Health Insurance Portability and Accountability Act

(HIPAA)

Übersicht

Eine wachsende Zahl von Gesundheitsdienstleistern, Krankenkassen und IT-Fachleuten verarbeitet, speichert und übermittelt geschützte Gesundheitsdaten mit nutzungsbasierten Cloud-Services von AWS.

AWS gibt den entsprechenden Einrichtungen und ihren Geschäftspartnern, die dem US-amerikanischen Health Insurance Portability and Accountability Act von 1996 (HIPAA) unterliegen, die Möglichkeit, für die Verarbeitung, Pflege und Speicherung geschützter gesundheitsbezogener Daten die sichere AWS-Umgebung zu nutzen.

Informationen zu HIPAA-fähigen Diensten finden Sie in der Referenz für HIPAA-konforme Dienste.

HIPAA-Logo

AWS-Kunden im Bereich Gesundheitswesen und Biowissenschaften

Philips-Logo Logo von Orion Health
Logo von Bristol Myers Squibb Siemens-Logo

 

Themen der Seite

Häufig gestellte Fragen
8

Häufig gestellte Fragen

Alles öffnen

Der Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 ist ein US-amerikanisches Gesetzeswerk, das Angestellten in den USA die Beibehaltung ihrer Krankenversicherung bei einem Verlust oder Wechsel ihres Arbeitsplatzes erleichtern soll. Zudem setzt der Gesetzgeber damit die Absicht um, die Akzeptanz elektronischer Gesundheitsdaten zu fördern, um die Effizienz und Qualität des US-amerikanischen Gesundheitssystems durch besseren Datenaustausch zu verbessern.

Im Zuge der zunehmenden Nutzung elektronischer Krankenakten setzt HIPAA Bestimmungen zum Schutz geschützter Gesundheitsdaten durch. PHI umfassen eine breite Palette personenbezogener Gesundheitsdaten von Versicherungs- und Abrechnungsdaten bis zu Diagnosedaten, Informationen über die klinische Pflege sowie Laborergebnisse, etwa Bilder und Testergebnisse. Die HIPAA-Regeln betreffen vom Gesetz erfasste Einrichtungen wie Krankenhäuser, Anbieter medizinischer Dienste, vom Arbeitgeber geförderte Gesundheitspläne, Forschungseinrichtungen und Versicherungsgesellschaften, die direkt mit Patienten kommunizieren und Patientendaten verarbeiten. Die HIPAA-Regelung zum Schutz von Gesundheitsdaten (PHI) gilt auch für Geschäftspartner.

Die HIPAA-Regeln wurden im Jahr 2009 durch den Health Information Technology for Economic and Clinical Health Act (HITECH) ergänzt. HIPAA und HITECH definieren gemeinsam eine Reihe von Normen auf Ebene der Bundesstaaten, die dem Schutz der Gesundheitsdaten dienen. Diese Bestimmungen sind in den sogenannten Regeln zur „administrativen Vereinfachung“ enthalten. HIPAA und HITECH stellen Anforderungen hinsichtlich der Nutzung und Offenlegung von PHI, treffen geeignete Sicherheitsvorkehrungen zum Schutz der PHI, der individuellen Rechte und der administrativen Verantwortlichkeiten.

Weitere Informationen zum Schutz von Gesundheitsdaten durch HIPAA und HITECH finden Sie auf der Webseite Health Information Privacy des US-Gesundheitsministeriums.

Das Common Security Framework (CSF) der Health Information Trust Alliance (HITRUST) wird von der Alliance selbst als ein „zertifizierbarer Rahmen, der Unternehmen einen umfassenden, flexiblen und effizienten Ansatz zur Einhaltung der Vorschriften und zum Risikomanagement bietet“ beschrieben. HITRUST CSF wurde in Zusammenarbeit mit Sicherheitsfachleuten aus dem Gesundheitswesen und dem IT-Bereich entwickelt und rationalisiert relevante Vorschriften und Normen aus dem Gesundheitswesen in einem übergreifenden Sicherheitsrahmen.“

Das HITRUST CSF fasst die Sicherheitskontrollen US-amerikanischer Bundesgesetze (wie HIPAA und HITECH), bundesstaatlicher Gesetze (wie die Standards for the Protection of Personal Information of Residents of the Commonwealth des US-Bundesstaates Massachusetts) und nicht-staatlicher Regelungen (wie die des PCI Security Standards Council) zu einem gemeinsamen Rahmenwerk speziell für das Gesundheitswesen zusammen.

