Geschützte Gesundheitsinformationen (Protected Health Information, PHI) sind eine bestimmte Art von persönlich identifizierbaren Informationen (PII), die sich auf medizinische Aufzeichnungen sowie auf alle vergangenen, gegenwärtigen oder zukünftigen Informationen über die körperliche oder geistige Gesundheit einer Person beziehen. Diese spezielle Art von PII fällt unter den Health Insurance Portability and Accountability Act von 1996 (HIPAA), ein Bundesgesetz, das sensible Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen schützt.
Wer und was ist vom HIPAA betroffen?
Zu den Arten von PHI, die unter den HIPAA fallen, gehören verschiedene Arten von sensiblen Daten. Dazu gehören personenbezogene Daten, die eine Identifizierung der Person ermöglichen, wie z. B. Namen, Sozialversicherungsnummern und Telefonnummern, sowie spezifische medizinische Daten wie Arztausweise und Krankenakten, aber auch damit zusammenhängende Finanzdaten, wie z. B. PCI-Daten (Payment Card Industry) wie Kreditkartennummern.
Alle Einrichtungen und Unternehmen in den Vereinigten Staaten, die PHI erstellen, verarbeiten, speichern, übertragen oder auch nur berühren, sind verpflichtet, die Vorschriften des HIPAA einzuhalten und sich regelmäßigen Audits zu unterziehen. Dazu gehören Gesundheitsdienstleister, Gesundheitspläne, Clearingstellen für das Gesundheitswesen, aber auch alle Geschäftspartner, die z. B. an der Bearbeitung von Forderungen, der Rechnungsstellung oder der Datenanalyse beteiligt sind. Daher gilt HIPAA auch für viele Organisationen, die nicht direkt als Teil des Gesundheitswesens betrachtet werden.
Das HIPAA-Gesetz erlaubt die Offenlegung von PHI ohne die Zustimmung des Patienten nur in bestimmten Fällen, z. B. zu Zwecken der Behandlung, der Bezahlung, der Forschung (begrenzter Datensatz) oder des öffentlichen Interesses. Aufgrund dieser strengen Beschränkungen und der großen Reichweite sind PHI eine der Arten von PII, die am meisten geschützt werden müssen. Und da die meisten Informationen heutzutage nicht mehr in Papierform, sondern in elektronischer Form gespeichert werden, sind es die elektronischen PHI (ePHI), die im Mittelpunkt des HIPAA stehen.
Beachten Sie, dass der HIPAA zwar ein Gesetz ist, das nur für die Vereinigten Staaten gilt, dass es aber auch in anderen Regionen einschlägige Vorschriften für die gleiche Art von Daten gibt, z. B. in Europa die Allgemeine Datenschutzverordnung (GDPR).
Die schwerwiegenden Folgen von HIPAA-Verstößen
Die Strafen für Verstöße gegen den HIPAA gelten sowohl für Einzelpersonen als auch für Organisationen. Es kann sich um zivilrechtliche Verstöße handeln, die zwischen 100 und 25.000 US-Dollar (bei mehrfachem Missbrauch) liegen, oder um strafrechtliche Verstöße, die zwischen 50.000 und maximal 250.000 US-Dollar betragen und mit einer Entschädigungszahlung an die Opfer und einer möglichen Gefängnisstrafe einhergehen. Diese Zahlen sind nur die Spitze des Eisbergs, denn eine Datenschutzverletzung verursacht auch enorme Kosten für die Behebung des Problems und potenzielle Geschäftsverluste. Im Jahr 2021 wurden die durchschnittlichen Kosten einer HIPAA-bezogenen Datenschutzverletzung auf 9,42 Millionen US-Dollar geschätzt.
Daher hat der Schutz von PHI vor Diebstahl und Datenlecks für jede Einrichtung, die unter den HIPAA fällt, absolute Priorität, sowohl für die Sicherheit der Einrichtung selbst als auch für die ihrer Mitarbeiter. Die meisten Unternehmen, die mit personenbezogenen Daten jeglicher Art zu tun haben, sollten sich vergewissern, dass sie den HIPAA einhalten müssen.
DLP hilft, PHI vor HIPAA und mehr zu schützen
Eine der Regeln des HIPAA-Gesetzes ist die so genannte Security Rule. Sie listet die Schutzmaßnahmen für die Vertraulichkeit, Integrität und Verfügbarkeit von PHI auf. Organisationen, die unter den HIPAA fallen, müssen sich beispielsweise gegen eine vernünftigerweise zu erwartende, unzulässige Verwendung oder Weitergabe von PHI schützen. Eine der besten Möglichkeiten, elektronische PHI vor solchen unzulässigen Verwendungen oder Offenlegungen zu schützen, ist der Einsatz von Data Loss Prevention-Lösungen (DLP).
