Freigeben über

Konfigurieren von Microsoft Entra ID für HIPAA-Konformität

  • Artikel

Microsoft-Dienste wie Microsoft Entra ID können Sie dabei unterstützen, identitätsbezogene Anforderungen für Health Insurance Portability and Accountability Act (HIPAA) von 1996 zu erfüllen.

Die HIPAA-Sicherheitsregel (HIPAA Security Rule, HSR) legt Standards zum Schutz elektronisch gespeicherter persönlicher Gesundheitsdaten fest, die von einer abgedeckten Entität erstellt, empfangen, verwendet oder verwaltet werden, für die der HIPAA gilt. Die HSR wird vom U.S. Department of Health and Human Services (HHS) verwaltet und erfordert angemessene administrative, physische und technische Schutzmaßnahmen, um die Vertraulichkeit, Integrität und Sicherheit von elektronischen geschützten Gesundheitsinformationen zu gewährleisten.

Die Anforderungen und Ziele der technischen Schutzmaßnahmen sind in Titel 45 des Code of Federal Regulations (CFRs) definiert. Abschnitt 160 von Titel 45 enthält die allgemeinen administrativen Anforderungen, und die Teilabschnitte A und C von Abschnitt 164 beschreiben die Sicherheits- und Datenschutzanforderungen.

Der Teilabschnitt § 164.304 definiert technische Schutzmaßnahmen als die Technologien sowie die Richtlinien und Verfahren für deren Nutzung, die elektronische geschützte Gesundheitsdaten schützen und den Zugriff darauf kontrollieren. Das HHS hat auch wichtige Bereiche angegeben, die Organisationen im Gesundheitswesen bei der Implementierung technischer Schutzmaßnahmen für den HIPAA berücksichtigen müssen. Aus § 164.312 Technische Schutzmaßnahmen :

  • Kontrollmaßnahmen für den Zugriff: Implementieren Sie technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronische geschützte Gesundheitsdaten speichern, um den Zugriff nur für solche Personen oder Softwareprogrammen zuzulassen, denen Zugriff gemäß § 164.308(a)(4) gewährt wurde.

  • Kontrollmaßnahmen für die Überwachung: Implementieren Sie Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, die elektronische geschützte Gesundheitsdaten enthalten oder verwenden.

  • Kontrollmaßnahmen für die Integrität: Implementieren Sie Richtlinien und Verfahren, um elektronische geschützte Gesundheitsdaten vor unzulässiger Veränderung oder Zerstörung zu schützen.

  • Authentifizierung von Personen oder Entitäten: Implementieren Sie Verfahren zur Bestätigung der Identität einer Person oder Entität, die auf elektronische geschützte Gesundheitsdaten zugreifen möchte.

  • Übertragungssicherheit: Implementieren Sie technische Sicherheitsmaßnahmen, um elektronische geschützte Gesundheitsdaten, die über ein elektronisches Kommunikationsnetzwerk übertragen werden, vor nicht autorisierten Zugriffen zu schützen.

Die HSR definiert Teilabschnitte als Standard und gibt erforderliche und umsetzbare Implementierungsspezifikationen an. Alle Spezifikationen müssen implementiert werden. Die Bezeichnung „umsetzbar“ gibt eine Spezifikation an, die angemessen und geeignet ist. „Umsetzbar“ bedeutet nicht, dass eine Implementierungsspezifikation optional ist. Daher sind als umsetzbar definierte Unterabschnitte ebenfalls erforderlich.

Die anderen Artikel in dieser Serie enthalten Informationen und Links zu Ressourcen, geordnet nach wichtigen Bereichen und technischen Schutzmaßnahmen. Für jeden wichtigen Bereich gibt es eine Tabelle mit den relevanten Schutzmaßnahmen sowie Links zu Microsoft Entra-Leitfäden zur Einrichtung der Maßnahmen.

Weitere Informationen

Nächste Schritte