Sie können mit AWS empfindliche Workloads ausführen, für die der US-amerikanische Health Insurance Portability and Accountability Act (HIPAA) gilt. Wenn Sie vorhaben, persönliche Gesundheitsdaten (Protected Health Information, PHI, gemäß HIPAA-Definition) in AWS-Services einzuschließen, müssen Sie zunächst die Ergänzung des AWS-Geschäftspartnervertrags (AWS BAA) akzeptieren. Sie können den Status Ihres AWS BAA über ein Selbstbedienungsportal in AWS Artifact durchsehen, akzeptieren und prüfen.
Mit Anwendungen im Gesundheitswesen kann jeder AWS-Service genutzt werden. Nur Services, die im AWS BAA erfasst sind, können allerdings auch zum Speichern, Verarbeiten und Übertragen von persönlichen Gesundheitsdaten verwendet werden, die nach HIPAA geschützt sind.
Aktuelle Liste der Services anzeigen, die im AWS BAA erfasst sind »
Das Verwenden von AWS für HIPAA-Anwendungen bedeutet das Befolgen einiger allgemeiner Strategien, wie zum Beispiel:
- Entkoppeln geschützter Daten von der Verarbeitung/Orchestrierung
- Nachverfolgen, wohin Daten unter Verwendung der Automatisierung fließen
- Einrichten logischer Grenzen zwischen geschützten und allgemeinen Workflows
Beispiele für häufige Architekturmuster finden Sie unten. Es wird dringend empfohlen, sich vor der Implementierung an AWS oder Ihre interne Compliance-Abteilung zu wenden.
Beispiel 1: Separate Amazon Virtual Private Clouds (VPC) für PHI- und Nicht-PHI-Daten. Die rechte VPC wird zum Testen einer mobilen App verwendet, während die linke VPC PHI speichert und verarbeitet. PHI fließen nicht von der linken in die rechte VPC. Hinweis: Die linke VPC muss so konstruiert werden, dass sie unserer HIPAA-Richtlinie entspricht.
Beispiel 2: Umwegsstrategie. Wenn ein neues Objekt, das PHI enthält, mittels S3 Transfer Acceleration in S3 geschrieben wird, weist ein S3-Trigger AWS Lambda an, die entsprechenden Metadaten in eine Amazon SQS-Warteschlange zu schreiben. Ein auf Amazon EC2 ausgeführter Service fragt die SQS-Warteschlange ab und ruft die PHI-Daten aus S3 ab, wenn neue Daten verfügbar sind. Eine zweite Lambda-Funktion löst eine mobile Warnung aus, die angibt, dass die Datenverarbeitung begonnen hat. In diesem Beispiel werden die PHI-Daten nur mit S3 und EC2 gespeichert, verarbeitet und übermittelt. Lambda und SQS werden nur eingesetzt, um die Services aufeinander abzustimmen oder um Benachrichtigungen zu senden, wenn Aufgaben gestartet werden müssen.
Wir unterstützen Sie mit Beratung durch unsere Vertriebs- und Architekturorganisation, aber Sie können auch gleich heute mit einem Pilotprojekt beginnen.