Health Insurance Portability and Accountability Act (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH) Act

HIPAA und der HITECH Act (Übersicht)

The Health Insurance Portability and Accountability Act of 1996 (HIPAA) and the regulations issued under HIPAA are a set of U.S. healthcare laws that establish requirements for the use, disclosure, and safeguarding of individual identifiable health information. Der Umfang der HIPAA wurde mit der Einführung des Health Information Technology for Economic and Clinical Health (HITECH) Act im Jahr 2009 erweitert.

HIPAA gilt für erfasste Entitäten (insbesondere Gesundheitsdienstleister, Gesundheitspläne und Gesundheitsdienstleister), die geschützte Gesundheitsdaten (Protected Health Information, PHI) erstellen, empfangen, verwalten, übertragen oder darauf zugreifen. HIPAA gilt außerdem für Geschäftspartner erfasster Entitäten, die bestimmte Funktionen oder Aktivitäten im Zusammenhang mit PHI im Rahmen der Bereitstellung von Dienstleistungen für die erfasste Entität oder im Auftrag der erfassten Entität ausführen.

Wenn eine erfasste Entität die Dienste eines Clouddienstanbieters wie z. B. Microsoft einschaltet, wäre der Clouddienstanbieter ein Geschäftspartner unter HIPAA. Darüber hinaus wird der Clouddienstanbieter auch ein Geschäftspartner, wenn ein Geschäftspartner einen Clouddienstanbieter zum Erstellen, Empfangen, Verwalten oder Übertragen von PHI beauftragt.

Microsoft, HIPAA und der HITECH Act

HIPAA-Bestimmungen erfordern, dass betroffene Entitäten (die unter den Regeln definiert sind) Vereinbarungen mit Geschäftspartnern abschließen, um sicherzustellen, dass PHI angemessen geschützt ist. Diese Vereinbarung wird als Geschäftspartnervereinbarung bezeichnet. Eine Geschäftspartnervereinbarung legt unter anderem die zulässigen und erforderlichen Nutzungen und Offenlegungen von PHI durch den Geschäftspartner fest, basierend auf der Beziehung zwischen den Parteien und den Aktivitäten oder Diensten, die vom Geschäftspartner ausgeführt werden. Um unsere Kunden bei der Nutzung von Microsoft Enterprise-Produkten und -Diensten bei der Einhaltung von HIPAA zu unterstützen, schließt Microsoft Geschäftspartnervereinbarungen mit der abgedeckten Entität und den Kunden von Geschäftspartnern ein.

Es gibt derzeit keinen Zertifizierungsstandard, der vom Department of Health and Human Services genehmigt wurde, um die Compliance mit HIPAA oder dem HITECH Act durch einen Geschäftspartner nachzuweisen. Allerdings ermöglicht Microsoft Kunden die Einhaltung von HIPAA und dem HITECH Act und hält sich als Geschäftspartner an die Sicherheitsregelanforderungen der HIPAA. Darüber hinaus schließt Microsoft Vereinbarungen zu Geschäftspartnern mit seiner abgedeckten Entität und Geschäftspartnern ab, um deren Einhaltung von HIPAA-Verpflichtungen zu unterstützen.

Zertifizierungen von Drittanbietern

Microsoft-Dienste, die unter den BAA fallen, wurden von akkreditierten unabhängigen Auditoren für die Zertifizierung nach Microsoft ISO/IEC 27001 und die HITRUST CSF-Zertifizierung auditiert.

Microsoft Enterprise Cloud-Dienste sind auch durch FedRAMP-Bewertungen abgedeckt. Microsoft Azure und Microsoft Azure Regierung erhielten eine vorläufige Behörde für die Arbeit vom FedRAMP Joint Authorization Board; Microsoft Dynamics 365 U.S. Government erhielt eine Agenturautorität zum Arbeiten vom US Department of Health and Coding Development, ebenso wie Microsoft Office 365 U.S. Government vom U.S. Department of Health and Human Services.

Wenn Sie erfahren möchten, wie die Microsoft-Cloud Kunden dabei unterstützt, HIPAA und die HITECH-Anforderungen zu erfüllen, besuchen Sie die Microsoft-Kundenreferenzen.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure und Azure Government
  • Azure DevOps Services
  • Dynamics 365 und Dynamics 365 U.S. Government
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Healthcare Bot Service
  • Microsoft Managed Desktop
  • Microsoft Professional Services: Premier und On-Premises für Azure, Dynamics 365, Intune und Medium Business- und Enterprise-Kunden von Microsoft 365 for Business
  • Office 365, Office 365 U.S. Government
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite von Office 365 oder Dynamics 365 mit Branding

Azure, Dynamics 365 und HIPAA

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure HIPAA-Angebot.

Office 365 und HIPAA

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Kundenportal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Onlinedokumentdienst, Abfrageanmerkung Service, School Data Sync, Sifon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Dienstverschlüsselung mit Kundenschlüssel, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Azure Communications Service, Compliance-Manager, Delve, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Häufig gestellte Fragen

Kann meine Organisation einen Vertrag für Geschäftspartner (BAA) mit Microsoft eingehen?

Ja. Microsoft bietet seinen erfassten Entitäten und Geschäftspartnern kunden eine Geschäftspartnervereinbarung, die Microsoft-Dienste im Umfang abdeckt.

Der Microsoft HIPAA-Vertrag für Geschäftspartner steht standardmäßig über den Microsoft Online Services Data Protection-Nachtrag für alle Kunden zur Verfügung, die unter HIPAA erfasste Entitäten oder Geschäftspartner sind. Eine Liste der Clouddienste, die von diesem BAA abgedeckt werden, finden Sie auf dieser Website unter „Microsoft Cloud Services im Leistungsumfang“.

Der HIPAA-Vertrag für Geschäftspartner ist auch für im Umfang enthaltene Microsoft Professional Services verfügbar. Wenden Sie sich an Ihren Microsoft-Dienste Vertreter, um weitere Informationen zu erfahren.

Stellt ein Vertrag für Geschäftspartner mit Microsoft sicher, dass meine Organisation HIPAA und das HITECH Act erfüllt?

Nein. Durch das Anbieten einer Vereinbarung für Geschäftspartner unterstützt Microsoft Ihre HIPAA-Compliance. Die Verwendung von Microsoft-Dienste allein führt jedoch nicht zur HIPAA-Compliance. Ihre Organisation ist dafür verantwortlich, sicherzustellen, dass Sie über ein angemessenes Complianceprogramm und interne Prozesse verfügen und dass Ihre besondere Nutzung von Microsoft-Dienste ihren Verpflichtungen gemäß HIPAA und dem HITECH Act entspricht.

Kann Microsoft den Geschäftspartnervertrag meiner Organisation verwenden?

Nein, Microsoft kann den Geschäftspartnervertrag eines Kunden nicht verwenden. Da wir hyperskalierte mehrinstanzenfähige Dienste anbieten, die für alle unsere Kunden standardisiert sind, müssen wir konsistent arbeiten. Die Microsoft HIPAA-Vereinbarung für Geschäftspartner spiegelt genau die Funktionsweise wider. Um den Anforderungen der Gesundheitsbranche gerecht zu werden, hat Microsoft mit einem Konsortial von akademischen Medizinischen Centern und anderen öffentlichen und privaten Einrichtungen im Gesundheitswesen zusammengearbeitet, um eine Vereinbarung für Geschäftspartner zu erstellen, die mit unseren Serviceangeboten in großem Maßstab übereinstimmt und den Anforderungen der Kunden entspricht.

Wie erhalte ich Kopien von Überwachungsberichten von Drittanbietern?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Prüfberichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können. Azure-Kunden können auch Azure-Zertifikate und Überwachungsberichte im Azure-Portal über das Blatt "Überwachungsberichte" im Azure Security Centerabrufen.

Wie kann ich mehr darüber erfahren, wie Microsoft die Compliance mit HIPAA und dem HITECH Act unterstützt?

Um Kunden bei dieser Aufgabe zu unterstützen, hat Microsoft die folgenden Leitfäden veröffentlicht:

  • Der HIPAA/HITECH Act-Implementierungsleitfaden für Azure für Datenschutz-, Sicherheits- und Compliance-Beauftragte und andere, die für die HIPAA- und HITECH Act-Implementierung verantwortlich sind, beschreibt konkrete Schritte, die Ihre Organisation zur Einhaltung der Compliance ergreifen kann.
  • Praktischer Leitfaden zum Entwerfen von sicheren Gesundheitslösungen mit Microsoft Azure hilft Ihnen, besser zu verstehen, was für die erfolgreiche, sichere Einführung eines Clouddiensts nötig ist.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des Risikos

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen