Health Insurance Portability and Accountability (HIPAA) & HITECH ActsHealth Insurance Portability and Accountability (HIPAA) & HITECH Acts

HIPAA und der HITECH Act (Übersicht)HIPAA and the HITECH Act overview

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-Gesundheitsgesetz, das Anforderungen für die Nutzung, Offenlegung und Wahrung individuell identifizierbarer Gesundheitsinformationen festlegt.The Health Insurance Portability and Accountability Act (HIPAA) is a US healthcare law that establishes requirements for the use, disclosure, and safeguarding of individually identifiable health information. Sie gilt für betroffene Entitäten, Arztpraxen, Arztpraxen, Gesundheitseinrichtungen und andere Gesundheitsunternehmen mit Zugriff auf die geschützten Gesundheitsinformationen (PHI) von Patienten sowie für Geschäftspartner, z. B. Clouddienst- und IT-Anbieter, die PHI in ihrem Namen verarbeiten.It applies to covered entities, doctors' offices, hospitals, health insurers, and other healthcare companies, with access to patients' protected health information (PHI), as well as to business associates, such as cloud service and IT providers, that process PHI on their behalf. (Die meisten betroffenen Entitäten führen selbst keine Funktionen wie Anspruchs- oder Datenverarbeitung aus, sondern verlassen sich dafür auf Geschäftspartner.)(Most covered entities do not carry out functions such as claims or data processing on their own; they rely on business associates to do so.)

Das Gesetz regelt die Nutzung und Verbreitung von PHI in vier allgemeinen Bereichen:The law regulates the use and dissemination of PHI in four general areas:

  • Datenschutz, der die Vertraulichkeit der Patientendaten abdeckt.Privacy, which covers patient confidentiality.
  • Sicherheit, die den Schutz von Informationen einschließlich physischer, technischer und administrativer Sicherheitsvorkehrungen betrifft.Security, which deals with the protection of information, including physical, technological, and administrative safeguards.
  • Bezeichner, welche die Informationstypen darstellen, die nicht freigegeben werden können, wenn sie für Forschungszwecke gesammelt wurden.Identifiers, which are the types of information that cannot be released if collected for research purposes.
  • Codes für die elektronische Übermittlung von Daten in mit dem Gesundheitswesen zusammenhängenden Transaktionen, einschließlich Berechtigungs- und Versicherungsansprüchen und Zahlungen.Codes for electronic transmission of data in healthcare-related transactions, including eligibility and insurance claims and payments.

Der Umfang von HIPAA wurde durch den Erlass des HITECH Act (Health Information Technology for Economic and Clinical Health) erweitert. Die Regeln von HIPAA und dem HITECH Act umfassen insgesamt:The scope of HIPAA was extended with the enactment of the Health Information Technology for Economic and Clinical Health (HITECH) Act. Together, HIPAA and HITECH Act rules include:

  • Die HIPAA-Datenschutzregel, die sich auf das Recht von Einzelpersonen zur Kontrolle der Verwendung ihrer persönlichen Daten konzentriert und die Vertraulichkeit von PHI abdeckt und deren Nutzung und Offenlegung einschränkt.The HIPAA Privacy Rule, which focuses on the right of individuals to control the use of their personal information, and covers the confidentiality of PHI, limiting its use and disclosure.
  • Die HIPAA-Sicherheitsregel, mit der die Standards für administrative, technische und physische Sicherheitsmaßnahmen festgelegt werden, um elektronische PHI vor unbefugtem Zugriff, Nutzung und Offenlegung zu schützen.The HIPAA Security Rule, which sets the standards for administrative, technical, and physical safeguards to protect electronic PHI from unauthorized access, use, and disclosure. Er umfasst auch solche organisatorischen Anforderungen wie Verträge für Geschäftspartner (Business Associate Agreements, BAAs).It also includes such organizational requirements as Business Associate Agreements (BAAs).

Die endgültige Richtlinie zur Benachrichtigung bei HITECH-Verletzungen (HITECH Breach Notification Final Rule), welche die Benachrichtigung von Einzelpersonen und Behörden erfordert, wenn eine Sicherheitsverletzung unsicherer PHI eintritt.The HITECH Breach Notification Final Rule, which requires giving notice to individuals and the government when a breach of unsecured PHI occurs.

Microsoft und HIPAA sowie der HITECH ActMicrosoft and HIPAA and the HITECH Act

Die Bestimmungen der HIPAA erfordern, dass erfasste Entitäten und ihre Geschäftspartner, in diesem Fall Microsoft, wenn es Dienste, einschließlich Clouddiensten, für erfasste Entitäten bietet, Verträge abschließen, um sicherzustellen, dass diese Geschäftspartner PHI angemessen schützen.HIPAA regulations require that covered entities and their business associates, in this case, Microsoft when it provides services, including cloud services, to covered entities, enter into contracts to ensure that those business associates will adequately protect PHI. Diese Verträge oder BAAs verdeutlichen und begrenzen, wie der Geschäftspartner mit PHI umgehen kann, und legen die Einhaltung der Sicherheits- und Datenschutzbestimmungen der HIPAA und des HITECH Act durch jede Partei fest. Sobald ein BAA besteht, können Kunden von Microsoft (abgedeckte Entitäten) ihre Dienste verwenden, um PHI zu verarbeiten und zu speichern.These contracts, or BAAs, clarify and limit how the business associate can handle PHI, and set forth each party's adherence to the security and privacy provisions set forth in HIPAA and the HITECH Act. Once a BAA is in place, Microsoft customers (covered entities) can use its services to process and store PHI.

Derzeit gibt es keine offizielle Zertifizierung für HIPAA- oder HITECH Act-Compliance.Currently there is no official certification for HIPAA or HITECH Act compliance. Allerdings wurden für die im BAA abgedeckten Microsoft-Dienste Audits für die ISO/IEC 27001-Zertifizierung von Microsoft durch akkreditierte, unabhängige Prüfer durchgeführt.However, those Microsoft services covered under the BAA have undergone audits conducted by accredited independent auditors for the Microsoft ISO/IEC 27001 certification.

Microsoft Enterprise Cloud-Dienste sind auch durch FedRAMP-Bewertungen abgedeckt.Microsoft enterprise cloud services are also covered by FedRAMP assessments. Microsoft Azure und Microsoft Azure Government haben eine „Provisional Authority to Operate“ vom FedRAMP Joint Authorization Board erhalten. Dynamics 365 U.S. Government erhielt eine „Agency Authority to Operate“ vom US Department of Housing and Urban Development (US-Ministerium für Wohnungsbau und städtische Entwicklung), ebenso wie Microsoft Office 365 U.S. Government vom US Department of Health and Human Services (US-Gesundheitsministerium).Microsoft Azure and Microsoft Azure Government received a Provisional Authority to Operate from the FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government received an Agency Authority to Operate from the US Department of Housing and Urban Development, as did Microsoft Office 365 U.S. Government from the US Department of Health and Human Services.

Wenn Sie erfahren möchten, wie die Microsoft-Cloud Kunden dabei unterstützt, HIPAA und die HITECH-Anforderungen zu erfüllen, besuchen Sie die Microsoft-Kundenreferenzen.To learn how the Microsoft Cloud helps customers support HIPAA and the HITECH requirements, visit Microsoft Customer Stories.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Beschleunigen Sie die Bereitstellung von HIPAA/HITRUST-Lösungen auf AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Nutzen Sie die Vorteile der Cloud für Gesundheitsdatenlösungen mit dem Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data und AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint: HIPAA/HITRUST Health Data and AI. Diese Blaupause bietet Tools und Anleitungen, die Ihnen bei den ersten Schritten der Erstellung von HIPAA/HITRUST-Lösungen helfen.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Häufig gestellte FragenFrequently asked questions

Kann meine Organisation einen Vertrag für Geschäftspartner (BAA) mit Microsoft eingehen?Can my organization enter into a BAA with Microsoft?

Microsoft bietet qualifizierten Unternehmen oder deren Lieferanten ein BAA, das zum Umfang gehörige Microsoft-Dienste abdeckt.Microsoft offers qualified companies or their suppliers a BAA that covers in-scope Microsoft services.

Für Microsoft-Clouddienste: Der HIPAA-Vertrag für Geschäftspartner wird standardmäßig über die Nutzungsbedingungen für Onlinedienste für alle Kunden zur Verfügung gestellt, die unter die HIPAA fallende Entitäten oder Geschäftspartner sind.For Microsoft cloud services: The HIPAA Business Associate Agreement is available via the Online Services Terms by default to all customers who are covered entities or business associates under HIPAA. Eine Liste der Clouddienste, die von diesem BAA abgedeckt werden, finden Sie auf dieser Website unter „Microsoft Cloud Services im Leistungsumfang“.See 'Microsoft in-scope cloud services' on this webpage for the list of cloud services covered by this BAA.

Für Microsoft Professional Services-Dienste: Der HIPAA-Vertrag für Geschäftspartner (BAA) ist für Microsoft Professional-Dienste im Leistungsumfang auf Anforderung bei Ihrem Vertreter für die Microsoft-Dienste verfügbar.For Microsoft Professional Services services: The HIPAA Business Associate Amendment is available for in-scope Microsoft Professional Services upon request to your Microsoft services representative.

Stellt ein BAA mit Microsoft sicher, dass meine Organisation die HIPAA und das HITECH Act einhalten kann?Does having a BAA with Microsoft ensure my organization's compliance with HIPAA and the HITECH Act?

Nein.No. Durch die Bereitstellung eines BAA hilft Microsoft, Ihre HIPAA-Compliance zu unterstützen, aber durch die Verwendung von Microsoft-Diensten allein wird diese nicht erreicht.By offering a BAA, Microsoft helps support your HIPAA compliance, but using Microsoft services does not on its own achieve it. Ihre Organisation ist dafür verantwortlich, sicherzustellen, dass Sie über ein adäquates Compliance-Programm und entsprechende interne Prozesse verfügen und dass Ihre besondere Verwendung von Microsoft-Diensten HIPAA und dem HITECH Act entspricht.Your organization is responsible for ensuring that you have an adequate compliance program and internal processes in place, and that your particular use of Microsoft services aligns with HIPAA and the HITECH Act.

Kann Microsoft den BAA meiner Organisation ändern?Can Microsoft modify my organization's BAA?

Microsoft kann den HIPAA BAA nicht ändern, da die Microsoft-Dienste für alle Kunden einheitlich sind und daher für alle Benutzer dieselben Verfahren ausgeführt werden müssen.Microsoft cannot modify the HIPAA BAA, because Microsoft services are consistent for all customers and so must follow the same procedures for everyone. Um jedoch den BAA für die HIPAA-regulierten Kunden von Microsoft und seine Dienste zu erstellen, hat Microsoft mit einigen der führenden us-amerikanischen Medizinischen Schulen und deren Datenschutzberater sowie anderen öffentlich- und privat vom HIPAA abgedeckten Entitäten zusammengearbeitet.However, to create the BAA for Microsoft's HIPAA-regulated customers and its services, Microsoft collaborated with some of the leading US medical schools and their HIPAA privacy counsel, as well as other public- and private-sector HIPAA-covered entities.

Wie kann ich Kopien der Berichte des Prüfers erhalten?How can I get copies of the auditor's reports?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung.The Service Trust Portal provides independently audited compliance reports. Sie können über das Portal Prüfberichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.You can use the portal to request audit reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Wie kann ich mehr über die Einhaltung von HIPAA und dem HITECH Act erfahren?How can I learn more about complying with HIPAA and the HITECH Act?

Um Kunden bei dieser Aufgabe zu unterstützen, hat Microsoft die folgenden Leitfäden veröffentlicht:To assist customers with this task, Microsoft has published these guides:

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources