Das Health Insurance Portability and Accountability Act
Das Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Bundesgesetz, das landesweite Standards zum Schutz sensibler Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen geschaffen hat. Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy Rule erlassen, um die Anforderungen des HIPAA-Gesetzes umzusetzen. Die HIPAA Security Rule schützt eine Teilmenge der Informationen, die unter die Privacy Rule fallen.
Die HIPAA-Regeln und -Verordnungen sehen drei Arten von Sicherheitsvorkehrungen vor, die für die Einhaltung der Vorschriften erforderlich sind:
- Administrative Sicherheitsvorkehrungen betreffen in erster Linie die Anforderung, laufende Risikobewertungen durchzuführen, um potenzielle Schwachstellen und Risiken für die Integrität von personenbezogenen Gesundheitsdaten zu ermitteln.
- Physische Sicherheitsvorkehrungen konzentrieren sich auf die Schritte, die unternommen werden sollten, um unbefugten Zugriff auf personenbezogene Gesundheitsdaten zu verhindern und Daten vor Feuer und anderen Umweltgefahren zu schützen.
- Technische Sicherheitsvorkehrungen beziehen sich auf die Kontrollmaßnahmen, die unternommen werden müssen, um die Datensicherheit zu gewährleisten, wenn personenbezogene Gesundheitsdaten über ein elektronisches Netzwerk übermittelt werden.
Verordnung | Jetzt aktiv
Das HITECH-Gesetz ist Teil des American Recovery und Reinvestment Act (ARRA) aus dem Jahr 2009. Es geht hinsichtlich der Anforderungen noch einen Schritt weiter als das HIPAA-Gesetz und verlangt die Anzeige aller Datenschutzverletzungen „ungeschützter“, d. h. nicht verschlüsselter, persönlicher Gesundheitsakten (Personal Health Records, PHR). Darunter fallen auch Datenschutzverletzungen durch Geschäftspartner, Lieferanten und verbundene Unternehmen.
Die HIPAA-Vorschriften gelten für betroffene Unternehmen und Geschäftspartner:
- Betroffene Unternehmen umfassen alle Gesundheitsdienstleister, die geschützte personenbezogene Gesundheitsdaten erstellen, empfangen, aufbewahren, übermitteln oder darauf zugreifen, einschließlich Gesundheitsplänen, Krankenversicherungsunternehmen, Krankenhäusern, Kliniken, Apotheken, Ärzten und Zahnärzten, um nur einige zu nennen.
- Geschäftspartner umfassen Drittanbieter, die elektronische personenbezogene Gesundheitsdaten im Auftrag von betroffenen Einrichtungen erstellen, empfangen, aufbewahren, übertragen oder darauf zugreifen können. Beispiele hierfür sind IT-Auftragnehmer oder Anbieter von Cloud-Speicherlösungen.
Das HIPAA-Gesetz wurde 1996 vom US-Kongress verabschiedet. Das Gesetz wurde seither mehrmals überarbeitet, so z. B. 2009 mit der Verabschiedung des Health Information Technology for Economic and Clinical Health Act (HITECH), der ein neues Sanktionssystem für Verstöße einführte und Geschäftspartner direkt für Datenschutzverletzungen haftbar machte, die auf die Nichteinhaltung der Security Rule zurückzuführen sind.
Die Strafen für die Nichteinhaltung des HIPAA-Gesetzes variieren je nach Grad der Fahrlässigkeit und können zwischen 100 US-Dollar und 50.000 US-Dollar pro Verstoß liegen, wobei die Höchststrafe 1,9 Mio. US-Dollar pro Kalenderjahr beträgt. Verstöße können für die verantwortlichen Personen auch zu Haftstrafen von einem bis zehn Jahren führen.
So unterstützt Thales die Einhaltung von HIPAA
Die Lösungen von Thales können Unternehmen dabei helfen, das HIPAA-Gesetz einzuhalten, indem sie die Compliance vereinfachen und die Sicherheit automatisieren, wodurch die Belastung der Sicherheits- und Compliance-Teams verringert wird. Wir unterstützen Unternehmen bei der Einhaltung von HIPAA, indem wir die wesentlichen Anforderungen für den Schutz geschützter Gesundheitsdaten (PHI) in vier verschiedenen Abschnitten des Gesetzes erfüllen:
Wir bieten umfassende Cyber-Sicherheitslösungen in drei Schlüsselbereichen der Cyber-Sicherheit: Anwendungssicherheit, Datensicherheit sowie Identitäts- und Zugriffsverwaltung.
