Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

HIPAA und der HITECH Act (Übersicht)

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) und die im Rahmen der HIPAA erlassenen Vorschriften sind eine Reihe von US-Gesundheitsgesetzen, die Anforderungen für die Verwendung, Offenlegung und Sicherung von individuell identifizierbaren Gesundheitsdaten festlegen. Der Geltungsbereich der HIPAA wurde 2009 mit der Verabschiedung des HITECH-Gesetzes (Health Information Technology for Economic and Clinical Health) erweitert.

HIPAA gilt für erfasste Entitäten (insbesondere Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen für die Gesundheitsversorgung), die geschützte Gesundheitsinformationen (PHI) von Patienten erstellen, empfangen, pflegen, übertragen oder darauf zugreifen. HIPAA gilt darüber hinaus für Geschäftspartner von erfassten Unternehmen, die bestimmte Funktionen oder Aktivitäten ausführen, an denen PHI im Rahmen der Erbringung von Dienstleistungen für die erfasste Entität oder im Namen der erfassten Entität beteiligt ist.

Wenn eine erfasste Entität die Dienste eines Clouddienstanbieters einbindet, z. B. Microsoft, wäre der Clouddienstanbieter ein Geschäftspartner unter HIPAA. Darüber hinaus wird der Clouddienstanbieter auch zu einem Geschäftspartner, wenn ein Geschäftspartner PHI mit einem Clouddienstanbieter subunternehmert, um PHI zu erstellen, zu empfangen, zu warten oder zu übertragen.

Microsoft, HIPAA und der HITECH Act

HIPAA-Vorschriften erfordern, dass erfasste Entitäten (gemäß den Regeln definiert) Vereinbarungen mit Geschäftspartnern abschließen, um sicherzustellen, dass PHI angemessen geschützt ist. Diese Vereinbarung wird als Geschäftspartnervereinbarung bezeichnet. Unter anderem legt ein Geschäftspartnervertrag die zulässigen und erforderlichen Verwendungen und Offenlegungen von PHI durch den Geschäftspartner fest, basierend auf der Beziehung zwischen den Parteien und den Tätigkeiten oder Dienstleistungen, die vom Geschäftspartner ausgeführt werden. Um die Compliance unserer Kunden mit HIPAA bei der Nutzung von Microsoft Enterprise-Produkten und -Diensten zu unterstützen, schließt Microsoft Geschäftspartnervereinbarungen mit seinen abgedeckten Unternehmen und Geschäftspartnern ab.

Es gibt derzeit keinen Zertifizierungsstandard, der vom Department of Health and Human Services genehmigt wurde, um die Einhaltung der HIPAA oder des HITECH Act durch einen Geschäftspartner nachzuweisen. Microsoft ermöglicht Kunden jedoch die Einhaltung der HIPAA und des HITECH Act und hält sich als Geschäftspartner an die Sicherheitsregelanforderungen von HIPAA. Darüber hinaus schließt Microsoft Geschäftspartnervereinbarungen mit seinen erfassten Unternehmen und Geschäftspartnern ab, um ihre Einhaltung der HIPAA-Verpflichtungen zu unterstützen.

Zertifizierungen von Drittanbietern

Microsoft-Dienste, die unter die BAA fallen, wurden von akkreditierten unabhängigen Auditoren für die Zertifizierung von Microsoft ISO/IEC 27001 und die HITRUST CSF-Zertifizierung durchgeführt.

Microsoft Enterprise Cloud-Dienste sind auch durch FedRAMP-Bewertungen abgedeckt. Microsoft Azure und Microsoft Azure Government vom FedRAMP Joint Authorization Board eine vorläufige Behörde für den Betrieb erhalten; Microsoft Dynamics 365 U.S. Government erhielt eine Agency Authority to Operate vom US Department of Housing and Urban Development, wie Microsoft Office 365 U.S. Government vom U.S. Department of Health and Human Services.

Wenn Sie erfahren möchten, wie die Microsoft-Cloud Kunden dabei unterstützt, HIPAA und die HITECH-Anforderungen zu erfüllen, besuchen Sie die Microsoft-Kundenreferenzen.

Microsoft-Dienste für cloudbasierte Plattformen &

  • Azure und Azure Government
  • Azure DevOps Services
  • Dynamics 365 und Dynamics 365 U.S. Government
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Healthcare Bot Service
  • Microsoft Managed Desktop
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for Business
  • Office 365 Office 365 US-Regierung
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite von Office 365 oder Dynamics 365 mit Branding
  • Windows 365

Azure, Dynamics 365 und HIPAA

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure HIPAA-Angebot.

Office 365 und HIPAA

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Azure Active Directory, Azure Communications Service, Compliance-Manager, Kunden-Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Sicherheit & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Häufig gestellte Fragen

Kann meine Organisation einen Vertrag für Geschäftspartner (BAA) mit Microsoft eingehen?

Ja Microsoft bietet seinen abgedeckten Unternehmen und Geschäftspartnern eine Vereinbarung für Geschäftspartner, die microsoftspezifische Dienste abdeckt.

Der Microsoft HIPAA-Vertrag für Geschäftspartner steht standardmäßig über den Microsoft Online Services Data Protection-Zusatz für alle Kunden zur Verfügung, die unter HIPAA fallen. Eine Liste der Clouddienste, die von diesem BAA abgedeckt werden, finden Sie auf dieser Website unter „Microsoft Cloud Services im Leistungsumfang“.

Die HIPAA-Vereinbarung für Geschäftspartner ist auch für Microsoft Professional Services im Umfang verfügbar. Wenden Sie sich an Ihren Microsoft-Dienstmitarbeiter, um weitere Informationen zu erhalten.

Stellt eine Geschäftspartnervereinbarung mit Microsoft sicher, dass meine Organisation HIPAA und das HITECH Act einschließt?

Nein Durch das Anbieten eines Geschäftspartnervertrags unterstützt Microsoft Ihre HIPAA-Compliance. Die Verwendung von Microsoft-Diensten allein erreicht jedoch nicht die HIPAA-Compliance. Ihre Organisation ist dafür verantwortlich sicherzustellen, dass Sie über ein angemessenes Complianceprogramm und interne Prozesse verfügen und dass Ihre besondere Nutzung von Microsoft-Diensten ihren Verpflichtungen gemäß HIPAA und dem HITECH Act entspricht.

Kann Microsoft den Geschäftspartnervertrag meiner Organisation verwenden?

Nein, Microsoft kann den Geschäftspartnervertrag eines Kunden nicht verwenden. Da wir hyperskalierte, mehrinstanzenfähige Dienste anbieten, die für alle unsere Kunden standardisiert sind, müssen wir konsistent arbeiten. Die Microsoft HIPAA Business Associate Agreement spiegelt eng wider, wie wir arbeiten. Um den Bedürfnissen der Gesundheitsbranche gerecht zu werden, arbeitete Microsoft daher mit einem Konsortium akademischer Medizinischer Zentren und anderen öffentlichen und privaten Einrichtungen im Gesundheitswesen zusammen, um eine Vereinbarung für Geschäftspartner zu erstellen, die unseren skalierten Serviceangeboten entspricht und den Bedürfnissen der Kunden entspricht.

Wie kann ich Kopien von Auditberichten von Drittanbietern erhalten?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Prüfberichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können. Azure-Kunden können auch Azure-Zertifikate und Überwachungsberichte in der Azure-Portal über das Blatt "Überwachungsberichte" in Microsoft Defender für Cloud abrufen.

Wie kann ich mehr darüber erfahren, wie Microsoft die Compliance mit HIPAA und dem HITECH Act unterstützt?

Um Kunden bei dieser Aufgabe zu unterstützen, hat Microsoft die folgenden Leitfäden veröffentlicht:

  • HIPAA-/HITECH Act-Implementierungsleitfaden für Azure für Datenschutz-, Sicherheits- und Compliance Officer und andere, die für die HIPAA- und HITECH Act-Implementierung verantwortlich sind, beschreiben konkrete Schritte, die Ihre Organisation zur Aufrechterhaltung der Compliance unternehmen kann.
  • Praktischer Leitfaden zum Entwerfen von sicheren Gesundheitslösungen mit Microsoft Azure hilft Ihnen, besser zu verstehen, was für die erfolgreiche, sichere Einführung eines Clouddiensts nötig ist.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature in der Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer Organisation zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen