Die Einhaltung von Office 365 HIPAA ist für immer mehr Gesundheitsunternehmen ein dringendes Anliegen. Mit der robusten Cloud-Lösung von Microsoft können Anbieter problemlos Aufzeichnungen führen und kommunizieren — aber ist es zu einfach? Können sensible Informationen wirklich geschützt werden, wenn sie in der Cloud gespeichert werden?
Cloud Computing hält seit einigen Jahren Einzug in die Gesundheitsbranche. Es bietet zahlreiche Vorteile als Strategie und ermöglicht es Organisationen und Pflegedienstleistern, zu erweitern, wo und wie sie Technologie einsetzen können. Cloud Computing erleichtert Anbietern die Aufbewahrung und Referenzierung von Patientenakten, auch wenn sie unterwegs sind, und verbessert und vereinfacht das Patientenerlebnis.
Dieser Schritt in die Cloud ist positiv für das Gesundheitswesen als Ganzes, aber er stellt zusätzliche Verantwortung auf Compliance- und Sicherheitsspezialisten. Glücklicherweise wird die Suche nach HIPAA-konformer Cloud-Software immer einfacher, da immer mehr Anbieter und Entwickler die Marktnachfrage erkennen. Viele Lösungsanbieter haben ihre Angebote inzwischen an die HIPAA-Anforderungen von Gesundheitsorganisationen angepasst.
Microsoft 365, der wohl am weitesten verbreitete Cloud-Dienst, ist ein herausragendes Beispiel. Es bietet HIPAA-Compliance für alle Organisationen im Gesundheitswesen, die ein Business Associate Agreement (BAA) haben und ordnungsgemäß verwenden. In diesem Artikel erfahren Sie mehr darüber, was Microsoft getan hat, damit seine 365-Suite die HIPAA-Anforderungen erfüllt und welche Aspekte des Datenschutzes weiterhin in der Verantwortung der Anbieter liegen.
- HIPAA BAA und Microsoft 365
- Was ist ein BAA?
- Wie funktioniert Microsofts BAA?
- Microsoft 365-Sicherheitskontrollen und HIPAA-Anforderungen
- Das Microsoft Compliance Center
- Microsoft 365-Sicherheitsfunktionen für HIPAA
- Wie Microsoft mit Sicherheitsverletzungen umgeht
- Office 365 HIPAA-Konformitätskonfiguration: Best Practices
- Überprüfen Sie die Servicedetails.
- Zugriffskontrollverfahren einrichten.
- Bieten Sie Schulungen zum Ausschluss von PHI an.
- Verfahren für die Überprüfung des Zugangs festlegen.
- Wie Netwrix Microsoft 365-Kunden hilft
- Genau wissen, wo Sie ePHI speichern
- Reduzieren Sie Ihre Angriffsfläche durch Minimierung der Berechtigungen
- Bedrohungen identifizieren und darauf reagieren
- Microsoft 365 und HIPAA Compliance FAQ
HIPAA BAA und Microsoft 365
Die HIPAA-Konformitätsstufe einer Cloud-Lösung hängt von der BAA der Benutzerorganisation ab. Eine der bequemsten Funktionen von Microsoft 365 für den Healthcare-Client ist, dass er eine BAA als Standardelement des Dienstes bereitstellt.
Was ist ein BAA?
Ein Business Associate Agreement ist ein Vertrag zwischen einer HIPAA-abgedeckten Einheit (z. B. einer Arztpraxis oder einem Krankenhaus) und einem verbundenen Unternehmen. Sobald geschützte Gesundheitsinformationen (PHI) in die Cloud hochgeladen werden, unterliegen beide Parteien automatisch den HIPAA-Vorschriften. Aus diesem Grund benötigen Sie eine BAA mit einem Cloud-Anbieter, bevor Sie eine Lösung für Patientendaten implementieren.
Wie funktioniert Microsofts BAA?
Standardmäßig bietet Microsoft seine BAA als Teil seiner Onlinedienstbedingungen Benutzern an, die abgedeckte Unternehmen oder Geschäftspartner im Sinne von HIPAA sind. Die BAA deckt Dynamics 365, Office 365 und einige andere Cloud-Dienste ab.
Wenn Sie Microsoft als Lösungsanbieter in Betracht ziehen, überprüfen Sie die BAA im Detail, um sicherzustellen, dass die abgedeckten Dienste und Bedingungen der BAA Ihren Anforderungen entsprechen. Microsoft ändert seine BAA nicht auf Kundenwunsch, daher müssen die Bedingungen wie geschrieben ausreichend sein.
Microsoft 365-Sicherheitskontrollen und HIPAA-Anforderungen
Um zu bestätigen, dass seine Sicherheitspraktiken den Empfehlungen des offiziellen Herausgebers von HIPAA, dem US-Gesundheitsministerium, entsprechen, hat Microsoft Informationssicherheitsaudits gemäß der Norm ISO 27001 unterzogen . Dieser Standard bewertet mehrere Aspekte der IT-Sicherheit eines Unternehmens, einschließlich der Frage, ob HHS-Empfehlungen befolgt werden.
Die Ergebnisse bestätigen, dass Office 365 alle HIPAA-Sicherheits- und Datenschutzkontrollen enthält, die für die Einhaltung erforderlich sind. Sie können über das Microsoft 365 Compliance Center auf diese Steuerelemente zugreifen.
Das Microsoft Compliance Center
Das Microsoft Compliance Center bietet Kunden Zugriff auf die Tools und Informationen, die sie zum Verwalten der Compliance benötigen. Es enthält Funktionen wie:
- Ihr Compliance-Score, eine risikobasierte Metrik, die den Fortschritt bei der Risikominderung misst
- Eine aktive Warnkarte, die Ihre Sicherheitsbenachrichtigungen auflistet und Sie auf detailliertere Informationen hinweist
- Ein Datenklassifizierungsabschnitt, der Ihnen hilft, wichtige Daten richtig zu organisieren
- Ein Berichtsabschnitt mit Informationen zu Apps von Drittanbietern, freigegebenen Dateien und mehr
- Ein Berechtigungsabschnitt damit können Sie den Zugriff innerhalb Ihrer Organisation verwalten
- Ein Lösungsabschnitt mit detaillierten Informationen zur Compliance Ihrer Organisation strategien
- Ein Tool zum Schutz vor Datenverlust, mit dem Sie vertrauliche Informationen nachverfolgen können
Das Compliance Center ist eine robuste Ressource. Es ist für alle Microsoft-Geschäftskunden verfügbar, aber einige Funktionen, wie Advanced Threat Management, Sensitivity Labels für die Datenklassifizierung und einige DLP-Funktionen, sind möglicherweise nur verfügbar, wenn Sie über eine Top-Level-Lizenz verfügen.
Microsoft 365-Sicherheitsfunktionen für HIPAA
Microsoft bietet viele Sicherheitsfunktionen, mit denen Unternehmen die Einhaltung bestimmter Vorschriften einhalten können. Die für HIPAA besonders relevanten sind:
- Zugriff mit geringsten Berechtigungen: Diese Funktion begrenzt das Risiko und die Auswirkungen von Datenschutzverletzungen, indem sie nur denjenigen Zugriff mit erhöhten Berechtigungen gewährt, die dies benötigen.
- Datenschutzleser: Microsoft empfiehlt Kunden mit einer BAA, Vertreter als HIPAA-Datenschutzleser zu benennen, die ihnen Zugriff auf Benachrichtigungen des Message Centers über mögliche Verstöße im Zusammenhang mit ePHI (Electronic Protected Healthcare Information) gewähren.
- Ende-zu-Ende-Verschlüsselung: Microsoft verschlüsselt alle Daten, wenn sie auf die Server des Unternehmens hochgeladen oder dort gespeichert werden. Es wird auch verschlüsselt, wenn es außerhalb von Microsoft-Einrichtungen übertragen wird (Verschlüsselung bei der Übertragung); Einige Informationen, einschließlich Daten in Betreffzeilen und Adressfeldern von E-Mails, können jedoch aufgrund von Standard-Internetprotokollen nicht verschlüsselt werden. Daher empfiehlt Microsoft allen Benutzern, das Personal so zu schulen, dass ePHI niemals in die An-, Von- oder Betreffzeilen einer E-Mail aufgenommen wird.
- Verhinderung von Datenverlust: ePHI ist vor der Weitergabe an nicht autorisierte Zuschauer geschützt.
- Multi-Faktor-Authentifizierung: Benutzer müssen Informationen bereitstellen, die an ein anderes Gerät oder Konto gesendet wurden, bevor sie sich anmelden dürfen.
- Überwachungsprotokolle: Administratoren können anzeigen, wer Dokumente gesehen, geöffnet, freigegeben oder in den Papierkorb geworfen hat.
- Datensicherungen: Diese Funktion ist gemäß HIPAA erforderlich, damit bei Bedarf exakte Kopien von ePHI wiederhergestellt werden können.
- Sicherheitskonfiguration: Microsoft ermöglicht es Kunden, ihre Sicherheitseinstellungen für viele von der BAA abgedeckte Dienste zu ändern. Für die HIPAA-Konformität kann die sicherste Strategie darin bestehen, die strengstmöglichen Parameter festzulegen. Detaillierte Konfigurationsanweisungen finden Sie im HIPAA-Implementierungshandbuch von Microsoft.
Wie Microsoft mit Sicherheitsverletzungen umgeht
Die BAA von Microsoft gibt an, dass das Unternehmen im Falle einer Sicherheitsverletzung alle globalen Administratoren Ihres Kontos und alle Benutzer, die über die Privacy Reader-Bezeichnung verfügen, innerhalb von 30 Tagen benachrichtigt.
Microsoft benachrichtigt Ihre Kunden nicht über einen Verstoß. Diese Verantwortung fällt Ihnen gemäß HIPAA zu, wonach alle abgedeckten Unternehmen betroffene Personen benachrichtigen müssen, wenn ein Verstoß ungesicherte ePHI betrifft. Microsoft übermittelt auch keine erforderlichen Benachrichtigungen an den HHS-Sekretär oder die Medien.
Im Falle eines Verstoßes gegen ein potenzielles ePHI-Repository ist Microsoft nicht dafür verantwortlich, gespeicherte Daten zu scannen, um festzustellen, ob ein ePHI tatsächlich kompromittiert wurde. Sie erhalten eine Benachrichtigung, dass ein Verstoß aufgetreten ist. Sie müssen dann beurteilen, ob ein ePHI kompromittiert wurde und wie stark die Auswirkungen sind.
Office 365 HIPAA-Konformitätskonfiguration: Best Practices
Microsoft ist sehr klar, dass am Ende die Verantwortung für die HIPAA-Compliance beim Kunden liegt. Der Anbieter empfiehlt allen Unternehmen, eine Reihe von Verfahren und Richtlinien festzulegen, die ihren Mitarbeitern helfen, Office 365 so zu verwenden, dass die Compliance unterstützt wird. Hier sind einige der wichtigsten Schritte, die Sie während des Einrichtungsprozesses ausführen müssen.
Überprüfen Sie die Servicedetails.
- Stellen Sie sicher, dass die Produkte, die Sie verwenden möchten, in den Anwendungsbereich der HIPAA Compliance Services von Microsoft fallen.
- Überprüfen Sie die BAA, um sicherzustellen, dass die enthaltenen Sicherheits- und Datenschutzpraktiken Ihren Anforderungen entsprechen.
Zugriffskontrollverfahren einrichten.
- Geben Sie in Ihrem Microsoft 365 Message Center Ihre Datenschutzeinstellungen an.
- Aktivieren Sie die Zugriffsverfolgung für Ihre Administratoren, damit Sie sehen können, wann sie auf Benutzerkonten zugreifen.
Bieten Sie Schulungen zum Ausschluss von PHI an.
- Verwaltungspersonal sollte ePHI nicht in Verzeichnisse, Adressbücher oder globale Adresslisten eingeben.
- Kein Personal sollte ePHI bei der Fehlerbehebung oder bei Supportgesprächen mit Microsoft teilen.
- Benutzer sollten ePHI nicht in Dateinamen, E-Mail-Headern oder öffentlich zugänglichen SharePoint-Speicherorten referenzieren.
- Benutzer sollten ePHI nur an ausdrücklich autorisierte Benutzer per E-Mail senden.
Verfahren für die Überprüfung des Zugangs festlegen.
- Überprüfen Sie regelmäßig den Benutzerzugriff auf alle ePHI-Speicher-Repositorys.
- Überprüfen Sie regelmäßig Benutzerzugriffsberechtigungen, Kennwortänderungen und Ergänzungen zu freigegebenen Ressourcen.
- Erstellen Sie ein Protokoll zur Aktualisierung der Zugriffsrechte bei Personaländerungen.
Wie Netwrix Microsoft 365-Kunden hilft
Die Einhaltung von HIPAA ist keine leichte Aufgabe, und das Hinzufügen von Compliance im Zusammenhang mit Cloud-Diensten kann die Ressourcen selbst der robustesten Organisation belasten. Netwrix kann mit seiner Lösung für die HIPAA-Compliance einen Großteil dieser Last von Ihren Schultern nehmen.
Genau wissen, wo Sie ePHI speichern
Die Netwrix-Lösung kann die spezifischen OneDrive for Business-Repositorys, Exchange Online-Postfächer und SharePoint Online-Websites in Ihrem Konto identifizieren, die ePHI enthalten. Dies ist der erste Schritt zum Schutz dieses ePHI vor Bedrohungen von innen und außen.
Reduzieren Sie Ihre Angriffsfläche durch Minimierung der Berechtigungen
Die Netwrix-Lösung kann Ihnen auch dabei helfen, sicherzustellen, dass Sie über die richtigen Berechtigungen verfügen. Es kann automatisch übermäßige Berechtigungen für sensible Daten identifizieren und entfernen. Es vereinfacht auch den Zugriffsüberprüfungs- und Berechtigungsbescheinigungsprozess und verbessert so Ihre Chancen, Compliance-Audits beim ersten Mal zu bestehen.
Bedrohungen identifizieren und darauf reagieren
Dank detaillierter systemübergreifender Sichtbarkeit kann die Netwrix-Lösung rote Fahnen erkennen, die auf Insider-Bedrohungen hinweisen könnten, wie fehlgeschlagene Zugriffsversuche, Eskalation von Berechtigungen und ungewöhnlich hohe Anzahl von Lesevorgängen, und Anzeichen einer laufenden Ransomware erkennen. Es ermöglicht Ihnen, leicht tief in verdächtige Aktivitäten zu bohren, so dass Sie Bedrohungen blockieren können, bevor sie ernsthaften Schaden anrichten.
Wenn ein Verstoß vorliegt, unabhängig von seiner Ursache, kann Netwrix Ihnen helfen, den Schweregrad des Vorfalls zu bestimmen, sodass Sie alle Anforderungen für die Benachrichtigung von Behörden und betroffenen Benutzern erfüllen können.
Microsoft 365 und HIPAA Compliance FAQ
Gibt es HIPAA-Bedenken bei der Verwendung von Office 365?
Solange Sie die BAA von Microsoft sorgfältig prüfen und den Umfang ihrer Sicherheits- und Compliance-Schutzmaßnahmen verstehen, bestätigen, dass diese Schutzmaßnahmen Ihren HIPAA-Compliance-Anforderungen entsprechen, und alle erforderlichen Sicherheitskontrollen auf Ihrer Seite haben, sollten Sie nur wenige Bedenken hinsichtlich der HIPAA-Compliance haben.
Der HIPAA-Schutz von Office 365 ist robust, aber letztendlich liegt die Einhaltung in Ihrer Verantwortung als von HIPAA abgedeckte Einheit.
Welcher Microsoft Office 365-Plan ist HIPAA-konform?
Microsoft bietet seine HIPAA Compliance BAA für Benutzer von Office 365 Business, Office 365 US Government und Office 365 US Government Defense an. Untergeordnete Lizenzen dieser Dienste (z. B. Business Basic, Business Standard und Business Premium) verfügen jedoch möglicherweise nicht über alle erweiterten Sicherheitsfunktionen, die Sie zur Einhaltung Ihrer Compliance verwenden möchten.
Microsoft empfiehlt Benutzern, die HIPAA-Konformität anstreben, Sicherheitsschutz auf höchster Ebene zu aktivieren. Einige dieser Schutzmaßnahmen, einschließlich Anti-Phishing Threat Explorers und Data Loss Prevention, sind nur für Inhaber höherer Unternehmenslizenzen verfügbar.
Garantiert eine BAA mit Microsoft die Einhaltung von HIPAA und HITECH Act?
Nein, eine BAA garantiert keine Konformität. Der Zweck der BAA besteht darin, zu klären, welche Compliance-Anforderungen in der Verantwortung des HIPAA-Geschäftspartners liegen. Wenn beispielsweise ein Verstoß in Ihrem Microsoft Office 365-Konto vorliegt, werden Sie von Microsoft darüber informiert.
Selbst unter der robustesten BAA haben Sie als Cloud-Service-Kunde weiterhin die Verantwortung für die Einhaltung der Compliance. Sie müssen ein internes Compliance-Programm einrichten und pflegen, das alles behandelt, was von Ihnen als HIPAA-abgedeckte Organisation verlangt wird. Beispielsweise müssen Sie über interne Richtlinien, Verfahren und Prozesse verfügen, um sicherzustellen, dass Ihre Mitarbeiter so handeln, dass sie nicht gegen die HIPAA-Vorschriften verstoßen.
Microsofts BAA hilft Ihnen, die HIPAA-Prinzipien einzuhalten, wenn Sie die Dienste des Unternehmens nutzen, aber es wird nicht alles für Sie tun. Sie müssen immer noch sicherstellen, dass Ihr Team Office 365 in einer Weise verwendet, die mit jeder Regel von HIPAA und dem HITECH Act übereinstimmt.