohner des Commonwealth) und anerkannter nicht-staatlicher Compliance-Standards (z. B. PCI DSS), zu einem gemeinsamen Rahmenwerk speziell für das Gesundheitswesen.
Ein genehmigter HITRUST-CSF-Gutachter hat bestätigt, dass bestimmte AWS-Services im Rahmen des Programms HITRUST-CSF-Assurance die Zertifizierungskriterien HITRUST CSF v9.3 erfüllen.
Kunden können jeden beliebigen AWS-Service in einem Konto verwenden, das als HIPAA-Konto definiert wurde, aber dürfen geschützte Gesundheitsinformationen (protected health information (PHI)) nur mit HIPAA-konformen Diensten verarbeiten, speichern und übertragen.
AWS, HIPAA und HITECH Compliance
Der Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 ist ein US-amerikanisches Gesetz, das Angestellten in den USA die Beibehaltung ihres Krankenversicherungsschutzes bei einem Verlust oder Wechsel ihres Arbeitsplatzes erleichtern soll. Das Gesetz soll auch den Gebrauch elektronischer Gesundheitsdaten fördern, um die Effizienz und Qualität des US-amerikanischen Gesundheitssystems durch besseren Datenaustausch zu verbessern.
Die HIPAA-Regeln wurden im Jahr 2009 durch den Health Information Technology for Economic and Clinical Health Act (HITECH) ergänzt. HIPAA und HITECH definieren gemeinsam eine Reihe von bundeseinheitlichen Standards, die der Sicherheit und Privacy geschützter Gesundheitsinformationen (PHI) dienen. Diese Bestimmungen sind in den sogenannten Regeln zur „administrativen Vereinfachung“ enthalten. HIPAA und HITECH stellen Anforderungen hinsichtlich der Nutzung und Offenlegung von PHI, treffen geeignete Sicherheitsvorkehrungen zum Schutz der PHI, der individuellen Rechte und der administrativen Verantwortlichkeiten.
Kanada
Personal Information Protection and Electronic Documents Act (PIPEDA, Gesetz über den Schutz persönlicher Daten und elektronischer Dokumente)
Der Personal Information Protection and Electronic Documents Act (PIPEDA), ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt.
Der Health Information Act (HIA) ist das Datenschutzgesetz in Alberta zur Erfassung, Nutzung, Offenlegung und zum Schutz von Gesundheitsdaten, die in Gewahrsam oder unter der Kontrolle eines Verwalters sind.
In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung.
Gesetz zum Schutz personenbezogener Gesundheitsdaten (PHIPA) (Ontario)
Das Gesetz zum Schutz personenbezogener Gesundheitsdaten (PHIPA) ist ein Datenschutzgesetz der Provinz Ontario, das die Erfassung, Verwendung und Offenlegung von persönlichen Gesundheitsdaten im Rahmen der Bereitstellung oder Erleichterung von Gesundheitsdienstleistungen betrifft.
Vereinigtes Königreich
Gesundheit und Sozialleistungen Cloud Security – Leitfaden Bewährte Verfahren
DerGesundheit und Sozialleistungen Cloud Security – Leitfaden Bewährte Verfahren wurde zusammen von NHS Digital, NHS England, dem Gesundheits und Sozialministerium und NHS Improvement geschrieben.
In diesem Leitfaden werden die Sicherheitsvorkehrungen erläutert, die getroffen werden müssen, damit Gesundheits- und Sozialpflegeorganisationen Gesundheits- und Sozialpflegedaten sicher finden können, einschließlich vertraulicher Patienteninformationen in der öffentlichen Cloud, einschließlich Lösungen, die Verlegung von Daten ins Ausland nutzen.
AWS ermöglicht die Compliance durch die Klassifizierung von Workloads, die in AWS bereitgestellt werden und unterstützt sie durch die Implementierung klassenspezifischer Kontrollen. Das Whitepaper „Die Nutzung von AWS im Rahmen der Cloud-Sicherheitsrichtlinien des NHS“ enthält detaillierte Risikomanagementaktivitäten, die Organisationen durchführen müssen, die hauptsächlich technische Maßnahmen umfassen, die dem erforderlichen Sicherheitsniveau entsprechen.
Frankreich
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé (HDS) – Die von der französischen Gesundheitsbehörde „Agence du Numérique en Santé" (ANS) eingeführte HDS-Zertifizierung (Hébergeur de Données de Santé) soll die Sicherheit und den Schutz von personenbezogenen Gesundheitsdaten stärken.
