HIPAA und HITECH Act

Microsoft bietet Health Insurance Portability & Accountability Act Business Associate Agreements (BAAs).

Microsoft und HIPAA und HITECH Act

Laut HIPAA-Bestimmungen müssen die abgedeckten Entitäten und ihre Geschäftspartner – in diesem Fall Microsoft, wenn Dienste, einschließlich Cloud Services, für die Entitäten bereitgestellt werden – einen Vertrag abschließen, um sicherzustellen, dass diese Geschäftspartner PHI angemessen schützen. Diese Verträge oder BAAs erläutern und beschränken den Umgang des Geschäftspartners mit PHI und legen die Einhaltung der Sicherheits- und Datenschutzbestimmungen gemäß HIPAA und HITECH Act der einzelnen Parteien dar. Sobald ein BAA abgeschlossen wurde, können die Kunden von Microsoft – abgedeckte Entitäten – die Dienste von Microsoft zum Verarbeiten und Speichern von PHI verwenden.

Derzeit gibt es keine offizielle Compliance Zertifizierung nach HIPAA oder HITECH. Die Microsoft-Dienste, die unter die BAA fallen, wurden Prüfungen unterzogen, die von akkreditierten, unabhängigen Prüfern für die Zertifizierung von Microsoft nach ISO/IEC 27001 durchgeführt werden.

Microsoft Enterprise Cloud Services werden ebenfalls von den FedRAMP-Bewertungen abgedeckt. Microsoft Azure und Microsoft Azure Government wurden eine vorläufige Betriebsgenehmigung (Provisional Authority to Operate, P-ATO) des FedRAMP Joint Authorization Board erteilt. Microsoft Dynamics 365 U.S. Government erhielt eine Behördenbetriebsgenehmigung (Agency Authority to Operate, Agency ATO) vom US Department of Housing and Urban Development und Microsoft Office 365 U.S. Government eine ATO vom US Department of Health and Human Services.

Erfahren Sie mehr über die Vorteile von HIPAA und HITECH für die Microsoft Cloud

Lesen Sie die Kundenreferenz zu Pesiri Radiology

Microsoft-Clouddienste im Leistungsumfang

  • Azure und Azure Government Detaillierte Liste
  • Cloud App Security
  • Microsoft Health Bot Service
  • Microsoft Stream
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Office 365
  • Dynamics 365 und Dynamics 365 U.S. Government Detaillierte Liste
  • Microsoft Flow-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Intune
  • Office 365, Office 365 U.S. Government, and Office 365 U.S. Government Defense Detaillierte Liste
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Azure DevOps Services

Beschleunigen Sie Ihre Bereitstellung von HIPAA/HITRUST-Lösungen auf Azure

Profitieren Sie von den Vorteilen der Cloud für Datenintegritätslösungen mit dem Azure Security and Compliance Blueprint für HIPAA/HITRUST-Integritätsdaten und KI. Dieser Blueprint enthält Tools und Anleitungen, mit denen Sie noch heute mit der Entwicklung von HIPAA/HITRUST-Lösungen beginnen können.

Einstieg in Azure HIPAA/HITRUST Blueprint

HIPAA und HITECH Act – Übersicht

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz für das Gesundheitswesen, das die Anforderungen für die Verwendung, Offenlegung und die sichere Aufbewahrung von individuell identifizierbaren Gesundheitsdaten festlegt. Das Gesetz ist auf abgedeckte Entitäten – Arztpraxen, Krankenhäuser, Krankenversicherungen und andere Gesundheitsdienstleister – mit Zugriff auf PHI-Daten (Protected Health Information, geschützte Gesundheitsdaten) sowie auf Geschäftspartner, wie Cloud Service- und IT-Anbieter, die PHI in ihrem Auftrag verarbeiten, anwendbar. (Die meisten abgedeckten Entitäten führen Funktionen wie Anspruchs- oder Datenverabeitung nicht selbst aus, sondern haben Geschäftspartner damit beauftragt.)

Das Gesetz regelt die Verwendung und Verbreitung von PHI in vier allgemeinen Bereichen:

  • Datenschutz, der die ärztliche Schweigepflicht abdeckt
  • Sicherheit, der den Schutz von Informationen, einschließlich physische, technische und verwaltungstechnische Sicherungsmaßnahmen, abdeckt
  • Identifikatoren, die sich auf Informationen beziehen, die nicht freigegeben werden können, wenn sie für Forschungszwecke erhoben wurden
  • Codes für die elektronische Datenübertragung in gesundheitsbezogenen Transaktionen, einschließlich Berechtigung und Versicherungsansprüche und Zahlungen

Der Umfang des HIPAA wurde mit der Inkraftsetzung des Health Information Technology for Economic and Clinical Health (HITECH) Act erweitert. Zusammen umfassen die Gesetze HIPAA und HITECH Act Folgendes:

  • Die HIPAA Privacy Rule, die das Recht des Einzelnen, die Verwendung der personenbezogenen Daten zu kontrollieren, in den Mittelpunkt stellt und die Vertraulichkeit von PHI durch Einschränken der Verwendung und Offenlegung abdeckt.
  • Die HIPAA Security Rule, die die Standards für verwaltungstechnische, technische und physische Sicherungsmaßnahmen zum Schutz von elektronischen PHI vor nicht autorisiertem Zugriff, unbefugter Verwendung und Offenlegung festlegt. Außerdem umfasst diese Verordnung Unternehmensanforderungen wie Business Associate Agreements (BAAs).

Die HITECH Breach Notification Final Rule, die verlangt, dass Einzelpersonen und die Regierung über einen Verstoß gegen ungesicherte PHI informiert werden müssen.

Zentrales Compliance-Management

Führen Sie kontinuierliche Risikobewertungen durch, nutzen Sie aussagekräftige Insights, und vereinfachen Sie Ihren Complianceprozess bei der Verwendung von Microsoft-Clouddiensten mit dem Compliance Manager.

Compliance Manager jetzt testenBlog zu Sicherheit, Datenschutz und Compliance lesen

Häufig gestellte Fragen

Alle erweitern

Microsoft bietet qualifizierten Unternehmen oder ihren Zulieferern eine BAA, die die im Umfang enthaltenen Microsoft-Dienste abdeckt.

  • Für Microsoft-Clouddienste: Die HIPAA Business Associate Agreement steht in den Online Services-Nutzungsbedingungen standardmäßig allen Kunden zur Verfügung, die im Rahmen des HIPAA abgedeckte Entitäten oder Geschäftspartner sind. Eine Liste der von dieser BAA abgedeckten Cloud Services finden Sie im Abschnitt „Im Umfang enthaltene Microsoft Cloud Services” auf dieser Webseite.

Für Microsoft Commercial Support-Dienste: Die HIPAA Business Associate Amendment ist für im Umfang enthaltene Microsoft Commercial Support-Dienste auf Anfrage bei Ihrem Microsoft-Kundendienstberater verfügbar.

Nein. Durch die Bereitstellung einer BAA trägt Microsoft zur Unterstützung Ihrer HIPAA-Compliance bei. Doch die Nutzung der Dienste von Microsoft allein reicht dazu nicht aus. Ihre Organisation ist dafür verantwortlich, sicherzustellen, dass Sie ein adäquates Complianceprogramm und interne Prozesse installiert haben und dass Ihre spezielle Nutzung der Dienste von Microsoft den Vorschriften des HIPAA und HITECH Act entspricht.

Microsoft kann die HIPAA BAA nicht ändern, da die Dienste von Microsoft für alle Kunden einheitlich sind. Daher müssen für alle Kunden dieselben Verfahren befolgt werden. Zum Aufsetzen der BAA für die Kunden und Dienste von Microsoft, die unter die HIPAA-Regelung fallen, arbeitete Microsoft mit einigen führenden US-amerikanischen medizinischen Bildungseinrichtungen und deren HIPAA-Datenschutzbeauftragten zusammen sowie mit anderen von der HIPAA abgedeckten Entitäten im privaten und öffentlichen Sektor.

Das Service Trust Portal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Prüfberichte anfordern, sodass Ihre Prüfer die Ergebnisse der Cloud Services von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.

Zur Unterstützung seiner Kunden bei dieser Aufgabe hat Microsoft folgende Leitfäden veröffentlicht: