Microsoft Business Cloud Services in der Gesundheitsbranche

Microsoft Business Cloud Services – Sicherheit, Compliance und Datenschutz für personenbezogene Gesundheitsdaten

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Microsoft Business Cloud Services – Sicherheit, Compliance und Datenschutz für personenbezogene Gesundheitsdaten

Wir von Microsoft wissen, dass Sie uns als Kunde bei der Nutzung unserer Clouddienste Ihre wertvollsten und unersetzlichen Ressourcen anvertrauen: Ihre Daten.

Vertrauen ist das Maß aller Dinge, wenn es darum geht, klinische Anwendungen und Datasets, die Daten im PHI-Format (Protected Health Information, geschützte Gesundheitsdaten) einschließlich demografischen Patientendaten und Behandlungsplänen enthalten, in die Public Cloud zu bringen. Vertrauen ist wichtig, wenn Daten im Gesundheitsbereich gemeinsam genutzt werden und medizinisches Fachpersonal und Patienten noch flexibler und ortsabhängig auf vertrauliche Informationen zugreifen sollen.

An welchem Punkt Ihrer Reise in die Cloud Sie sich auch befinden, die Zusammenarbeit mit einem vertrauenswürdigen Dienstanbieter ist unverzichtbar. Sie müssen sich darauf verlassen können, dass vertrauliche Daten geschützt sind und gemäß geltenden Vorschriften und Gesetzen sicher gespeichert und verwaltet werden und die Privatsphäre gewahrt bleibt.

Dieses Vertrauen gewährleistet Microsoft durch einen ganzheitlichen Ansatz. Mit seiner Defense-in-Depth-Sicherheitsstrategie erfüllt Microsoft geltende gesetzliche Anforderungen für Business-Clouddienste – einschließlich der Bereitstellung eines HIPAA-Vertrags für Geschäftspartner (Business Associates Agreement, BAA) – und wahrt die Vertraulichkeit von PHI- und sonstigen Daten.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

HIPAA/HITRUST-Lösungen unter Azure schneller bereitstellen

Hier finden Sie Tools und Anleitungen für die Umsetzung Ihrer HIPAA/HITRUST-Lösungen. Nutzen Sie mit "Azure-Blaupause für Sicherheit und Compliance – HIPAA/HITRUST-Gesundheitsdaten und KI" die Vorteile der Cloud, um Lösungen für die Gesundheitsbranche zu entwickeln.

Office 365 erhält die HITRUST CSF-Zertifizierung

Office 365 wurde von der Health Information Trust (HITRUST) Alliance nach HITRUST zertifiziert. Mit dem HITRUST Common Security Framework setzen Gesundheitsdienstleister ihr Sicherheits- und Risikomanagement effizient um.

Medical professional wearing scrubs and smiling.

Microsoft schützt Clouddienste durch einen Defense-in-Depth-Ansatz

Unternehmen in der Gesundheitsbranche sind anfällig für Datenschutzverletzungen und Cyberangriffe Die Angreifer haben es nicht nur auf Netzwerke abgesehen, sondern auch auf POS-Geräte (Point-of-Sale) wie z. B. Kassen und auf medizinische Geräte wie Herzschrittmacher, medizinische Apps (für virtuelle Gesundheitsangebote) und die immer zahlreicheren Mobilgeräte medizinischer Fachkräfte und Patienten. Laut der Verizon-Studie "Protected Health Information Data Breach Report" für das Jahr 2015 waren 1.400 kleine und große Gesundheitseinrichtungen Zielscheibe eines Angriffs auf PHI-Daten. Dabei wurden mehr als 157 Mio. medizinische Datensätze gestohlen. Diese Zahl ist nicht nur auf Cyberdelikte, sondern auch auf unzureichenden Datenschutz und Datenmissbrauch durch Mitarbeiter zurückzuführen.

Microsoft Business Cloud Services und Microsoft Professional Services werden so konzipiert, umgesetzt und bereitgestellt, dass Ihre Daten und alle Geräte, über die der Zugriff erfolgt, hochgradig geschützt sind. Die Sicherheitsstrategie von Microsoft beruht auf der Annahme, dass Angriffe auf die Sicherheit unserer Systeme theoretisch immer denkbar sind. Deshalb sind wir bestrebt, die Spanne bis zur Erkennung möglichst kurz zu halten. Unser globales Incident-Response-Team arbeitet rund um die Uhr, um die Auswirkungen von Angriffen auf die Microsoft Cloud zu bekämpfen.