Lösungen zur Einhaltung von HIPAA
Anwendungssicherheit
Schützen Sie Anwendungen und APIs in großem Umfang in der Cloud, lokal oder in einem Hybridmodell. Unsere marktführende Produktsuite umfasst eine Web Application Firewall (WAF), Schutz vor Distributed Denial of Service (DDoS) und bösartigen BOT-Angriffen, Sicherheit für APIs, ein sicheres Content Delivery Network (CDN) und Runtime Application Self-Protection (RASP).
Datensicherheit
Erkennen und klassifizieren Sie sensible Daten in der gesamten hybriden IT und schützen Sie sie automatisch an jedem Ort, ob at Rest, in Motion oder in Use, mithilfe von Verschlüsselungs-Tokenisierung und Schlüsselverwaltung. Die Lösungen von Thales identifizieren, bewerten und priorisieren zudem potenzielle Risiken sowie anomales Verhalten für eine genaue Risikobewertung und überwachen Aktivitäten zur Überprüfung der Einhaltung von Vorschriften, sodass Unternehmen priorisieren können, wo sie ihre Anstrengungen konzentrieren.
Identitäts- und Zugriffsverwaltung
Bieten Sie Kunden, Mitarbeitern und Partnern einen nahtlosen, sicheren und vertrauenswürdigen Zugriff auf Anwendungen und digitale Dienste. Unsere Lösungen beschränken den Zugriff interner und externer Benutzer rollen- und kontextbezogen mit fein abgestimmten Zugriffsrichtlinien und Multi-Faktor-Authentifizierung, um sicherzustellen, dass der richtige Benutzer zur richtigen Zeit Zugriff auf die richtige Ressource erhält.
HIPAA 164.306 Sicherheitsstandards: Allgemeine Regeln
So unterstützt Thales Ihr Unternehmen:
- Identifizieren, klassifizieren, schützen und überwachen Sie sensible Daten in der gesamten hybriden IT und stellen Sie sicher, dass die Daten stets sicher sind und den Vorschriften entsprechen.
HIPAA § 164.308 Administrative Sicherheitsvorkehrungen
So unterstützt Thales Ihr Unternehmen:
- Identifizierung strukturierter und unstrukturierter sensibler Daten, die in der Hybrid-IT gefährdet sind.
- Bestimmung von Risikowerten für Datenbestände, um potenzielle Risiken zu bewerten.
- Ermittlung des aktuellen Stands der Einhaltung der Vorschriften, Dokumentation der Lücken.
- Erkennung und Klassifizierung potenzieller Risiken für alle öffentlichen, privaten und Schatten-APIs und Durchführung einer API-Risikobewertung.
So unterstützt Thales Ihr Unternehmen:
- Überwachung von E/A und Blockieren verdächtiger Aktivitäten bevor sich Ransomware festsetzen kann.
- Verhinderung des Zugriffs von schädlicher Software und böswilligen Benutzern auf sensible Daten.
- Einsatz von Signatur-, Verhaltens- und Reputationsanalysen zur Blockierung aller Malware-Injection-Angriffe.
- Erkennung und Verhinderung von Cyber-Bedrohungen mit einer Web Application Firewall.
- Schützen Sie kritische Netzwerkressourcen vor DDoS-Angriffen und Bad Bots.
Lösungen:
Anwendungssicherheit
Datensicherheit
So unterstützt Thales Ihr Unternehmen:
- Reduzierung des Drittparteienrisikos durch Beibehaltung der Kontrolle über kryptographische Schlüssel zum Schutz der in der Cloud gehosteten Daten on-premises.
- Erzwingen einer Rollentrennung zwischen den Administratoren des Cloud-Anbieters und Ihrer Organisation und Beschränkung des Zugriffs auf sensible Daten.
- Überwachung und Meldung von Anomalien zur Erkennung und Verhinderung unerwünschter Aktivitäten, die die Lieferkette stören könnten.
- Ermöglichung des Beziehungsmanagements mit Lieferanten, Partnern oder anderen Drittnutzern; mit klarer Delegierung der Zugriffsrechte.
- Minimierung der Berechtigungen durch den Einsatz beziehungsbasierter, fein abgestimmter Autorisierung.
- Aktivierung von MFA für Drittnutzer zur Vereitelung von Phishing-Angriffen.
Lösungen:
Datensicherheit
Schlüsselverwaltung in der Cloud
Überwachung der Datenaktivität
Identitäts- und Zugriffsverwaltung
HIPAA § 164.312 Technische Sicherheitsvorkehrungen
So unterstützt Thales Ihr Unternehmen:
- Beschränkung des Zugriffs auf Systeme und Daten auf der Grundlage von Rollen und Kontext mit Richtlinien.
