So hilft Thales Unternehmen bei der Einhaltung des Health Insurance Portability and Accountability Act (HIPAA) und des Health Information Technology for Economic and Clinical Health (HITECH) Act
Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Bundesgesetz, das landesweite Standards zum Schutz sensibler Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen geschaffen hat. Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy Rule erlassen, um die Anforderungen des HIPAA-Gesetzes umzusetzen. Die HIPAA Security Rule schützt eine Teilmenge der Informationen, die unter die Privacy Rule fallen.
Die HIPAA-Regeln und -Verordnungen sehen drei Arten von Sicherheitsvorkehrungen vor, die für die Einhaltung der Vorschriften erforderlich sind:
Das HITECH-Gesetz ist Teil des American Recovery und Reinvestment Act (ARRA) aus dem Jahr 2009. Es geht hinsichtlich der Anforderungen noch einen Schritt weiter als das HIPAA-Gesetz und verlangt die Anzeige aller Datenschutzverletzungen „ungeschützter“, d. h. nicht verschlüsselter, persönlicher Gesundheitsakten (Personal Health Records, PHR). Darunter fallen auch Datenschutzverletzungen durch Geschäftspartner, Lieferanten und verbundenen Unternehmen.
Die HIPAA-Vorschriften gelten für betroffene Einrichtungen und Geschäftspartner:
Das HIPAA-Gesetz wurde 1996 vom US-Kongress verabschiedet. Das Gesetz wurde seither mehrmals überarbeitet, so z. B. 2009 mit der Verabschiedung des Health Information Technology for Economic and Clinical Health Act (HITECH), der ein neues Sanktionssystem für Verstöße einführte und Geschäftspartner direkt für Datenschutzverletzungen haftbar machte, die auf die Nichteinhaltung der Security Rule zurückzuführen sind.
Die Strafen für die Nichteinhaltung des HIPAA-Gesetzes variieren je nach dem Grad der Fahrlässigkeit und können zwischen 100 US-Dollar und 50.000 -US-Dollar pro Verstoß liegen, wobei die Höchststrafe 1,9 Mio. US-Dollar pro Kalenderjahr beträgt. Verstöße können für die verantwortlichen Personen auch zu Haftstrafen von einem bis zehn Jahren führen.
Thales unterstützt Unternehmen bei der Einhaltung des HIPAA-Gesetzes, indem es die grundlegenden Anforderungen für den Schutz geschützter personenbezogener Gesundheitsdaten in drei verschiedenen Abschnitten des Gesetzes erfüllt.
Die betroffenen Unternehmen müssen eine genaue und gründliche Bewertung der Risiken für personenbezogene Gesundheitsdaten vornehmen, und die Geschäftspartner müssen diese Daten angemessen schützen.
1.A Verhalten …:
"...Bewertung der Risiken für die Vertraulichkeit und Integrität geschützter elektronischer personenbezogener Gesundheitsdaten …“
CipherTrust Data Discovery and Classification erkennt strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Integrierte Templates ermöglichen eine schnelle Identifizierung regulierter Daten, machen Sicherheitsrisiken sichtbar und tragen dazu bei, Lücken bei der Einhaltung von Bestimmungen aufzudecken.
8. b. 1:
„Eine betroffene Einrichtung kann einem Geschäftspartner gestatten, elektronische personenbezogene Gesundheitsdaten zu erstellen, zu empfangen, aufzubewahren oder zu übermitteln, wenn … der Geschäftspartner die Daten angemessen schützen wird.“
Schutz von Data-at-Rest:
CipherTrust Cloud Key Manager kann die Drittanbieterrisiken reduzieren, indem er die zum Schutz von sensiblen Daten, die von Drittanbietern in der Cloud im Rahmen von „Bring Your Own Keys“-Systemen (BYOK) gehostet werden, eingesetzten Schlüssel on-premises unter der vollständigen Kontrolle des Finanzunternehmens verwaltet.
