Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

Artikel
01/31/2024

HIPAA und der HITECH Act (Übersicht)

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) und die im Rahmen der HIPAA erlassenen Vorschriften sind eine Reihe von US-Gesundheitsgesetzen, die Anforderungen für die Verwendung, Offenlegung und den Schutz individuell identifizierbarer Gesundheitsinformationen festlegen. Der Anwendungsbereich des HIPAA wurde 2009 mit der Verabschiedung des HITECH-Gesetzes (Health Information Technology for Economic and Clinical Health) erweitert.

HIPAA gilt für erfasste Entitäten (insbesondere Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen im Gesundheitswesen), die geschützte Gesundheitsinformationen (PHI) von Patienten erstellen, empfangen, verwalten, übertragen oder darauf zugreifen. HIPAA gilt darüber hinaus für Geschäftspartner von erfassten Entitäten, die bestimmte Funktionen oder Aktivitäten im Zusammenhang mit PHI im Rahmen der Erbringung von Dienstleistungen für die abgedeckte Entität oder im Namen der abgedeckten Entität ausführen.

Wenn eine abgedeckte Entität die Dienste eines Clouddienstanbieters wie Microsoft in Anspruch setzt, ist der Clouddienstanbieter ein Geschäftspartner gemäß HIPAA. Darüber hinaus wird der Clouddienstanbieter auch zum Geschäftspartner, wenn er mit einem Clouddienstanbieter Unteraufträge für die Erstellung, den Empfang, die Wartung oder die Übertragung von PHI an einen Clouddienstanbieter unternimmt.

Microsoft, HIPAA und der HITECH Act

HIPAA-Vorschriften erfordern, dass erfasste Entitäten (definiert nach den Regeln) Vereinbarungen mit Geschäftspartnern schließen, um sicherzustellen, dass PHI angemessen geschützt wird. Diese Vereinbarung wird als Geschäftspartnervereinbarung bezeichnet. Eine Geschäftspartnervereinbarung legt unter anderem die zulässigen und erforderlichen Verwendungen und Offenlegungen von PHI durch den Geschäftspartner fest, basierend auf der Beziehung zwischen den Parteien und den Aktivitäten oder Dienstleistungen, die vom Geschäftspartner ausgeführt werden. Um unsere Kunden bei der Nutzung von Microsoft-Unternehmensprodukten und -Diensten bei der Einhaltung von HIPAA zu unterstützen, schließt Microsoft Geschäftspartnervereinbarungen mit der abgedeckten Entität und Geschäftspartner-Kunden ab.

Es gibt derzeit keinen Zertifizierungsstandard, der vom Department of Health and Human Services genehmigt wurde, um die Einhaltung von HIPAA oder dem HITECH Act durch einen Geschäftspartner nachzuweisen. Microsoft ermöglicht Kunden jedoch die Einhaltung von HIPAA und dem HITECH Act und hält sich als Geschäftspartner an die Sicherheitsregelanforderungen von HIPAA. Darüber hinaus schließt Microsoft Geschäftspartnervereinbarungen mit der betroffenen Entität und den Geschäftspartnern ab, um deren Einhaltung von HIPAA-Verpflichtungen zu unterstützen.

Zertifizierungen von Drittanbietern

Microsoft-Dienste, die unter das BAA fallen, wurden von akkreditierten unabhängigen Prüfern für die Microsoft ISO/IEC 27001-Zertifizierung und die HITRUST CSF-Zertifizierung auditiert.

Microsoft Enterprise Cloud-Dienste sind auch durch FedRAMP-Bewertungen abgedeckt. Microsoft Azure und Microsoft Azure Government vom FedRAMP Joint Authorization Board eine vorläufige Autorität für den Betrieb erhalten; Microsoft Dynamics 365 US-Regierung erhielt vom US Department of Housing and Urban Development eine Agency Authority to Operate vom US Department of Housing and Urban Development, ebenso wie Microsoft Office 365 US-Regierung vom US Department of Health and Human Services.

Wenn Sie erfahren möchten, wie die Microsoft-Cloud Kunden dabei unterstützt, HIPAA und die HITECH-Anforderungen zu erfüllen, besuchen Sie die Microsoft-Kundenreferenzen.

Zu Microsoft gehörende Cloudplattformen und -dienste

Azure und Azure Government
Azure DevOps Services
Dynamics 365 und Dynamics 365 U.S. Government
Intune
Microsoft Defender for Cloud Apps
Microsoft Defender Experten für Bedrohungssuche (Onlinedienste-Komponente)
Microsoft Defender Experts for XDR (Onlinedienste-Komponente)
Microsoft Healthcare Bot Service
Microsoft Managed Desktop
Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for Business
Office 365, Office 365 US-Regierung
Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite von Office 365 oder Dynamics 365 mit Branding
Windows 365

Azure, Dynamics 365 und HIPAA

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure HIPAA-Angebot.

Office 365 und HIPAA

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit	Im Leistungsumfang enthaltene Dienste
Kommerziell	Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Customer Portal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Anwendungsprogramm), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream
GCC	Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Anwendbarkeit

Im Leistungsumfang enthaltene Dienste

Kommerziell

Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Customer Portal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Anwendungsprogramm), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream

GCC

Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Häufig gestellte Fragen

Kann meine Organisation einen Vertrag für Geschäftspartner (BAA) mit Microsoft eingehen?

Ja. Microsoft bietet seinen kundenseitig abgedeckten Unternehmen und Geschäftspartnern eine Geschäftspartnervereinbarung an, die sich auf microsoft-dienste erstreckt.

Die Microsoft HIPAA Business Associate-Vereinbarung ist standardmäßig über den Microsoft Online Services-Datenschutz-Nachtrag für alle Kunden verfügbar, die unter HIPAA fallende Entitäten oder Geschäftspartner sind. Eine Liste der Clouddienste, die von diesem BAA abgedeckt werden, finden Sie auf dieser Website unter „Microsoft Cloud Services im Leistungsumfang“.

Der HIPAA-Vertrag für Geschäftspartner ist auch für microsoft Professional Services verfügbar. Wenden Sie sich an Ihren Microsoft-Servicemitarbeiter, um weitere Informationen zu erhalten.

Stellt eine Geschäftspartnervereinbarung mit Microsoft sicher, dass meine organization hipaa und den HITECH Act einhalten?

Nein Durch das Anbieten eines Geschäftspartnervertrags unterstützt Microsoft Ihre HIPAA-Compliance. Die Verwendung von Microsoft-Diensten allein führt jedoch nicht zur HIPAA-Konformität. Ihr organization ist dafür verantwortlich sicherzustellen, dass Sie über ein angemessenes Complianceprogramm und interne Prozesse verfügen und dass Ihre besondere Nutzung von Microsoft-Diensten Ihren Verpflichtungen gemäß HIPAA und dem HITECH Act entspricht.

Kann Microsoft die Vereinbarung für Geschäftspartner meiner organization verwenden?

Nein, Microsoft kann die Geschäftspartnervereinbarung eines Kunden nicht verwenden. Da wir hyperskalierte, mehrinstanzenfähige Dienste anbieten, die für alle unsere Kunden standardisiert sind, müssen wir konsistent arbeiten. Die Microsoft HIPAA Business Associate-Vereinbarung spiegelt genau wider, wie wir arbeiten. Um den Anforderungen der Gesundheitsbranche gerecht zu werden, hat Microsoft mit einem Konsortium von akademischen medizinischen Zentren und anderen öffentlichen und privaten Unternehmen im Gesundheitswesen zusammengearbeitet, um eine Vereinbarung für Geschäftspartner zu erstellen, die sich an unseren skalierungsorientierten Serviceangeboten orientiert und die Anforderungen der Kunden erfüllt.

Wie erhalte ich Kopien von Überwachungsberichten von Drittanbietern?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Prüfberichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können. Azure-Kunden können auch Azure-Zertifikate und -Überwachungsberichte im Azure-Portal über das Blatt "Überwachungsberichte" in Microsoft Defender für Cloud abrufen.

Wie kann ich mehr darüber erfahren, wie Microsoft die Einhaltung von HIPAA und dem HITECH Act unterstützt?

Um Kunden bei dieser Aufgabe zu unterstützen, hat Microsoft diesen Leitfaden veröffentlicht:

Der HIPAA/HITECH Act-Implementierungsleitfaden für Azure für Datenschutz-, Sicherheits- und Compliancebeauftragte und andere Personen, die für die Implementierung des HIPAA- und HITECH-Gesetzes verantwortlich sind, beschreibt konkrete Schritte, die Ihre organization ergreifen können, um die Compliance aufrechtzuerhalten.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.