Unsere Systeme und Softwarelösungen sorgen mit strengen Sicherheitskontrollen für den Schutz Ihrer Daten. Darüber hinaus bieten wir zahlreiche Technologien, die Ihr Unternehmen vor neuen Cybergefahren schützen und Ihnen die Verwaltung Ihrer mobilen Belegschaft und die Einhaltung gesetzlicher Bestimmungen erleichtern.

|

Mehrere Ebenen mit neuester Antispam-Technologie, wie z. B. Microsoft Antimalware, unterstützen die Erkennung und Bekämpfung von Spam, Viren und anderer Schadsoftware (sowohl bekannte als auch neue Bedrohungen). Wir überwachen Server, Netzwerke und Anwendungen, um Angriffe zu erkennen und zu verhindern und bauen unsere Abwehrmaßnahmen kontinuierlich weiter aus. Für den Fall eines Angriffs haben wir Systeme implementiert, die sowohl das Netzwerk schützen als auch für eine rasche Wiederherstellung sorgen.

 

Weitere Informationen

Unabhängig davon, wo sich Ihre Daten befinden – ob auf einem lokalen Server, in der Public Cloud oder auf mobilen Geräten – bieten wir umfassende Sicherheit. Der Zugriff auf Ihr Netzwerk erfolgt nur durch Mitarbeiter, die auch tatsächlich die Person sind, die sie vorgeben zu sein – und zwar in kontrollierter Weise und mit der Befugnis zur Anzeige von PHI-Daten.

 

Weitere Informationen

Verschlüsselte Daten können nur von Personen gelesen werden, die den Entschlüsselungsschlüssel besitzen. Microsoft verwendet sichere Transportprotokolle nach Branchenstandard, um Daten bei der Übertragung zwischen Geräten und Microsoft-Rechenzentren oder innerhalb von Rechenzentren zu verschlüsseln. Zum Schutz von ruhenden Daten bietet Microsoft ein breites Spektrum integrierter Verschlüsselungsfunktionen.

 

Weitere Informationen

Microsoft-Produkte und -Clouddienste für Unternehmen werden von unabhängigen externen Prüfern gemäß Branchenstandards wie ISO/IEC 27001 und ISO/IEC 27018 geprüft. Darüber hinaus unterstützen wir HIPAA und den HITECH Act sowie Minimum Acceptable Risk Standards for Exchanges (MARS-E).

HIPAA und der HITECH Act sind US-amerikanische Gesetze für das Gesundheitswesen, die Bestimmungen für die Verwendung, die Offenlegung und den Schutz personenbezogener Gesundheitsdaten regeln. Gemäß diesen Gesetzen sind Gesundheitsdienstleister dazu verpflichtet, Verträge mit Dienstanbietern wie Microsoft abzuschließen, die befugt sind, auf patientenbezogene PHI-Daten zuzugreifen und diese zu verarbeiten. Die Verträge für Geschäftspartner (Business Associate Agreements, BAAs) erläutern und beschränken den Umgang mit PHI-Daten in Clouddiensten und legen fest, wie die relevanten Sicherheits- und Datenschutzbestimmungen von den einzelnen Parteien einzuhalten sind.

 

Microsoft hat die gemäß HIPAA erforderlichen physischen, technischen und administrativen Sicherheitsmaßnahmen umgesetzt, um seine Rolle als Geschäftspartner zu stärken. Zudem erfüllen wir die Vorgabe des HITECH Act, wonach Einzelpersonen und Behörden über eine Verletzung von PHI-Daten informiert werden müssen. Obwohl es derzeit keine offizielle Zertifizierung zur Einhaltung dieser Gesetze gibt, wurden die unter BAA fallenden Microsoft-Dienste von akkreditierten unabhängigen Dritten geprüft. Beispielsweise umfasst die ISO/IEC 27001-Auditierung auch Kontrollen für HIPAA-Sicherheitsverfahren.

 

Mit HIPAA BAA deckt Microsoft mehr Dienste als jeder andere Cloudanbieter ab. Über Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 und Microsoft Power BI stellen wir umfangreiche und integrierte Lösungen bereit – z. B. für Produktivität, Zusammenarbeit, Patient Relationship Management (PRM), Analytics, Anwendungshosting, Datenspeicherung sowie Anwendungs- und Geräteverwaltung.

 

Durch sein BAA-Angebot unterstützt Microsoft Kunden bei der Einhaltung der HIPAA-Vorschriften. Die Verantwortung für die individuelle Nutzung der Microsoft-Dienste in Einklang mit HIPAA und dem HITECH Act liegt jedoch beim Kunden. Daher stellen wir Ressourcen wie den Leitfaden zur Umsetzung von HIPAA/HITECH Act für Azure und Dynamics 365 und Office 365 sowie einen praktischen Leitfaden für sichere Gesundheitslösungen in Microsoft Azure bereit.

Das Center for Medicare and Medicaid Services (CMS) hat die Minimum Acceptable Risk Standards for Exchanges (MARS-E) veröffentlicht, die ein Framework für die Vertraulichkeit, Integrität und Verfügbarkeit beim Austausch geschützter Gesundheitsdaten bieten. Das MARS-E 2.0 Framework stellt Informationen zur Sicherheit dieser geschützten Daten bereit. Es gilt für alle Verwaltungseinrichtungen unter dem amerikanischen Affordable Care Act einschließlich der Börsen und Märkte.

 

Aktuell gibt es kein formelles Autorisierungs- und Zulassungsverfahren für MARS-E, die Azure Platform-Dienste wurden jedoch in unabhängigen FedRAMP-Audits geprüft und nach diesen Standards zugelassen. Auch wenn sich diese Standards nicht explizit auf MARS-E beziehen, sind sie eng an die Kontrollanforderungen und Ziele von MARS-E angelehnt. So wird sichergestellt, dass Azure die Vertraulichkeit, Integrität und Verfügbarkeit von Daten auf angemessene Weise schützt.

Unser bewährter Datenschutz basiert auf dem Microsoft-Datenschutzstandard und dem Microsoft Security Development Lifecycle. Audits und Zertifizierungen von Dritten bestätigen unsere strengen technischen Entwicklungsstandards und stellen sicher, dass Maßnahmen zum Schutz von Daten und Privatsphäre systematisch umgesetzt werden. Microsoft integrierte beispielsweise als erster großer Cloudanbieter den ersten internationalen Verhaltenskodex für den Schutz von Daten in der Cloud: ISO/IEC 27018. Wir unterstützen diese Schutzmaßnahmen zusätzlich durch strenge vertragliche Verpflichtungen.

 

So geben wir unseren Kunden Kontrolle über die Erfassung, Nutzung und Weitergabe ihrer Daten:

  • Wir verwenden Kundendaten nur für die Bereitstellung der vereinbarten Dienste. Wir scannen Ihre Daten nicht zu Werbezwecken und sehen sie nicht als verkäufliches Produkt an.
  • Sie wissen stets, in welchen unserer weltweiten Rechenzentren Ihre Kundendaten gespeichert sind. Außerdem ist transparent, wer unter welchen Umständen auf die Daten zugreifen darf und wie die Daten angemessen geschützt, übertragen und gelöscht werden.
  • Wenn Daten von zahlreichen Kunden an einem gemeinsamen physischen Speicherort gespeichert sind, werden Daten in Clouddiensten logisch getrennt, damit untereinander kein Zugriff auf die Daten eines anderen Kunden möglich ist.

Weitere Ressourcen

Microsoft-Lösungen für Gesundheitsdienstleister

Daten und die Privatsphäre in der Cloud schützen

Minimum Acceptable Risk Standards for Exchanges (MARS-E)

Federal Risk and Authorization Management Program (FedRAMP)


Ressourcen zu HIPAA und HITECH

HIPAA und der HITECH Act

Ein praktischer Leitfaden zur Umsetzung sicherer Lösungen im Gesundheitsbereich mit Azure


Leitfaden zur Umsetzung von HIPAA/HITECH Act

Leitfaden zur Umsetzung des HIPAA/HITECH Act in Azure

Leitfaden zur Umsetzung von HIPAA/HITECH in Dynamics 365 und Office 365