- Anwendung kontextbezogener Sicherheitsmaßnahmen auf der Grundlage von Risikobewertungen.
- Einsatz von Smartcards für den physischen Zugriff auf sensible Einrichtungen.
- Bereitstellung eines sicheren Zugriffs auf die Daten in den Systemen des Unternehmens für Kunden.
- Beschränkung des Zugriffs auf Systeme und Daten auf der Grundlage von Rollen und Kontext mit Richtlinien.
Lösungen:
Identitäts- und Zugriffsverwaltung
Zugriffsverwaltung für Arbeitskräfte
Kundenidentitäts- und Zugriffsverwaltung
Datensicherheit
So unterstützt Thales Ihr Unternehmen:
- Überwachung der Datenaktivität für strukturierte und unstrukturierte Daten in der Hybrid-IT.
- Erstellung von Prüfprotokollen und Berichten über alle Zugriffsereignisse auf alle Systeme, Streaming der Protokolle an SIEM.
So unterstützt Thales Ihr Unternehmen:
- Aktivierung der Multi-Faktor-Authentifizierung (MFA) mit der größten Auswahl an Hardware- und Softwaremethoden.
- Erstellung und Bereitstellung adaptiver Authentifizierungsrichtlinien basierend auf der Sensibilität der Daten/Anwendung.
- Schutz vor Phishing- und Man-in-the-Middle-Angriffen.
Lösungen:
Identitäts- und Zugriffsverwaltung
Multi-Faktor-Authentifizierung
So unterstützt Thales Ihr Unternehmen:
- Verschlüsselung von Data-at-Rest lokal, in Cloud-Umgebungen sowie in Big-Data- oder Container-Umgebungen.
- Schutz von kryptographischen Schlüsseln in einer Umgebung gemäß FIPS 140-2 Level 3.
- Pseudonymisierung sensibler Daten in Datenbanken.
- Schutz von Data-in-Use durch den Einsatz vertraulicher Computertechnologien.
- Vollständige Transparenz über alle Aktivitäten mit sensiblen Daten, Verfolgung, wer Zugriff hat, Prüfung ihrer Aktivitäten und Dokumentation dieser Aktivitäten.
- Bereitstellung von Sicherheitsprodukten, die für ein Post-Quanten-Upgrade entwickelt wurden, zur Aufrechterhaltung der Krypto-Agilität.
So unterstützt Thales Ihr Unternehmen:
- Schutz von Data-in-Motion mit High-Speed-Verschlüsselung.
HIPAA § 164.514 Weitere Anforderungen in Bezug auf die Verwendung und Weitergabe geschützter Gesundheitsdaten
So unterstützt Thales Ihr Unternehmen:
- Pseudonymisierung und Maskierung sensibler Daten für die Produktion oder für Tests, wobei die Fähigkeit zur Analyse aggregierter Daten erhalten bleibt, ohne dass sensible geschützte Gesundheitsdaten preisgegeben werden.
Weitere Ressourcen
Weitere wichtige Datenschutz- und Sicherheitsverordnungen
PCI HSM
MANDAT | JETZT AKTIV
Die PCI-HSM-Spezifikation definiert eine Reihe von logischen und physischen Sicherheitsstandards für HSMs speziell für die Zahlungsindustrie. Die PCI-HSM-Konformitätszertifizierung setzt die Einhaltung dieser Standards voraus.
DORA
VERORDNUNG | JETZT AKTIV
DORA hat zum Ziel, die IT-Sicherheit von Finanzinstituten zu stärken, um sicherzustellen, dass der Finanzsektor in Europa angesichts des zunehmenden Umfangs und der Schwere von Cyber-Angriffen widerstandsfähig ist.
Gesetze zur Meldepflicht von Datenschutzverletzungen
VERORDNUNG | JETZT AKTIV
Weltweit haben Länder Verordnungen zur Meldung von Datenschutzverletzungen nach dem Verlust personenbezogener Daten erlassen. Diese Verordnungen variieren von Land zu Land, enthalten aber fast immer eine „Safe Harbor“-Klausel.
GLBA
VERORDNUNG | JETZT AKTIV
Der Gramm-Leach-Bliley Act (GLBA) – auch bekannt als Financial Services Modernization Act von 1999 – verpflichtet Finanzinstitute, ihren Kunden ihre Vorgehensweise in Bezug auf die Weitergabe von Daten zu erklären und sensible Daten zu schützen.