CipherTrust Transparent Encryption bietet eine vollständige Trennung der administrativen Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können. Sofern kein triftiger Grund für den Zugriff auf die Daten vorliegt, sind sensible Daten, die in einer Cloud eines Drittanbieters gespeichert sind, für unbefugte Nutzer nicht im Klartext zugänglich.
Thales Data Security bietet das umfassendste Spektrum an Datenschutzlösungen, wie Thales Data Protection on Demand (DPoD), das integrierte Hochverfügbarkeit und Backups über die Cloud-basierten Luna Cloud HSM- und CipherTrust Key Management-Dienste sowie die HSE Network Encryption Appliances, die Optionen zur Zeroisierung bieten.
Betroffene Einrichtungen müssen technische Sicherheitsvorkehrungen treffen, um den Zugang zu geschützten Informationen zu sichern, Personen und Einrichtungen, die auf personenbezogene Gesundheitsdaten zugreifen, zu authentifizieren und Data-at-Rest und Data-in-Transit zu verschlüsseln.
A. 1:
„Den Zugriff auf personenbezogene Gesundheitsdaten nur denjenigen Personen oder Softwareprogrammen erlauben, denen Zugriffsrechte gewährt wurden.“
Die Identitäts- und Zugriffsmanagementlösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts. Durch starke Authentifizierung (MFA), granulare Zugriffsrichtlinien und fein abgestufte Autorisierungsrichtlinien wird sichergestellt, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält, wodurch das Risiko eines unbefugten Zugriffs minimiert wird.
Das Thales OneWelcome Consent & Preference Management-Modul ermöglicht es Unternehmen, die Zustimmung von Endverbrauchern einzuholen, sodass Finanzunternehmen einen klaren Überblick über die zugestimmten Daten haben und so den Zugriff auf die Daten, die sie nutzen dürfen, verwalten können.
CipherTrust Transparent Encryption verschlüsselt sensible Daten und gewährleistet granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs, die nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden können. Es bietet eine vollständige Trennung der Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können.
D:
„Überprüfen, ob eine Person oder Einrichtung, die Zugang zu elektronischen PHI wünscht, die Person bzw. Einrichtung ist, für die sie sich ausgibt.“
SafeNet Trusted Access ist eine Cloud-basierte Zugriffsverwaltungslösung, die kommerzielle, handelsübliche Multi-Faktor-Authentifizierung mit einer breiten Palette von Hardware- und Software-Authentifizierungsmethoden und Formfaktoren bietet.
2. ii:
„Einen Mechanismus zur Ver- und Entschlüsselung elektronischer geschützter Gesundheitsdaten implementieren.“
CipherTrust Data Security Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken. Dazu gehören:
Luna Hardware Security Models (HSMs) schützen kryptografische Schlüssel und bieten eine nach FIPS 140-2 Level 3 gehärtete, manipulationssichere Umgebung für sichere kryptografische Verarbeitung, Schlüsselerzeugung und -schutz, Verschlüsselung und mehr. Luna HSMs sind on-premises, in der Cloud (as-a-Service) und in hybriden Umgebungen verfügbar.
E. 1:
„Technische Sicherheitsmaßnahmen zum Schutz von personenbezogenen Gesundheitsdaten implementieren, die über … ein Netzwerk übertragen werden.“
High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren Lösungen zur Netzwerkverschlüsselung bieten Kunden einen besseren Schutz von Daten, Videos, Anrufen und Metadaten vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen – ohne dass Abstriche bei der Leistung gemacht werden müssen.
Gesundheitsdaten gelten nicht als personenbezogen, wenn es sich nicht um individuell identifizierbare Gesundheitsinformationen handelt.
A:
„De-Identifizierung von geschützten Gesundheitsdaten. Gesundheitsdaten, die eine Person nicht identifizieren … sind keine personenbezogenen Gesundheitsdaten.“
CipherTrust Tokenization ermöglicht die Pseudonymisierung sensibler Informationen in Datenbanken bei gleichzeitiger Aufrechterhaltung der Fähigkeit zur Analyse aggregierter Daten, ohne sensible Daten während der Analyse oder in Berichten preiszugeben..
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy. IT security teams are...
Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...
Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.
Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.
Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.