AWS bietet eine zuverlässige, skalierbare und kostengünstige Computing-Plattform, die die Anwendungen von Kunden aus dem Gesundheitswesen auf eine Weise unterstützen kann, die HIPAA, HITECH und HITRUST CSF entspricht.

Gemäß den HIPAA-Vorschriften gelten Cloud-Dienstanbieter (CSPs) wie AWS als Geschäftspartner. Das Business Associate Addendum (BAA, Geschäftspartnervereinbarung) ist ein von AWS unterzeichneter Vertrag, der unter HIPAA als Gewährleistung dafür verlangt wird, dass AWS geschützte Daten aus dem Gesundheitswesen (PHI) nach den von HIPAA festgelegten Regelungen angemessen schützt. Im BAA ist auch geregelt bzw. eingeschränkt, wie AWS geschützte Daten aus dem Gesundheitswesen je nach Beziehung zu seinen Kunden nutzen und evtl. veröffentlichen darf, sowie welche Aktivitäten bzw. Services durch AWS mit diesen Daten durchgeführt werden dürfen.

Ja. AWS verfügt über eine standardmäßige Geschäftspartnervereinbarung (Business Associate Addendum, BAA), die wir den Kunden zur Unterschrift vorlegen. Diese Vereinbarung berücksichtigt die von AWS bereitgestellten Services und trägt dem AWS-Modell der geteilten Verantwortung Rechnung.

Zur Überprüfung, Bestätigung und/oder Verwaltung der Geschäftspartnervereinbarung für Ihr Konto melden Sie sich in der AWS-Managementkonsole bei AWS Artifact an. Falls Sie keinen Zugriff auf Ihr Konto haben, bitten Sie den Administrator um ein kostenloses IAM-Konto und um Zugriff auf die Artifact-IAM-Richtlinien.

Schritt-für-Schritt-Anleitung: Erfahren Sie, wie Sie mit AWS Artifact Vereinbarungen für mehrere Konten in Ihrem Unternehmen akzeptieren. (2:07)

Sehen Sie sich an, wie Sie mit AWS Artifact eine Vereinbarung für Ihr Konto akzeptieren. (01:39)

 

Für Cloud-Serviceanbieter (CSP) wie AWS gibt es keine HIPAA-Zertifizierung. Um die HIPAA-Anforderungen zu erfüllen, die auf unser Betriebsmodell anwendbar sind, richtet AWS sein HIPAA-Risikomanagementprogramm an den höheren Sicherheitsstandards FedRAMP und NIST 800-53 aus, die den HIPAA-Sicherheitsregeln entsprechen. NIST unterstützt diese Ausrichtung und hat den Leitfaden SP 800-66 „An Introductory Resource Guide for Implementing the HIPAA Security Rule“ herausgegeben. Darin wird beschrieben, wie sich NIST 800-53 an den HIPAA-Sicherheitsregeln orientiert.

Kunden können in einem als HIPAA-Konto definierten Konto alle AWS-Services nutzen. Geschützte Gesundheitsdaten sollten sie jedoch nur in den HIPAA-geeigneten Services verarbeiten, speichern und übertragen, die in der Geschäftspartnervereinbarung definiert sind. Eine aktuelle Liste der HIPAA-geeigneten AWS-Services finden Sie auf der Webseite mit der Referenz der HIPAA-geeigneten Services.

AWS folgt einem auf Standards basierenden Risikomanagementprogramm, damit die HIPAA-geeigneten Services die im HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Durch die Nutzung dieser Services für die Speicherung und Verarbeitung von PHI können unsere Kunden und AWS die HIPAA-Anforderungen erfüllen, die auf unser nutzungsbasiertes Betriebsmodell anwendbar sind. AWS fügt je nach Bedarf des Kunden weitere geeignete Services hinzu und priorisiert diese.

Wenn Sie weitere Informationen über unser Geschäftspartnerprogramm wünschen oder neue geeignete Services anfordern möchten, kontaktieren Sie uns.

Nein. Dies ist ein sehr häufiges Szenario. Viele HIPAA-Lösungsanbieter bieten Ihre Software auf AWS als Software as a Service (SaaS) an. Sie als AWS-SaaS-Partner unterzeichnen eine Geschäftspartnervereinbarung (Business Associate Addendum, BAA) mit AWS. Danach unterzeichnet jeder Gesundheitsdienstleister bzw. jede betroffene Organisation eine Geschäftspartnervereinbarung (BAA) mit Ihnen als AWS-SaaS-Partner. Wenn die von HIPAA betroffene Organisation, die Ihre SaaS-Lösungen nutzt, ebenso ein direkter Kunde von AWS für HIPAA-bezogene Systeme ist, benötigt diese Organisation möglicherweise eine Geschäftspartnervereinbarung mit Ihnen und eine weitere Geschäftspartnervereinbarung mit AWS.

AWS-Kunden und Partner des Amazon-Partnernetzwerks (APN), die eine Geschäftspartnervereinbarung (BAA) mit AWS unterzeichnet haben, müssen geschützte Gesundheitsdaten nicht mit Dedicated Instances oder Dedicated Hosts von Amazon Elastic Compute Cloud (EC2) verarbeiten. Diese Regelung galt früher innerhalb des HIPAA-Compliance-Programms von AWS, ist aber seit dem 15. Mai 2017 aus dem Programm genommen.

HIPAA

Übersicht

Eine wachsende Zahl von Dienstleistern aus dem Gesundheitswesen, Krankenkassen und IT-Fachleuten verwendet nutzungsbasierte Cloud-Services von AWS, um geschützte Daten aus dem Gesundheitswesen (PHI) zu verarbeiten, zu speichern und zu übermitteln.

AWS ermöglicht Einrichtungen und ihren Geschäftspartnern, die dem U.S. Health Insurance Portability and Accountability Act von 1996 (HIPAA) unterliegen, die Möglichkeit, für die Verarbeitung, Pflege und Speicherung geschützter gesundheitsbezogener Daten die sichere AWS-Umgebung zu nutzen.

Informationen zu HIPAA-fähigen Diensten finden Sie in der Referenz für HIPAA-konforme Dienste.

AWS-Kunden im Bereich Gesundheitswesen und Biowissenschaften

Häufig gestellte Fragen

  • Der Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 ist ein US-amerikanisches Gesetzeswerk, das Angestellten in den USA die Beibehaltung ihres Krankenversicherungsschutzes bei einem Verlust oder Wechsel ihres Arbeitsplatzes erleichtern soll. Zudem setzt der Gesetzgeber damit die Absicht um, die Akzeptanz elektronischer Gesundheitsdaten zu fördern, um die Effizienz und Qualität des US-amerikanischen Gesundheitssystems durch besseren Datenaustausch zu verbessern.

    Im Zuge der zunehmenden Nutzung elektronischer Krankenakten setzt HIPAA Bestimmungen zum Schutz geschützter Daten aus dem Gesundheitswesen (PHI) durch. PHI umfassen eine breite Palette personenbezogener Gesundheitsdaten von Versicherungs- und Abrechnungsdaten bis zu Diagnosedaten, Informationen über die klinische Pflege sowie Laborergebnisse, etwa Bilder und Testergebnisse. Die HIPAA-Regeln betreffen vom Gesetz erfasste Einrichtungen wie Krankenhäuser, Anbieter medizinischer Dienste, vom Arbeitgeber geförderte Gesundheitspläne, Forschungseinrichtungen und Versicherungsgesellschaften, die direkt mit Patienten kommunizieren und Patientendaten verarbeiten. Die HIPAA-Regelung zum Schutz von Gesundheitsdaten (PHI) gilt auch für Geschäftspartner.