Für die HDS-Zertifizierung muss ein IT-Anbieter nach ISO 27001 zertifiziert sein. Das bedeutet, dass die Dienste, die von unserer ISO-27001-Zertifizierung abgedeckt sind, in den Geltungsbereich von HDS fallen. Die AWS-Services, die im Geltungsbereich der ISO/IEC-27001:2013-Zertifizierung liegen, finden Sie auf der Webseite zur ISO-Zertifizierung.
Deutschland
DIGAV Compliance
DiGAV wurde im April 2020 eingeführt, um die Digitalisierung des deutschen Gesundheitssytems zu unterstützen. DiGAV ermöglicht es bestimmte Anwendungen im Gesundheitswesen anzuerkennen, deren Kosten innerhalb des deutschen Krankenversicherungssystem erstattet werden. Aber, um den Bestimmungen zu entsprechen und für die Kostenerstattung durch DiGAV in Frage zu kommen, müssen Organisationen beweisen, dass ihre Anwendungen den DiGAV-Anforderungen an den Datenschutz entsprechen. Dies beinhaltet, dass personenbezogene Daten nur innerhalb der European Economic Area (EEA) oder einem Land mit einem entsprechenden Beschluss der Europäischen Kommission unter Artikel 45 der EU General Data Protection (GDPR) verarbeitet werden.
AWS stellt eine Reihe brancheführender Tools zur Verfügung, die Kunden unterstützen bei der Beachtung lokaler Regeln und gesetzlicher Anforderungen, inklusive dem Deutschen Digitale-Versorgung-Gesetz (DVG) und der angeschlossenen Digitale Gesundheitsanwendungen-Verordnung (DiGAV), wenn sie Gesundheits-Workloads in die Cloud laden.
Japan
Gesetz zum Schutz personenbezogener Daten (APPI)
Das Gesetz zum Schutz personenbezogener Daten (Act of the Protection of Personal Information, APPI) ist die wichtigste Gesetzgebung, die sich mit personenbezogenen Daten in Japan befasst.
Die APPI gilt für alle Unternehmer (natürliche und juristische Personen), die mit personenbezogenen Daten umgehen. Die APPI unterscheidet auch zwischen persönlichen Informationen und persönlichen Daten (die die APPI als persönliche Informationen definiert, die Teil einer Datenbank mit persönlichen Informationen sind). Die Verpflichtungen der Unternehmer variieren je nachdem, ob die Unternehmer personenbezogene Informationen oder Daten erwerben, verwenden oder bereitstellen.
AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen für Dienste in der AWS Cloud-Infrastruktur unter weltweit anerkannten Frameworks und Zertifizierungen zur Qualitätssicherung wie ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Inhalten von Kunden verhindern, wurden von unabhängigen Prüfern validiert.
Singapur
Gesetz zum Schutz personenbezogener Daten 2012 (PDPA)
Das Gesetz zum Schutz personenbezogener Daten 2012 (PDPA) gilt für den Schutz personenbezogener Daten in Singapur, auch bezüglich der internationalen Übertragung von diesen Daten zum Zweck der Verarbeitung. Das PDPA regelt die Erfassung, Nutzung, Offenlegung und den Schutz personenbezogener Daten.
AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen für Dienste in der AWS-Cloud-Infrastruktur unter weltweit anerkannten Frameworks und Zertifizierungen zur Qualitätssicherung wie ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Inhalten von Kunden verhindern, wurden von unabhängigen Prüfern validiert.
AWS unterstützt viele Gesundheitsorganisationen weltweit, indem es die Technologie bereitstellt, die erforderlich ist, um mit der erforderlichen Geschwindigkeit vorzugehen, um eine Wirkung zu erzielen – von der Nutzung des Austauschs medizinischer Daten zur Diagnose zuvor unbekannter Krankheiten bis zur Identifizierung neuer Viren zur Verhinderung einer weiteren Pandemie und vieler anderer wichtiger Funktionen – alles und ermöglichen es Kunden, die höchsten Sicherheits- und Compliance-Anforderungen zu erfüllen. Ein Beispiel ist das Integrated Health Information Systems (IHiS) in Singapur. Diese Behörde, die dafür verantwortlich ist, dem öffentlichen Gesundheitsdienst in Singapur die nötigen Technologien zur Verfügung zu stellen, wandte sich an AWS, um sein IT-System für die Impfungen auf sichere Weise zu vergrößern, um in kürzester Zeit signifikant mehr Leistungen zu erbringen, von anfangs 8 000 täglichen Impfungen zu einer Spitzenleistung von 80 000 täglichen Impfungen innerhalb
von vier Wochen.
Erste Schritte