DLP-Lösungen wie Endpoint Protector helfen Unternehmen dabei, PHI auf eine Weise zu schützen, wie es keine andere Software oder systematische Lösung kann. DLP sollte zwar Teil einer umfassenden Sicherheitsrichtlinie sein, die auch andere Arten von Tools umfasst, die beispielsweise den unbeabsichtigten Zugriff auf PHI über Schwachstellen im Internet oder bösartige Software verhindern, aber jedes Sicherheitssystem, das keine DLP-Lösung enthält, hinterlässt eine große Lücke in der Datensicherheit.
Hier sind vier Hauptanwendungsfälle, in denen DLP-Lösungen die einzige Lösung sind, die die Sicherheitsregel des HIPAA erfüllen kann.
- Verhinderung der versehentlichen Offenlegung von PHI über unsichere Kanäle
Organisationen, die unter den HIPAA fallen, erlauben einigen ihrer Mitarbeiter den Zugriff auf sensible Patientendaten. Ein einfaches Beispiel wäre ein Endbenutzer, der im Kundendienst arbeitet und ein mit Facebook Messenger verbundenes Online-Chat-System verwendet, um individuelle Anfragen in Echtzeit zu beantworten. Ein Patient könnte zum Beispiel einige Informationen über sich selbst anfordern, und der Mitarbeiter könnte einen Fehler machen, indem er Patientendaten angibt, ohne die Identität der Person zu überprüfen, die die Anfrage stellt. Dies könnte eine potenzielle Verletzung des HIPAA darstellen.Professionelle DLP-Software verhindert solche Fälle auf verschiedene Weise. Erstens hilft sie dem Mitarbeiter, Daten zu identifizieren, die als PII gelten (automatische Datenklassifizierung). Zweitens verhindert sie, dass der Mitarbeiter solche Daten über die Funktionen des Betriebssystems in unsichere Kanäle wie Facebook Messenger, Microsoft Outlook oder sogar ein lokales Chat-System oder ein Webinar-Tool kopiert und einfügt. Dies dient dem Schutz sowohl des Mitarbeiters, der einen einfachen Fehler machen könnte, als auch der Organisation selbst und vor allem des Patienten. - Vermeidung des Verlusts von PHI bei unsicherem Transport
Während die meisten High-Tech-Organisationen Daten zwischen Systemen und Standorten über sichere elektronische Kanäle und Netze übertragen, sind viele Gesundheitssysteme noch in alten Mustern verhaftet, verwenden Software von vor vielen Jahren und Systeme, die in keiner Weise miteinander verbunden sind. Daher kommt es im Gesundheitswesen häufig vor, dass Daten mit leicht veralteten Mitteln übertragen werden, z. B. indem sie auf einen USB-Stick kopiert und physisch zu einem anderen System gebracht werden. Wenn solche Arbeitsabläufe PHI enthalten und nicht gesichert sind (verschlüsselt und passwortgeschützt), stellen sie eine Verletzung des HIPAA dar.Dies ist ein weiterer Bereich, in dem DLP-Sicherheitslösungen Organisationen im Gesundheitswesen bei der Einhaltung des HIPAA helfen. DLP-Richtlinien können das Kopieren automatisch klassifizierter PHI auf externe Medien unmöglich machen oder die Verschlüsselung solcher Informationen erzwingen. So oder so werden versehentliche Datenlecks, wie der berühmte Vorfall in Japan, verhindert. - Verringerung des Risikos des PHI-Diebstahls durch kriminelle Organisationen
Für den Durchschnittsbürger ist es kaum ersichtlich, wie umfangreich und gefährlich die Organisationen der Cyberkriminellen heutzutage sind. Da sie ohne physische Präsenz und ohne Konsequenzen arbeiten und böswilliges Hacken für die meisten Menschen nicht nachvollziehbar ist, neigen wir dazu, die von ihnen ausgehende Gefahr zu ignorieren.Und diese Organisationen verdienen ihr Geld nicht mit dem Diebstahl von Dingen, sondern von Daten. Patienteninformationen sind für kriminelle Organisationen eine der schmackhaftesten Delikatessen. Sie können sie an Konkurrenten verkaufen, sie können vom Eigentümer ein Lösegeld verlangen, um hohe HIPAA-Strafen zu vermeiden, oder sie können viele andere Wege finden, um aus einem solchen Diebstahl Geld zu machen. Der effizienteste Weg, ein bestimmtes Unternehmen zu hacken, ist gezieltes Social Engineering.Eine kriminelle Organisation kann beispielsweise versuchen, sich Zugang zu Patienteninformationen zu verschaffen, indem sie einen bestimmten Mitarbeiter anspricht und vorgibt, sein Vorgesetzter zu sein, und ihn um einen vollständigen Satz von Patienteninformationen zu einer bestimmten Gruppe von Patienten bittet. Ein getäuschter Mitarbeiter kann solche in einer statischen Datei gespeicherten Informationen über einen unsicheren Kanal wie E-Mail kopieren und einfügen und so den Kriminellen zugänglich machen. Da Sie DLP so konfigurieren können, dass die Weitergabe von PHI über solche unsicheren Kanäle verhindert wird, werden kriminelle Spear-Phishing-Versuche wie dieser fehlschlagen. - Entschärfung des Verkaufs von PHI durch böswillige interne Akteure
Nicht zuletzt zeigen Statistiken, dass 60 % der Datenschutzverletzungen durch Insider-Bedrohungen verursacht werden. Sie sollten sich also nicht nur vor den oben erwähnten kriminellen Organisationen in Acht nehmen, sondern noch mehr vor Insidern. Und zu den Insider-Bedrohungen gehören nicht nur die oben erwähnten zufälligen Fälle, sondern auch vorsätzliche Fälle durch unehrliche oder verärgerte Mitarbeiter – sowohl aktuelle als auch insbesondere solche, die kurz vor der Entlassung stehen oder entlassen wurden, aber noch Zugang zu den Unternehmenssystemen haben.
Und hier kann DLP wieder einmal glänzen. Ein Mitarbeiter, der bei seinem Ausscheiden aus dem Unternehmen „seine gesamte Arbeit“ auf einem USB-Stick mitnehmen möchte, wird dies nicht tun können, wenn die DLP-Software dies nicht zulässt. Ein böswilliger Mitarbeiter, der von der Konkurrenz bezahlt wurde, wird nicht in der Lage sein, sensible Informationen über den Firmencomputer an den Konkurrenten zu senden. Natürlich kann der Mitarbeiter so kreativ sein, dass er z. B. Fotos vom Computerbildschirm macht, aber er wird vielleicht entmutigt oder lange genug aufgehalten, um einen Verstoß gegen den HIPAA zu verhindern.
DLP sollte Teil Ihres HIPAA-Compliance-Toolsets sein
Aus den oben genannten und weiteren Gründen sollte jede Organisation, die von HIPAA betroffen ist, ernsthaft in Erwägung ziehen, eine DLP-Lösung in ihre Cybersicherheitssuite aufzunehmen. Die Komplexität der heutigen Informationstechnologie erfordert leider viele verschiedene Informationssicherheitslösungen, um Ihre lokalen Systeme, Anwendungen und SaaS-Cloud-Dienste vollständig zu schützen, aber die Implementierung einer DLP-Lösung sollte ganz oben auf Ihrer Prioritätenliste stehen, da sie viele menschliche Fehler und böswillige Absichten vermeiden kann.
FAQ's
DLP-Lösungen sind eines der wichtigsten Werkzeuge, um die Verletzung der HIPAA-Compliance für Organisationen im Gesundheitswesen zu verhindern. Auch wenn Organisationen eine umfassende Sicherheitsrichtlinie benötigen, sollte DLP-Software eine ihrer Prioritäten sein.
Die Security Rule des HIPAA besagt, dass Organisationen vor vernünftigerweise zu erwartenden, unzulässigen Verwendungen oder Offenlegungen von PHI schützen müssen. Und genau dabei helfen Ihnen DLP-Lösungen.
Geschützte Gesundheitsinformationen (PHI) sind eine Unterart der personenbezogenen Informationen (PII). Während also alle PHI als PII gelten, werden nicht alle PII als PHI betrachtet.
Die häufigste Ursache für Datenverluste ist menschliches Versagen, und genau davor schützen Sie sich mit DLP-Tools. Zu den weniger häufigen Ursachen gehören Diebstahl, Softwarebeschädigung, Computerviren, Hardwareausfälle, Naturkatastrophen und Stromausfälle.