    Die HIPAA-Regeln wurden im Jahr 2009 durch den Health Information Technology for Economic and Clinical Health Act (HITECH) ergänzt. HIPAA und HITECH definieren gemeinsam eine Reihe von Normen auf Ebene der Bundesstaaten, die dem Schutz der Gesundheitsdaten dienen. Diese Bestimmungen sind in den sogenannten Regeln zur „administrativen Vereinfachung“ enthalten. HIPAA und HITECH stellen Anforderungen hinsichtlich der Nutzung und Offenlegung von PHI, treffen geeignete Sicherheitsvorkehrungen zum Schutz der PHI, der individuellen Rechte und der administrativen Verantwortlichkeiten.

    Weitere Informationen zum Schutz von Gesundheitsdaten durch HIPAA und HITECH finden Sie auf der Webseite Health Information Privacy des US-Gesundheitsministeriums.

  • Das Common Security Framework (CSF) der Health Information Trust Alliance (HITRUST) wird intern als ein „zertifizierbarer Rahmen, der Unternehmen einen umfassenden, flexiblen und effizienten Ansatz zur Compliance bei Vorschriften und Risikomanagement bietet,“ bezeichnet. HITRUST CSF wurde in Zusammenarbeit mit Sicherheitsfachleuten aus dem Gesundheitswesen und dem IT-Bereich entwickelt und rationalisiert relevante Vorschriften und Normen aus dem Gesundheitswesen in einem übergreifenden Sicherheitsrahmen.“

    HITRUST CSF fasst die Sicherheitskontrollen US-amerikanischer Bundesgesetze (wie HIPAA und HITECH), bundesstaatlicher Gesetze (wie Standards for the Protection of Personal Information of Residents of the Commonwealth des US-Bundesstaates Massachusetts) und nicht-staatlicher Regelungen (wie die des PCI Security Standards Council) zu einem gemeinsamen Rahmenwerk speziell für das Gesundheitswesen zusammen.

    AWS bietet eine zuverlässige, skalierbare und kostengünstige Datenverarbeitungsplattform, die die Anwendungen von Kunden im Gesundheitswesen auf eine Weise unterstützen kann, die mit HIPAA, HITECH und HITRUST CSF übereinstimmt.

  • Im Rahmen der HIPAA-Regulierungen gelten Cloud-Serviceanbieter (CSPs) wie AWS als Business Associates (Geschäftspartner). Das Business Associate Addendum (BAA, Geschäftspartnervereinbarung) ist ein von AWS unterzeichneter Vertrag, der unter HIPAA als Gewährleistung dafür verlangt wird, dass AWS geschützte Daten aus dem Gesundheitswesen (PHI) nach den von HIPAA festgelegten Regelungen angemessen schützt. Im BAA ist auch geregelt bzw. eingeschränkt, wie AWS geschützte Daten aus dem Gesundheitswesen je nach Beziehung zu seinen Kunden nutzen und evtl. veröffentlichen darf, sowie welche Aktivitäten bzw. Services durch AWS mit diesen Daten durchgeführt werden dürfen.

  • Ja. AWS verfügt über eine standardmäßige Geschäftspartnervereinbarung (Business Associate Addendum, BAA), die wir den Kunden zur Unterschrift vorlegen. Darin werden die einzigartigen Dienstleistungen berücksichtigt, die AWS bereitstellt, und das Modell zur übergreifenden Verantwortlichkeit von AWS ausgeführt.

    Zur Einsicht, Bestätigung und/oder Verwaltung der Geschäftspartnervereinbarung (BAA) Ihres Kontos melden Sie sich in der AWS Management Console bei AWS Artifact an. Falls Sie keinen Zugriff auf Ihr Konto haben, bitten Sie Ihren Administrator um ein kostenloses IAM-Konto mit Zugriff auf die Artifact IAM-Richtlinien.

