Wie Sie Ihre App für das Gesundheitswesen HIPAA-konform machen

Unter anderem schützt HIPAA die Gesundheitsdaten der Patienten.

Anthem, die größte US-Versicherungsgesellschaft, hat dies auf die harte Tour gelernt.

Was mit einer einfachen Phishing-E-Mail begann, führte zum größten Datenschutzverstoß im Gesundheitswesen der Geschichte. Die Hacker stahlen die Daten von 79 Millionen Patienten. Zu den Informationen gehörten ihre Namen, Sozialversicherungsnummern und Krankenversicherungskarten.

Die wütenden Patienten verklagten Anthem und erhielten einen Vergleich in Höhe von 115 Millionen Dollar. Obwohl das Unternehmen die Geldstrafen der Aufsichtsbehörde vermieden hat, muss es bis zu 260 Millionen Dollar aufwenden, um seine Sicherheit zu verbessern.

Das HHS Office for Civil Rights (OCR) überwacht die Einhaltung des HIPAA. Allein im Jahr 2017 hat es gegen US-Gesundheitsdienstleister Geldstrafen in Höhe von fast 20 Millionen US-Dollar verhängt.

Selbst wenn Sie eine kleine Organisation sind, kann die Vernachlässigung der HIPAA-Anforderungen zu ernsthaften Problemen führen.

Im Jahr 2013 hatte Fresenius Medical Care North America fünf Datenschutzverletzungen. Zusammengenommen waren die Daten von nur 525 Patienten betroffen. Aber das Unternehmen musste eine monströse Strafe in Höhe von 3,5 Millionen Dollar zahlen, weil es die Sicherheitsrisiken nicht ordnungsgemäß analysiert hatte.

Abhängig vom Grad der Fahrlässigkeit gibt es vier Arten von HIPAA-Strafen:

HIPAA-Glossar

Sie sollten diese drei Schlüsselbegriffe verstehen, bevor Sie sich mit den HIPAA-Anforderungen auseinandersetzen.

• Geschützte Gesundheitsinformationen (PHI) – alle Daten, die zur Identifizierung eines Patienten verwendet werden können.

PHI besteht aus zwei Teilen: Gesundheitsinformationen und persönliche Identifikatoren. Zu letzteren gehören Patientennamen, Adressen, Geburtsdaten, Sozialversicherungsnummern, Krankenakten, Fotos usw. Die Tatsache, dass eine Person medizinische Leistungen in Anspruch genommen hat, ist an sich schon ein PHI.

Was wird als PHI betrachtet? Die vollständige Liste.

• Abgedeckte Einrichtungen – Organisationen und Einzelpersonen, die Gesundheitsdienstleistungen/-operationen anbieten oder Zahlungen dafür annehmen.

Dazu gehören alle Gesundheitsdienstleister (z. B. Krankenhäuser, Ärzte, Zahnärzte, Psychologen), Gesundheitspläne (z. B. Versicherungsanbieter, HMOs, staatliche Programme wie Medicare und Medicaid) und Clearingstellen (die Organisationen, die als Vermittler zwischen den Gesundheitsdienstleistern und den Versicherungsgesellschaften fungieren).

• Geschäftspartner – Dritte, die PHI im Auftrag der betroffenen Einrichtungen behandeln.

Diese Kategorie umfasst die Entwickler von Gesundheitsanwendungen, Hosting-/Datenspeicheranbieter, E-Mail-Dienste usw.

Nach dem HIPAA müssen Sie mit jeder Partei, die Zugang zu Ihren PHI hat, eine Geschäftspartnervereinbarung (BAA) unterzeichnen. Die Entscheidung, keine BAA zu unterzeichnen, entbindet Sie nicht von den HIPAA-Anforderungen.

Es kann viele unbeabsichtigte Wege geben, auf denen sensible Daten in Ihr System gelangen können.

Nehmen wir zum Beispiel einen Dienst, der es Ärzten ermöglicht, Hautkrankheiten auf der Grundlage anonymer Fotos zu diagnostizieren. Die App verarbeitet keine PHI, da die Nutzer nicht identifiziert werden können. Aber sobald Sie den Namen oder die Adresse der Person zu den Fotos hinzufügen, werden diese zu PHI.

Wenn Ihre Anwendung PHI sammelt, speichert oder an die betroffenen Stellen überträgt, müssen Sie den HIPAA einhalten.

Wie wird man HIPAA-konform?

Um HIPAA-konform zu sein, müssen Sie regelmäßige technische und nicht-technische Bewertungen Ihrer Bemühungen zum Schutz von Gesundheitsinformationen vornehmen und diese sorgfältig dokumentieren. Die Aufsichtsbehörde hat ein Musterprüfungsprotokoll veröffentlicht, das Ihnen helfen kann, Ihre HIPAA-Konformität zu bewerten.

Sie können einen unabhängigen Prüfer beauftragen, die Bewertung für Sie durchzuführen. Es gibt viele Organisationen wie HITRUST, die sich auf diese Art von Prüfungen spezialisiert haben. Denken Sie nur daran, dass OCR keine Zertifikate von Drittanbietern anerkennt.

Technische Sicherheitsvorkehrungen. Sicherheitsmaßnahmen wie Anmeldung, Verschlüsselung, Notfallzugang, Aktivitätsprotokolle usw. Das Gesetz legt nicht fest, welche Technologien Sie zum Schutz von PHI verwenden sollten.

Physikalische Schutzmaßnahmen zielen darauf ab, die Einrichtungen und Geräte zu sichern, in denen PHI gespeichert werden (Server, Rechenzentren, PCs, Laptops usw.).

Bei modernen Cloud-basierten Lösungen gilt diese Regel vor allem für HIPAA-konformes Hosting.

Das Gesetz gilt für ein breites Spektrum an medizinischer Software. Ein Krankenhausmanagementsystem (HMS) unterscheidet sich grundlegend von Ferndiagnose-Apps. Es gibt jedoch einige Funktionen, die für alle HIPAA-konformen Anwendungen unerlässlich sind.

Hier ist also eine Mindestliste der erforderlichen Funktionen für HIPAA-konforme Software:

1. Zugriffskontrolle

Jedes System, das PHI speichert, sollte einschränken, wer die sensiblen Daten einsehen oder ändern kann. Gemäß der HIPAA Privacy Rule darf niemand mehr Patientendaten sehen, als für seine Arbeit erforderlich ist. Die Vorschrift schreibt auch die De-Identifizierung, das Recht des Patienten auf Einsicht in seine eigenen Daten und die Möglichkeit vor, den Zugang zu seinen PHI zu gewähren oder einzuschränken.

Eine Möglichkeit, dies zu erreichen, besteht darin, jedem Benutzer eine eindeutige ID zuzuweisen. Auf diese Weise können Sie die Aktivitäten der Personen, die auf Ihr System zugreifen, identifizieren und nachverfolgen.

Als Nächstes müssen Sie jedem Benutzer eine Liste von Berechtigungen zuweisen, die es ihm ermöglichen, bestimmte Informationen anzuzeigen oder zu ändern. Sie können den Zugriff auf einzelne Datenbankentitäten und URLs regeln.

In ihrer einfachsten Form besteht die benutzerbasierte Zugriffskontrolle aus zwei Datenbanktabellen. Eine Tabelle enthält die Liste aller Privilegien und deren IDs. Die zweite Tabelle weist diese Rechte den einzelnen Benutzern zu.

In diesem Beispiel kann der Arzt (Benutzer-ID 1) die Krankenakten erstellen, ansehen und ändern, während der Radiologe (Benutzer-ID 2) sie nur aktualisieren kann.
Eine rollenbasierte Zugriffskontrolle ist eine weitere Möglichkeit, diese Anforderung umzusetzen. Damit können Sie verschiedenen Benutzergruppen je nach ihrer Position (z. B. Ärzten, Labortechnikern, Administratoren) Zugriffsrechte zuweisen.

2. Authentifizierung von Personen oder Einrichtungen

Nach der Zuweisung von Zugriffsrechten sollte Ihr System in der Lage sein, zu überprüfen, ob die Person, die versucht, auf PHI zuzugreifen, diejenige ist, die sie zu sein vorgibt. Das Gesetz bietet mehrere allgemeine Möglichkeiten, wie Sie diesen Schutz umsetzen können:

Ein Passwort ist eine der einfachsten Authentifizierungsmethoden. Leider ist es auch eine der am leichtesten zu knackenden. Nach Angaben von Verizon sind 63 % der Datenschutzverletzungen auf schwache oder gestohlene Passwörter zurückzuführen. In einem anderen Bericht heißt es, dass ein Fünftel der Benutzer in Unternehmen leicht kompromittierbare Passwörter haben.

Ein wirklich sicheres Passwort hingegen:

• besteht aus mindestens 8-12 Zeichen, die Großbuchstaben, Zahlen und Sonderzeichen enthalten;
• schließt die häufig verwendeten Kombinationen aus (z. B. „password“, „123456“, „qwerty“ und aus unerklärlichen Gründen „monkey“) und Vokabeln;
• Schaltet alle Variationen des Benutzernamens aus;
• Verhindert die Wiederverwendung von Passwörtern.

Alternativ könnte es auch eine Aneinanderreihung von zufälligen Wörtern sein, die wie ein Eis am Stiel zusammengeschlagen werden.

Ihre Anwendung könnte diese Anforderungen auf dem Anmeldebildschirm überprüfen und Benutzern mit schwachen Passwörtern den Zugang verweigern.

Es gibt kein Zuviel an Sicherheit. Quelle: mailbox.org

Einige Unternehmen zwingen ihre Mitarbeiter, ihre Passwörter etwa alle 90 Tage zu ändern. Wenn Sie das zu oft tun, kann das Ihren Sicherheitsbemühungen sogar schaden. Wenn Menschen dazu gezwungen werden, ihre Passwörter zu ändern, denken sie sich oft unoriginelle Kombinationen aus (z. B. Passwort ⇒ pa$$wort).

Außerdem können Hacker ein schlechtes Passwort innerhalb von Sekunden knacken und sofort verwenden.

Deshalb sollten Sie den Einsatz einer Zwei-Faktor-Authentifizierung in Betracht ziehen. Solche Systeme kombinieren ein sicheres Passwort mit einer zweiten Verifizierungsmethode. Dabei kann es sich um einen biometrischen Scanner oder einen einmaligen Sicherheitscode handeln, den Sie per SMS erhalten.

Die Idee ist einfach: Selbst wenn Hacker irgendwie an Ihr Kennwort gelangen, müssten sie Ihr Gerät oder Ihre Fingerabdrücke stehlen, um auf Ihre persönlichen Daten zuzugreifen.

Aber eine sichere Authentifizierung reicht nicht aus. Einige Angreifer könnten zwischen das Gerät des Benutzers und Ihre Server gelangen. Auf diese Weise könnten die Hacker auf die PHI zugreifen, ohne das Konto zu gefährden. Dies wird als Session Hijacking bezeichnet, eine Art Man-in-the-Middle-Angriff.

Eine der möglichen Methoden, eine Sitzung zu entführen. Quelle: Heimdal Security

Eine digitale Signatur ist eine Möglichkeit, sich gegen solche Angriffe zu schützen. Die erneute Eingabe des Kennworts bei der Unterzeichnung eines Dokuments würde die Identität des Benutzers beweisen.

Wenn die Rollen in Ihrem System komplexer werden, kann die HIPAA-Autorisierung der Hilfe für Patienten im Wege stehen. Es ist sinnvoll, einen Notfallzugang zu implementieren. Solche Verfahren ermöglichen es autorisierten Benutzern, alle Daten einzusehen, die sie benötigen, wenn es die Situation erfordert.

Ein Arzt könnte beispielsweise in einem Notfall auf die PHI eines beliebigen Patienten zugreifen. Gleichzeitig würde das System automatisch mehrere andere Personen benachrichtigen und ein Überprüfungsverfahren einleiten.

3. Übertragungssicherheit

Sie sollten die PHI, die Sie über das Netz und zwischen den verschiedenen Ebenen Ihres Systems senden, schützen.

Deshalb sollten Sie HTTPS für Ihre gesamte Kommunikation erzwingen (oder zumindest für die Anmeldebildschirme, alle Seiten, die PHI und Autorisierungs-Cookies enthalten). Bei diesem sicheren Kommunikationsprotokoll werden die Daten mit SSL/TLS verschlüsselt. Mithilfe eines speziellen Algorithmus werden PHI in eine Zeichenkette umgewandelt, die ohne Entschlüsselungsschlüssel bedeutungslos ist.

Eine Datei namens SSL-Zertifikat bindet den Schlüssel an Ihre digitale Identität.

Wenn eine HTTP-Verbindung mit Ihrer Anwendung hergestellt wird, fordert der Browser Ihr Zertifikat an. Der Client prüft dann dessen Glaubwürdigkeit und leitet den sogenannten SSL-Handshake ein. Das Ergebnis ist ein verschlüsselter Kommunikationskanal zwischen dem Benutzer und Ihrer Anwendung.

Um HTTPS für Ihre Anwendung zu aktivieren, besorgen Sie sich ein SSL-Zertifikat von einem der vertrauenswürdigen Anbieter und installieren Sie es ordnungsgemäß.

Stellen Sie außerdem sicher, dass Sie ein sicheres SSH- oder FTPS-Protokoll verwenden, um die Dateien mit PHI zu senden, anstatt das reguläre FTP.

SSL-Handshake; Quelle: the SSL store

E-Mail ist kein sicherer Weg, um PHI zu senden.

Beliebte Dienste wie Gmail bieten nicht den notwendigen Schutz. Wenn Sie E-Mails mit PHI über Ihren Firewall-Server hinaus versenden, sollten Sie sie verschlüsseln. Es gibt viele Dienste und Browsererweiterungen, die dies für Sie erledigen können. Alternativ können Sie auch einen HIPAA-konformen E-Mail-Dienst wie Paubox verwenden.

Sie sollten auch Richtlinien einführen, die die Weitergabe von Informationen per E-Mail einschränken.

4. Verschlüsselung/Entschlüsselung

Verschlüsselung ist der beste Weg, um die Integrität von PHI zu gewährleisten. Selbst wenn es Hackern gelingen sollte, Ihre Daten zu stehlen, würden sie ohne die Entschlüsselungsschlüssel wie Kauderwelsch aussehen.

Unverschlüsselte Laptops und andere tragbare Geräte sind eine häufige Ursache für Verstöße gegen den HIPAA. Um auf Nummer sicher zu gehen, verschlüsseln Sie die Festplatten aller Geräte, die vertrauliche Daten enthalten. Sie können dies mit kostenlosen Verschlüsselungsprogrammen wie BitLocker für Windows oder FileVault für Mac OS tun.

5. PHI-Entsorgung

Sie sollten PHI dauerhaft vernichten, wenn sie nicht mehr benötigt werden. Solange die Kopie in einer Ihrer Sicherungskopien verbleibt, gelten die Daten nicht als „entsorgt“.

Im Jahr 2010 gab Affinity Health Plan seine Fotokopierer an die Leasingfirma zurück. Die Festplatten der Geräte wurden jedoch nicht gelöscht. Durch den daraus resultierenden Verstoß wurden die personenbezogenen Daten von mehr als 344 000 Patienten offengelegt.

Affinity musste für diesen Vorfall 1,2 Millionen Dollar zahlen.

PHI kann sich an vielen unerwarteten Orten verstecken: Fotokopierer, Scanner, biomedizinische Geräte (z. B. MRT- oder Ultraschallgeräte), tragbare Geräte (z.z. B. Laptops), alte Disketten, USB-Flash-Laufwerke, DVDs/CDs, Speicherkarten, Flash-Speicher in Hauptplatinen und Netzwerkkarten, ROM/RAM-Speicher usw.

Zusätzlich zum Löschen der Daten sollten Sie auch die Medien, die PHI enthalten, ordnungsgemäß zerstören, bevor Sie sie wegwerfen oder weggeben. Je nach Situation können Sie sie entweder magnetisch löschen (z. B. mit einem Degausser), die Daten mit einer Software wie DBAN überschreiben oder das Laufwerk physisch zerstören (z. B. mit einem Hammer).

Bei Flash-basierten Speicherlaufwerken (z. B. USB-Sticks) sind die Daten über das gesamte Medium verteilt, um Verschleiß zu vermeiden. Aus diesem Grund ist es schwierig, die sensiblen Informationen mit regulärer Datenvernichtungs-Software vollständig zu löschen. Sie können jedoch Dienstprogramme des Herstellers wie Samsung Magician Software verwenden, um Ihre Flash-Laufwerke zu entsorgen (oder einfach einen Hammer benutzen).

6. Datensicherung und -speicherung

Sicherungen sind für die Datenintegrität unerlässlich. Eine Datenbankbeschädigung oder ein Serverabsturz kann Ihre PHI leicht beschädigen. Das Gleiche gilt für einen Brand in einem Datenzentrum oder ein Erdbeben.

Deshalb ist es wichtig, mehrere Kopien Ihrer PHI an verschiedenen Orten zu speichern.

Ihr PHI-Sicherungsplan sollte die Wahrscheinlichkeit einer Datenkompromittierung bestimmen. Alle Informationen mit hohem und mittlerem Risiko sollten täglich gesichert und in einer sicheren Einrichtung aufbewahrt werden. Außerdem sollten Sie mit Ihren Backup-Anbietern eine BAA unterzeichnen.

Ein Backup ist nutzlos, wenn man es nicht wiederherstellen kann.

Im August 2016 wurde Martin Medical Practice Concepts Opfer eines Ransomware-Angriffs. Das Unternehmen bezahlte die Hacker, um die PHI zu entschlüsseln. Aufgrund eines Backup-Fehlers verloren die örtlichen Krankenhäuser jedoch Informationen über 5.000 Patienten.

Testen Sie Ihr System regelmäßig, um Wiederherstellungsfehler zu vermeiden. Sie sollten auch die Ausfallzeiten des Systems und alle Fehler bei der Sicherung der PHI protokollieren.

Und denken Sie daran, dass die Sicherungen selbst den HIPAA-Sicherheitsstandards entsprechen sollten.

7. Prüfkontrollen

Das Fehlen von Prüfkontrollen kann zu höheren Geldstrafen führen.

Sie sollten überwachen, was mit den in Ihrem System gespeicherten PHI geschieht. Erfassen Sie jedes Mal, wenn sich ein Benutzer bei Ihrem System an- und abmeldet. Sie sollten wissen, wer, wann und wo auf die sensiblen Daten zugegriffen, sie aktualisiert, geändert oder gelöscht hat.

Die Überwachung kann durch Software, Hardware oder verfahrenstechnische Mittel erfolgen. Eine einfache Lösung wäre die Verwendung einer Tabelle in einer Datenbank oder einer Protokolldatei zur Aufzeichnung aller Interaktionen mit den Patientendaten.

Eine solche Tabelle sollte aus fünf Spalten bestehen:

• user_id. Der eindeutige Bezeichner des Benutzers, der mit PHI interagiert hat;
• Entity_name. Die Entität, mit der der Benutzer interagiert hat (eine Entität ist eine Darstellung eines realen Konzepts in Ihrer Datenbank, z. B. ein Gesundheitsdatensatz);
• datensatz_id. Der Bezeichner der Entität;
• Aktionsart. Die Art der Interaktion (Erstellen, Lesen, Aktualisieren oder Löschen);
• action_time. Der genaue Zeitpunkt der Interaktion.

In diesem Beispiel hat ein Arzt (user_id 1) den Datensatz eines Patienten erstellt, ein Radiologe hat ihn eingesehen und später hat derselbe Arzt den Datensatz geändert.

Die Aktivitätsprotokolle müssen regelmäßig überprüft werden, um festzustellen, ob einige Benutzer ihre Privilegien für den Zugriff auf PHI missbrauchen.

8. Automatische Abmeldung

Ein System mit PHI sollte jede Sitzung nach einer bestimmten Zeit der Inaktivität automatisch beenden. Um fortzufahren, müsste der Benutzer sein Passwort erneut eingeben oder sich auf andere Weise autorisieren.

Dies würde PHI schützen, wenn jemand sein Gerät verliert, während er bei Ihrer Anwendung angemeldet ist.

Die genaue Zeitspanne der Inaktivität, die die Abmeldung auslöst, sollte von den Besonderheiten Ihres Systems abhängen.

Bei einer sicheren Workstation in einer stark geschützten Umgebung können Sie den Timer auf 10-15 Minuten einstellen. Bei webbasierten Lösungen sollte dieser Zeitraum 10 Minuten nicht überschreiten. Und für eine mobile App können Sie den Timeout auf 2-3 Minuten einstellen.

Die verschiedenen Programmiersprachen implementieren die automatische Abmeldung auf unterschiedliche Weise.

Quelle: MailChimp

9. Extra-Sicherheit für mobile Apps

Mobile Geräte bergen viele zusätzliche Risiken. Ein Smartphone kann leicht gestohlen werden oder in einem stark frequentierten Bereich verloren gehen und die sensiblen Daten gefährden.

Um dies zu verhindern, können Sie Folgendes verwenden:

• Bildschirmsperre (Android/iOS);
• Gerätevollverschlüsselung (Android/iOS);
• Ferngesteuerte Datenlöschung (Android/iOs).

Sie können den Nutzern diese Funktionen nicht aufzwingen, aber Sie können sie dazu ermutigen, sie zu nutzen. Sie können die Anweisungen in Ihre Einweisung aufnehmen oder E-Mails versenden, in denen beschrieben wird, wie sie zu aktivieren sind.

Tipp: Sie können PHI in einem sicheren Container getrennt von den personenbezogenen Daten speichern. Auf diese Weise können Sie die Gesundheitsdaten aus der Ferne löschen, ohne dass sich dies auf andere Daten auswirkt.

Viele Ärzte verwenden persönliche Smartphones, um Gesundheitsdaten zu versenden. Sie können diese Bedrohung mit sicheren Messaging-Plattformen neutralisieren.

Solche Anwendungen hosten die sensiblen Daten in einer sicheren Datenbank. Um auf die PHI zugreifen zu können, müssen die Benutzer den Messenger herunterladen und sich in ihre Konten einloggen.

Eine andere Lösung sind verschlüsselte, passwortgeschützte Gesundheitsportale, auf denen Patienten Nachrichten von ihren Ärzten lesen können. Solche Portale senden Benachrichtigungen, die keine PHI enthalten (z. B. „Sehr geehrter Benutzer, Sie haben eine neue Nachricht von „).

Denken Sie daran, dass Push-Benachrichtigungen standardmäßig nicht sicher sind. Sie können auf dem Bildschirm erscheinen, auch wenn dieser gesperrt ist. Achten Sie also darauf, dass Sie keine PHI über Push-Benachrichtigungen versenden. Das Gleiche gilt für SMS und alle automatischen Nachrichten.

Quelle: Bridge Patient Portal

Ein weiterer Punkt, den es zu beachten gilt, ist, dass die FDA einige mHealth-Apps als medizinische Geräte einstuft (Software, die den Entscheidungsfindungsprozess von Fachleuten im Gesundheitswesen beeinflusst).

Denken Sie also daran, zu prüfen, ob Ihre App anderen Gesundheitsvorschriften entsprechen muss, bevor Sie mit der Entwicklung beginnen. Sie können diesen Test der Federal Trade Commission durchführen, um eine schnelle Antwort zu erhalten.

Zusammenfassung

Jetzt haben Sie eine Mindestliste von Funktionen für HIPAA-konforme Software.

Alleine können sie die Sicherheit nicht garantieren. Sie werden Sie nicht vor Phishing oder Social Engineering schützen.

Aber diese Funktionen sollten einen Prüfer davon überzeugen, dass Sie genug getan haben, um Ihre Kundendaten zu schützen.

Um Prüfungen weniger schmerzhaft zu machen, dokumentieren Sie alle Ihre Bemühungen um die Einhaltung des HIPAA. Legen Sie für jede Version Ihrer Anwendung die schriftlichen Spezifikationen, Pläne für Sicherheitstests und deren Ergebnisse vor. Und vergessen Sie nicht zu prüfen, ob Sie noch andere Vorschriften einhalten müssen, bevor Sie mit der Entwicklung beginnen.