Microsoft Cloud Services für Unternehmen – Organisationen im Gesundheitssektor

Sicherheit, Compliance und Datenschutz von PHI in Microsoft Cloud Services für Unternehmen

Bei Microsoft sind wir uns bewusst, dass Sie uns als Kunde bei der Verwendung unserer Cloud Services Ihre wertvollsten und unersetzbaren Ressourcen anvertrauen: Ihre Daten.

Wenn Sie klinische Anwendungen und Datasets, die PHI (Protected Health Information, geschützte Gesundheitsdaten) einschließlich demografische Patientendaten und Behandlungspläne enthalten, in die öffentliche Cloud bringen, ist Vertrauen zwingend erforderlich. Es ist ein entscheidender Faktor, wenn Sie Daten zur gemeinsamen Nutzung im Ökosystem des Gesundheitswesens freigeben und festlegen, wie und wo Ärzte und Mitarbeiter des Gesundheitswesens sowie Patienten auf vertrauliche Informationen zugreifen können.

An welchem Punkt auf dem Weg in die Cloud Sie sich auch befinden: Es ist unbedingt erforderlich, dass Sie mit einem Dienstanbieter Ihres Vertrauens zusammenarbeiten. Sie müssen darauf vertrauen können, dass vertrauliche Informationen geschützt sind, dass sie sicher und gemäß geltenden Bestimmungen und Gesetzen verwaltet werden und dass der Datenschutz gewährleistet ist.

Der ganzheitliche Ansatz von Microsoft ist mit folgenden Maßnahmen darauf ausgelegt, dieses Vertrauen zu gewinnen:

Tiefgreifender Vorbeugungsansatz bei Sicherheit für die Microsoft Cloud Services

Organisationen im Gesundheitssektor sind anfällig für Datenschutzverstöße und Cyberangriffe. Die Angreifer haben es nicht nur auf die Netzwerke im Gesundheitswesen abgesehen, sondern auch auf Geräte in Verkaufsstellen (z. B. Kassen) und medizinische Geräte (z. B. Herzschrittmacher), medizinische Apps (z. B. für virtuelle Gesundheitsangebote) und gängige Mobilgeräte (sowohl medizinische als auch persönliche). Laut dem Verizon Protected Health Information Data Breach Report aus dem Jahre 2015 waren 1400 Organisationen im Gesundheitssektor – sowohl kleine als auch große Firmen – von PHI-Datenverletzungen betroffen, bei denen über 157 Millionen medizinische Datensätze gestohlen wurden. Diese Zahl resultiert nicht nur aus kriminellen Aktivitäten, sondern auch aus unzureichendem Datenschutz und Datenmissbrauch von den Mitarbeitern selbst.

Der Entwurf, die Entwicklung und der Betrieb von Microsoft Cloud Services für Unternehmen und Microsoft Commercial Support sind darauf ausgerichtet, dafür zu sorgen, dass Ihre Daten und alle Geräte, die darauf zugreifen, in höchstem Maße geschützt sind. Als Hauptprinzip der Microsoft-Sicherheitsstrategie gehen wir von Sicherheitsverletzungen in unseren Systemen aus und sind bestrebt, eine solche Datenkompromittierung möglichst schnell zu erkennen. Unser globales Incident-Response-Team arbeitet rund um die Uhr, um die Auswirkung von Angriffen auf die Microsoft Cloud zu mindern.

Unsere Systeme und Software schützen Ihre Daten mithilfe von strikten Sicherheitskontrollen, zudem bieten wir ein Technologieportfolio, mit dem Sie Ihre Organisation vor möglichen Cyberangriffen schützen, eine mobile Belegschaft verwalten und gesetzliche Bestimmungen einhalten können.

Microsoft schützt die Cloud proaktiv vor Bedrohungen durch Schadsoftware und Cyberangriffe. Mehrere Ebenen mit neuester Antispam-Technologie, wie z. B. Microsoft Antimalware, helfen bei der Erkennung und Entfernung von Spam, Viren und anderer Schadsoftware (sowohl bekannte als auch neue). Wir überwachen Server, Netzwerke und Anwendungen, um Angriffe zu erkennen und zu verhindern – und diese Abwehrmaßnahmen werden von uns stetig verstärkt. Für den Fall eines Angriffs haben wir Systeme installiert, die sowohl das Netzwerk verteidigen als auch für eine rasche Wiederherstellung sorgen.

Microsoft unterstützt Ihre Organisation bei der Verwaltung von Benutzeridentitäten und Zugriffsrechten. Unabhängig davon, wo sich Ihre Daten befinden – auf einem lokalen Server, in der öffentlichen Cloud oder auf tragbaren Geräten –, stellen wir sicher, dass die Personen, die auf Ihr Netzwerk zugreifen, genau die sind, die sie vorgeben zu sein, dass ihr Zugriff auf die Daten kontrolliert wird und dass nur entsprechend berechtigte Personen PHI anzeigen können.

Wir schützen Ihre Daten durch Verschlüsselung, sodass sie ohne den entsprechenden Entschlüsselungsschlüssel nicht gelesen werden können. Microsoft verwendet branchenübliche sichere Transportprotokolle für die Verschlüsselung von Daten, die zwischen Geräten und Microsoft-Rechenzentren oder in den Rechenzentren selbst übertragen werden. Zum Schutz von ruhenden Daten bietet Microsoft eine Palette von integrierten Verschlüsselungsfunktionen.

Microsoft-Compliance mit geltenden gesetzlichen Anforderungen

Die Microsoft-Produkte und Cloud Services für Unternehmen werden von unabhängigen externen Prüfern gemäß Branchenstandards wie ISO/IEC 27001 und ISO/IEC 27018 geprüft. Des Weiteren unterstützen wir HIPAA und HITECH Act ebenso wie Minimum Acceptable Risk Standards for Exchanges (MARS-E).

HIPAA und HITECH Act sind US-amerikanische Gesetze für den Gesundheitssektor, die Vorgaben für die Verwendung, die Offenlegung und den Schutz von individuell identifizierbaren Gesundheitsdaten festlegen. Gemäß diesen Gesetzen sind Organisationen aus dem Gesundheitssektor dazu verpflichtet, Verträge mit Dienstanbietern wie Microsoft abzuschließen, die Zugriff auf PHI haben und diese verarbeiten. Diese Verträge für Geschäftspartner oder Business Associate Agreements (BAAs) erläutern und beschränken den PHI-Umgang durch den Cloud Service und legen die Einhaltung der Sicherheits- und Datenschutzbestimmungen dieser Gesetze für die einzelnen Parteien dar.

Microsoft hat die seitens HIPAA erforderlichen physischen, technischen und verwaltungsbezogenen Sicherheitsmaßnahmen umgesetzt, um unsere Rolle als Business Associate zu unterstützen. Zudem erfüllen wir die Vorgabe des HITECH Act, nach der Einzelpersonen und Behörden über eine PHI-Verletzung informiert werden müssen. Obwohl es derzeit keine offizielle Compliancezertifizierung nach diesen Gesetzen gibt, wurden die unter ein BAA fallenden Microsoft Cloud Services von anerkannten unabhängigen Dritten geprüft. So umfasst beispielsweise der Prüfumfang von ISO/IEC 27001 auch Kontrollen für HIPAA-Sicherheitsverfahren.

Im HIPAA BAA von Microsoft bieten wir mehr Dienste an als jeder andere Cloudanbieter. Mit Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 und Microsoft Power BI stellen wir umfangreiche und integrierte Lösungen bereit, die von Produktivität und Zusammenarbeit über Relationship-Management für Patienten bis zu Analysen, Anwendungshosting, Datenspeicherung sowie Anwendungs- und Geräteverwaltung reichen.

Durch unser Angebot eines BAA sorgt Microsoft für Ihre HIPAA-Compliance – und Ihre Organisation stellt wiederum sicher, dass Ihre individuelle Nutzung der Microsoft-Dienste den Vorgaben von HIPAA und HITECH Act entspricht. Dazu bieten wir Ihnen Ressourcen wie den Implementierungsleitfaden für HIPAA/HITECH für Azure und für Dynamics 365 und Office 365 sowie unseren Leitfaden mit dem Titel Praktischer Leitfaden für den Entwurf sicherer Lösungen für den Gesundheitssektor mit Microsoft Azure.

Vom Center for Medicare and Medicaid Services (CMS) wurden die Minimum Acceptable Risk Standards for Exchanges (MARS-E) veröffentlicht, in denen Richtlinien für den Umgang mit Vertraulichkeit, Integrität und Verfügbarkeit von geschützten Daten bei Exchange-Märkten dargelegt werden. MARS-E 2.0 stellt Informationen bereit, mit denen diese geschützten Daten gesichert werden sollen, und gilt für alle Verwaltungseinrichtigungen unter dem amerikanischen Affordable Care Act, einschließlich der Exchange-Märkte und Versicherungsbörsen.

Obwohl es derzeit kein formelles Autorisierungs- und Zulassungsverfahren für MARS-E gibt, wurden die Azure Platform-Dienste von unabhängigen FedRAMP-Prüfern geprüft und nach diesen Standards zugelassen. Diese Standards sind zwar nicht speziell auf MARS-E zugeschnitten, doch die Kontrollanforderungen und Zielsetzungen von MARS-E sind nahezu identisch. Dies untermauert, dass Azure gut für den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Daten geeignet ist.

Microsoft sorgt für Datenschutz von PHI und anderen Daten

Unser bewährter Datenschutz basiert auf dem Microsoft-Datenschutzstandard und dem Microsoft Security Development Lifecycle. Prüfungen und Zertifizierungen von Dritten bestätigen unsere strikten technischen Entwicklungsstandards und stellen sicher, dass Datenschutzmaßnahmen systematisch implementiert werden. So hat Microsoft beispielsweise als erster großer Cloudanbieter den weltweit ersten internationalen Verhaltenskodex für Clouddatenschutz ISO/IEC 27018 umgesetzt. Wir unterstützen diese Schutzmaßnahmen zudem mit strengen vertraglichen Verpflichtungen.

Letztlich haben Sie die Kontrolle über die Erfassung, Verwendung und Verteilung Ihrer Daten:

  • Wir verwenden Ihre Kundendaten nur für die Bereitstellung der abgesprochenen Dienste. Wir scannen Ihre Daten nicht zu Werbezwecken oder sehen sie als verkäufliches Produkt an.
  • Sie wissen, in welchen unserer weltweiten Rechenzentren Ihre Kundendaten gespeichert sind. Sie wissen, wer unter welchen Umständen auf sie zugreifen kann und wie sie ordnungsgemäß geschützt, übertragen und gelöscht werden.
  • Wenn Daten von vielen Kunden an einem gemeinsamen physischen Speicherort gespeichert werden, trennen wir die Daten der einzelnen Kunden in den Cloud Services logisch von den Daten anderer Kunden.

Kontaktieren des Trust Center

Benötigen Sie Unterstützung beim Testen unserer Produkte? Können Sie die benötigten Informationen nicht finden?

Benötigen Sie allgemeine technische Unterstützung?

Microsoft-Support kontaktieren