    Schritt-für-Schritt-Anleitung: Erfahren Sie, wie Sie AWS Artifact zum Akzeptieren von Vereinbarungen für mehrere Konten in Ihrer Organisation verwenden. (02:07)

    Hier sehen Sie, wie Sie AWS Artifact verwenden, um eine Vereinbarung für Ihr Konto zu akzeptieren. (01:39)

  • Für Cloud-Serviceanbieter (CSP) wie AWS gibt es keine HIPAA-Zertifizierung. Um die HIPAA-Anforderungen zu erfüllen, die auf unser Betriebsmodell anwendbar sind, richtet AWS sein HIPAA-Risikomanagementprogramm an den höheren Sicherheitsstandards FedRAMP und NIST 800-53 aus, die den HIPAA-Sicherheitsregeln entsprechen. NIST unterstützt diese Ausrichtung und hat das Dokument SP 800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule herausgegeben, in dem beschrieben wird, wie sich NIST 800-53 an den HIPAA-Sicherheitsregeln orientiert.

  • Kunden können unter einem als HIPAA-Konto definierten Konto jeden beliebigen AWS-Service verwenden, aber sie dürfen geschützte Daten aus dem Gesundheitswesen (PHI) nur in den in der Geschäftspartnervereinbarung (BAA) festgelegten, für HIPAA geeigneten Services verarbeiten, speichern und übertragen. Eine aktuelle Liste der für HIPAA geeigneten AWS-Services finden Sie auf der Webseite HIPAA Eligible Services Reference.

    AWS folgt einem auf Standards basierenden Risikomanagementprogramm, um sicherzustellen, dass die für HIPAA geeigneten Services insbesondere die gemäß HIPAA geforderten Sicherheits-, Kontroll- und Administrationsverfahren unterstützen. Durch die Nutzung dieser Services für die Speicherung und Verarbeitung von PHI können unsere Kunden und AWS die HIPAA-Anforderungen erfüllen, die auf unser nutzungsbasiertes Betriebsmodell anwendbar sind. AWS fügt je nach Bedarf des Kunden weitere geeignete Services hinzu und priorisiert diese.

    Wenn Sie weitere Informationen über unser Geschäftspartnerprogramm wünschen oder neue geeignete Services anfordern möchten, kontaktieren Sie uns.

  • Nein. Dies ist ein sehr häufiges Szenario. Viele HIPAA-Lösungsanbieter bieten Ihre Software auf AWS als Software as a Service (SaaS) an. Sie als AWS-SaaS-Partner unterzeichnen eine Geschäftspartnervereinbarung (Business Associate Addendum, BAA) mit AWS. Danach unterzeichnet jeder Gesundheitsdienstleister bzw. jede betroffene Organisation eine Geschäftspartnervereinbarung (BAA) mit Ihnen als AWS-SaaS-Partner. Wenn die von HIPAA betroffene Organisation, die Ihre SaaS-Lösungen nutzt, ebenso ein direkter Kunde von AWS für HIPAA-bezogene Systeme ist, benötigt diese Organisation möglicherweise eine Geschäftspartnervereinbarung mit Ihnen und eine weitere Geschäftspartnervereinbarung mit AWS.

  • Von AWS-Kunden und Partnern des Amazon-Partnernetzwerks (APN), die eine Geschäftspartnervereinbarung (BAA) mit AWS unterzeichnet haben, wird die Verwendung von Amazon Elastic Compute Cloud (EC2) Dedicated Instances oder Dedicated Hosts zur Verarbeitung geschützter Gesundheitsdaten (PHI) nicht verlangt. Vor dem 15. Mai 2017 forderte das AWS HIPAA-Konformitätsprogramm, dass Kunden, die PHI mit Amazon EC2 verarbeitet haben, dedizierte Instanzen oder dedizierte Hosts verwenden müssen. Diese Anforderung wurde jedoch entfernt.

HIPAA-Ressourcen

 Unter die HIPAA-Bestimmungen fallende Dienste  Gesundheitsdienstleister und Versicherer in der Cloud  AWS Security Assurance Services
Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »