Der Inside-Out-Sicherheits Blog Blog   /     /  

Compliance Brief: HIPAA

Compliance Brief: HIPAA

HIPAA-COMPLIANCE UND VARONIS

Hintergrund
Der Health Insurance Portability and Accountability Act von 1996 (HIPAA), öffentliches Gesetz 104-191, den das amerikanische Gesundheitsministerium (Department of Health and Human Services, DHHS) am 3. November 1999 veröffentlicht hat, empfiehlt Verordnungen zur Bestimmung nationaler Standards für den Datenschutz von Gesundheitsinformationen.

Die Sicherheitsverordnung
Die endgültige Verordnung zu den HIPAA-Sicherheitsstandards wurde am 20. Februar 2003 erlassen. Sie trat am 21. April 2003 mit einer Einhaltungsfrist zum 21. April 2005 für die meisten betroffenen Unternehmen und bis 21. April 2006 für „kleinere Vorhaben“ in Kraft. Die Sicherheitsverordnung ergänzt die Datenschutzverordnung. Während die Datenschutzverordnung alle geschützten Gesundheitsinformationen (Protected Health Information, PHI), einschließlich physischer und elektronischer Informationen betrifft, befasst sich die Sicherheitsverordnung mit elektronischen geschützten Gesundheitsinformationen (Electronic Protected Health Information, EPHI). Sie definiert drei Arten der Sicherheitsanforderungen, die für die Compliance erforderlich sind: administrative, physische und technische Anforderungen.

Wer ist von der Verordnung betroffen
Die folgenden Unternehmen sind von den vorgeschlagenen Bestimmungen betroffen:

  • Alle Unternehmen im Bereich Gesundheitswesen, die Gesundheitsinformationen elektronisch speichern und/oder übermitteln
  • Alle Krankenkassen
  • Alle Abrechnungsstellen im Bereich Gesundheitswesen

Die vorgeschlagenen Bestimmungen schützen Gesundheitsinformationen, die 1) Einzelpersonen identifizieren und 2) die elektronisch gepflegt oder ausgetauscht werden.

Was sind die Kosten und Risiken einer Nichtbeachtung
Am 16. Februar 2006 erließ das amerikanische Gesundheitsministerium (DHHS) die endgültige Verordnung zur HIPAA-Durchsetzung. Sie trat am 16. März 2006 in Kraft. Die endgültige Verordnung befasst sich mit dem Durchsetzungsprozess von Beginn an, d. h. in der Regel eine Beschwerde oder Compliance-Prüfung, bis hin zum Abschluss. Eine Beschwerde oder Compliance-Prüfung könnte zu einer informellen Lösung führen oder zu dem Ergebnis kommen, dass ein Verstoß vorlag oder nicht. Sollte ein Verstoß vorliegen, wird eine zivile Geldstrafe für den Verstoß angesetzt, die von dem betroffenen Unternehmen über eine förmliche Anhörung und einen Berufungsprozess angefochten werden kann. Diese Regeln gelten für alle betroffenen Unternehmen, die gegen eine der Vorgaben zur Implementierung der Vorkehrungen zur einfachen Verwaltung von HIPAA verstoßen.

Anforderungen der Sicherheitsverordnung
Die Sicherheitsverordnungen definieren allgemeine Anforderungen und keine speziellen Technologien. Damit soll innerhalb des HIPAA eine höhere Flexibilität sowie die Möglichkeit zur Integration von technologischen Neuerungen geboten werden. Organisationen müssen ein entsprechendes Niveau an Sicherheitsvorkehrungen basierend auf „Best Practices“ umsetzen; viele dieser Organisationen im Gesundheitswesen könnten jedoch von zwei Regulierungen betroffen sein, die spezielle Anleitungen bereitstellen:

  • Organisationen, die mit Medicare-Patienten zusammenarbeiten, sollten sich über die speziellen Anforderungen zur Finanzierung des Gesundheitssystems bewusst sein.
  • Der Graham-Leach-Bliley-Act definiert bestimmte Anforderungen an Organisationen, die mit Finanzinformationen umgehen, sowie Versicherungsunternehmen oder Krankenhäuser, die Finanzierungen für Behandlungen anbieten.

Wie kann Varonis bei der Umsetzung der HIPAA-Verordnungen helfen?
Die Data-Governance-Lösungen von Varonis helfen „betroffenen Unternehmen“ dabei, die wichtigsten Anforderungen aus den Paragrafen 164.308 (Administrative Anforderungen), 164.312 (Technische Anforderungen) und 164.316 (Dokumentation) der Sicherheitsverordnung zu erfüllen, die auf Daten (Forschungsunterlagen, Patientenakten, Tabellen etc.) angewandt werden, die auf Windows- und UNIX-Dateiservern und Network Attached Storage (NAS) Geräten gespeichert sind. Das unten stehende Diagramm erläutert die anwendbaren Paragraphen der HIPAA-Sicherheitsverordnung und bietet eine kurze Beschreibung der jeweiligen Varonis-Produkte und -Funktionen, helfen, diese Anforderungen zu erfüllen.

Darstellung der Funktionen und Anforderungen

Administrative Anforderungen

Anforderung Beschreibung Varonis-Produkt/Funktion

Sicherheitsmanagementprozess
164.308(a)(1)

Verhindern, Erkennen, Eindämmen und Beheben von Sicherheitsverstößen

Varonis DatAdvantage pflegt einen detaillierten Verlauf aller Objekte, die mit der Varonis-Anwendung verwaltet werden, einschließlich von Benutzern, Benutzergruppen und demzufolge administrativer Konten innerhalb der Benutzerverzeichnisse. Benutzer von DatAdvantage können zu jeder Zeit Berichte erstellen, die aufzeigen, welche Administratoren Sicherheitseinstellungen und Zugriffsberechtigungen auf Dateiservern und deren Inhalt verändert haben. Das gleiche Maß an Details wird auch zu den Benutzeraktivitäten zu den Daten bereitgestellt und zeigt den Zugriffsverlauf sowie jegliche Änderung an den Sicherheitseinstellungen oder bei den Zugriffskontrollen von Dateien oder Ordnern an. Darüber hinaus können für ungewöhnliche oder übermäßige Aktivitäten an wichtigen Datensätzen auch automatische Warnungen oder Berichte eingerichtet werden. Alle diese Funktionen sorgen dafür, dass der Zugriff auf Daten kontinuierlich im Hinblick auf die angemessene Nutzung überwacht wird und Organisationen alle Informationen für forensische Analysen und verbesserte Prozesse bekommen.

Sicherheit der Belegschaft
164.308(a)(3)

Verhinderung, dass Personal, das gemäß Absatz (a)(4) dieses Paragrafen keinen Zugriff hat, Zugriff auf diese elektronischen geschützten Gesundheitsinformationen erhält.

Varonis hilft dabei, diese Anforderungen auf verschiedenste Arten zu erfüllen.

1) Varonis empfiehlt Datenberechtigungen für diejenigen Benutzer aufzuheben, die nicht aufgrund einer geschäftlichne Notwendigkeit zugreifen müssen – das sorgt dafür, dass der Benutzerzugriff auf Daten immer gewährleistet ist und auf den minimal notwendigen Rechten basiert.

2) Varonis erstellt Berichte, die den Verlauf der Aufhebung von Berechtigungen anzeigen sowie den Prozentsatz, um den die übermäßigen Zugriffsberechtigungen reduziert worden sind.

3) Varonis DataPrivilege bietet über eine webbasierte Anwendung einen Mechanismus, über den alle Zugriffsanfragen auf unstrukturierte Daten überwacht und verwaltet (Zugriff zulassen/verweigern) werden können. Antragssteller, Data Owner, technische wie finanzielle Kontrollinstanzen sind alle an der Kommunikation und den Aktionen innerhalb des Systems beteiligt. In Bezug auf Anfragen zum Zugriff auf unstrukturierte Daten auf Laufwerken werden alle ergriffenen Maßnahmen und zugrunde liegenden Begründungen erfasst. Darüber hinaus wird auch ein Workflow durchgesetzt (d. h. Anfragen auf Finanzordner gehen direkt zum Business Owner).

Mit diesen Funktionen können Unternehmen einen Verlauf und eine nachhaltige Umsetzung des Zugriffs der auf Minimalbasis vergebenen Rechte sowie dessen Auswirkungen aufzeigen.

Informationszugriffsmanagement
164.308(a)(4))

Implementieren von Richtlinien und Verfahren für die Genehmigung von Zugriff auf elektronische geschützte Gesundheitsinformationen.

Varonis DataPrivilege hilft Organisationen nicht nur dabei, Richtlinien zu definieren, die bestimmen, wer Zugriff erhält und wer diesen Zugriff auf unstrukturierte Daten erteilen kann, sondern setzt auch die erforderlichen Workflows und gewünschten Aktionen durch (d. h. zulassen, verweigern, für einen bestimmten Zeitraum zulassen). Das hat einen doppelten Effekt auf die Konsistenz und Kommunikation der Zugriffspolitik:

1) Es beteiligt alle Parteien, einschließlich Data Owner, HIPAA-Compliance-Beauftragte, Prüfer, Datennutzer UND die IT, die für einen bestimmten Datensatz verantwortlich sind.

2) Es ermöglicht Organisationen eine kontinuierliche Überwachung des Zugriffs-Frameworks, um Änderungen und Optimierungen für die HIPAA-Compliance umzusetzen, aber auch für die anhaltende Durchsetzung des gewährten Zugriffes zu sorgen.

Technische Anforderungen

Anforderung Beschreibung Varonis-Produkt/Funktion

Zugriffskontrolle
164.312(a)(1))

Genehmigen Sie ausschließlich den Personen oder Software-Programmen Zugriff, die Zugriffsrechte in Übereinstimmung mit 164.308(a)(4) erhalten haben.

Im Wesentlichen sind es zwei Verfahren, mit denen Varonis diese Anforderungen erfüllen hilft:

1) Varonis empfiehlt die Aufhebung von Berechtigungen auf Laufwerksdaten, indem explizit und automatisch die Personen identifiziert werden, die nicht im Sinne des „Need to Know“ auf die Daten zugreifen müssen. Die Varonis-Systemadministratoren können die Empfehlungen von Varonis über diese Anwendung „umsetzen“.

2) Varonis DataPrivilege verlagert die Verantwortung dafür, wer auf welche Daten zugreifen darf von der IT auf die Business Owner der Daten (bei deren Identifizierung Varonis DatAdvantage hilft). Indem die Zugriffskontrolle derart erteilt wird, können Business Owner Begründungen erfassen und die richtigen Personen über Aktionen in Zusammenhang mit ihren Daten informieren.

Audit-Kontrollen
164.312(b)

Erfassen und Untersuchen von Aktivitäten in Informationssystemen, die elektronische geschützte Gesundheitsinformationen enthalten oder verwenden.

Varonis ermöglicht äußerst detaillierte Berichte, einschließlich: Datennutzung (z. B. sämtliche Datenberührungen aller Benutzer); Benutzeraktivität bei vertraulichen/sensiblen Daten; Änderungen wie Sicherheits- und Berechtigungsänderungen, die sich auf die Zugriffsrechte von bestimmten Dateien oder Ordnern auswirken; einen detaillierten Bericht über die aufgehobenen Berechtigungen, einschließlich der Namen der Benutzer und der Datensätze, für die die Berechtigungen aufgehoben wurden. Da DatAdvantage ermöglicht, dass auch die komplexesten Anfragen der Datennutzung innerhalb der Anwendung abgespeichert und in Berichten erfasst werden können, ist die Menge und Art an Informationen, die zur HIPAA-Compliance dokumentiert werden können, nahezu grenzenlos.

Dokumentation
164.316(b)(1))

Pflege von schriftlichen (möglicherweise elektronischen) Berichten über Aktionen, Maßnahmen oder Bewertungen.

Wie oben erwähnt, führt Varonis detaillierte Aktivitätsberichte für alle Benutzerobjekte, einschließlich der Administratoren innerhalb von Active Directory und allen Datenobjekten innerhalb von Dateisystemen. Berichte über Änderungen werden automatisch erstellt und per E-Mail, PDA etc. an die speziell für diesen Zweck definierten Personen geschickt. Diese Berichte können in einer speziell definierten Häufigkeit erstellt und versandt werden, damit die zuständigen Parteien stets rechtzeitig und in Übereinstimmung mit den Kommunikationsrichtlinien der Organisation über Änderungen an den Zugriffskontrollen informiert werden.

The post Compliance Brief: HIPAA appeared first on Varonis Deutsch.

Wir sind Varonis.

Seit 2005 schützen wir, mit unserer Datensicherheits- plattform, wertvolle Daten von Unternehmen in aller Welt, vor feindlichen Übergriffen.

Wie Varonis funktioniert