Dropbox und HIPAA/HITECH
Die Informationen in diesem Artikel gelten für bestimmte Teams mit Dropbox Standard, Dropbox Advanced, Dropbox Enterprise, Dropbox Education, Dropbox Business, Dropbox Business Plus und Dropbox Sign.
Was verbirgt sich hinter der Bezeichnung HIPAA/HITECH?
HIPAA/HITECH bezeichnet zwei Gesetze:
- das Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (Health Insurance Portability and Accountability Act – HIPAA) von 1996
- das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (Health Information Technology for Economic and Clinical Health Act – HITECH) von 2009
Diese Gesetze sollen die Verbreitung von Technologie im Gesundheitswesen unterstützen und gleichzeitig Schutzmaßnahmen für die Sicherheit und den Datenschutz von Gesundheitsinformationen liefern. Krankenhäuser, Kliniken, Zahnarztpraxen sowie Einzelpersonen, die mit geschützten Gesundheitsinformationen („protected health information“ oder PHI) zu tun haben, sind möglicherweise von diesen Gesetzen betroffen. Die Vorschriften können sich auch auf Firmen erstrecken, die mit diesen zusammenarbeiten und in deren Auftrag mit PHI zu tun haben.
HIPAA/HITECH – Die wichtigsten Begriffe
Protected Health Information (PHI) – Geschützte Gesundheitsinformationen
Persönlich identifizierbare Informationen zu Einzelpersonen sowie ihrer bisherigen, aktuellen oder künftigen:
- medizinischen bzw. psychologischen Leiden
- Inanspruchnahme medizinischer Leistungen
- Zahlungen für medizinische Leistungen
Covered Entity – Rechtsträger im Gesundheitswesen
Der Begriff „Covered Entity“ bezeichnet Rechtsträger im Gesundheitswesen wie etwa Krankenversicherungen, Clearinghouses im Gesundheitswesen oder Gesundheitsdienstleister. Dazu zählen Krankenhäuser, Kliniken, Ärzte und andere, die PHI erstellen, empfangen oder übertragen. Aufgrund ihrer Arbeit mit PHI sind diese Rechtsträger gemäß HIPAA/HITECH für den Datenschutz und die Sicherheit dieser Informationen verantwortlich.
Business Associate – Geschäftspartner
Business Associates sind Geschäftspartner, die PHI im Auftrag einer Covered Entity erstellt, empfängt, pflegt oder überträgt und somit ebenfalls den HIPAA/HITECH-Vorschriften unterliegt.
Business Associate Agreement (BAA) – Geschäftspartnervertrag
Als BAA wird die vertragliche Zusicherung des Business Associate (Geschäftspartners) der Covered Entity gegenüber bezeichnet, den HIPAA-Anforderungen gerecht zu werden. Dieser Vertrag muss vor der Übertragung von PHI von der Covered Entity an den Business Associate geschlossen werden.
Ist Dropbox HIPAA/HITECH-zertifiziert?
Es gibt keine offizielle Zertifizierung für die US-amerikanischen HIPAA/HITECH-Vorschriften. Um mehr darüber zu erfahren, wie wir unseren Pflichten und den Anforderungen gemäß HIPAA/HITECH nachkommen, können Sie unser Dropbox Trust Center besuchen. Dort erhalten potenzielle und bestehende Kunden selbst Zugriff auf wichtige Dokumente zu Sicherheit, Zuverlässigkeit, Datenschutz und Compliance. Sie finden dann alles Wissenswerte bequem und zentral an einem Ort.
Auf das Dropbox Trust Center zugreifen
Hinweis: Sie können Ihre Dropbox-Anmeldedaten nicht nutzen, um auf das Dropbox Trust Center zuzugreifen.
Sie müssen sich anmelden, um auf alle Berichte und Dokumentationen zugreifen zu können. So fordern Sie Zugriff an:
- Navigieren Sie zu trust.dropbox.com.
- Klicken Sie oben rechts auf Zugriff anfordern.
- Geben Sie Ihre geschäftliche E-Mail-Adresse ein und klicken Sie dann auf Weiter.
- Geben Sie Ihre Daten ein und klicken Sie auf Anfrage senden.
Nach der Registrierung können Sie auf private und öffentliche Berichte und Dokumente zugreifen.
Hinweis: Für den Zugriff auf bestimmte private Dokumente müssen Sie möglicherweise eine Geheimhaltungsvereinbarung unterzeichnen. Das ist aber ganz einfach im Trust Center möglich.
Wie verwende ich Dropbox Business in Übereinstimmung mit den HIPAA/HITECH-Vorschriften?
Wir möchten, dass Sie es beim Wahren der Kontosicherheit und beim Erfüllen gesetzlicher Vorschriften möglichst einfach haben. Zwar liegt es am Ende an Ihnen, dafür zu sorgen, dass Sie Ihren gesetzlichen Verpflichtungen nachkommen, wir haben jedoch einige Empfehlungen zusammengestellt, die Ihnen helfen, für die Sicherheit Ihrer Daten und den Schutz Ihrer Konten zu sorgen.
Wissenswertes zu unseren internen Vorgehensweisen und Empfehlungen für Kunden, die die Anforderungen der HIPAA/HITECH-Sicherheits- und Datenschutzregeln erfüllen möchten, finden Sie im Dropbox Trust Center.
Wir versorgen Sie mit Tipps zur Einrichtung und Konfiguration Ihres Kontos, damit Sie Daten wie geschützte Gesundheitsinformationen (Protected Health Information, PHI) auch wirklich sicher aufbewahren können. Dabei decken wir eine große Bandbreite an Themen ab, u. a.:
- Freigabeberechtigungen konfigurieren
- Endgültiges Löschen deaktivieren
- Kontozugriff und -aktivität nachverfolgen
- Die Rolle von Drittanbieter-Apps
Wenn Sie den HIPAA/HITECH-Vorschriften unterliegen, bedenken Sie bitte, dass ein BAA geschlossen werden muss, bevor Sie geschützte Gesundheitsinformationen in Ihr Dropbox-Konto übertragen. Einzelheiten zum Kauf eines Dropbox-Team-Abos erfahren Sie von unserem Vertriebsteam.
Sie sind Administrator eines Dropbox-Teamkontos? Dann können Sie einen BAA elektronisch über die Kontoseite in der Verwaltungskonsole unterzeichnen.
Hinweise:
- Nur Kunden mit Wohnsitz in den USA können einen elektronischen Geschäftspartnervertrag (BAA) über die Verwaltungskonsole unterzeichnen.
- Wenn Ihr Team einen Geschäftspartnervertrag (BAA) abschließt, kann der Reseller-Support nicht aktiviert werden.
- Hier erfahren Sie mehr über die Aktivierung des Reseller-Supports und das Partner Reseller Program.
Wie schließe ich ein Business Associate Agreement (BAA) mit Dropbox ab?
Einzelheiten zum Kauf eines Dropbox-Team-Abos erfahren Sie von unserem Vertriebsteam. Wenn Sie derzeit Administrator eines Dropbox-Teamkontos sind, können Sie eine BAA elektronisch über die Kontoseite in der Verwaltungskonsole unterzeichnen.
Sind Drittanbieter-Apps und -Integrationen von meinem BAA für das Dropbox-Team-Abo abgedeckt?
Es stehen zahlreiche Drittanbieter-Apps zur Verfügung, die Sie mit Ihrem Dropbox-Teamkonto verknüpfen können, um dessen Funktionsumfang zu erweitern. Integrationen, die Dienste wie SIEM, DLP und Identitätsmanagement bereitstellen, sind nützliche Tools zur Stärkung Ihrer aktuellen Sicherheitspraxis.
Zwar sind diese Drittanbieter-Apps und -Integrationen nützliche Hilfsmittel für Ihr Konto, beachten Sie jedoch, dass sie nicht Teil des von uns bereitgestellten Serviceangebots sind. Deshalb sind sie nicht von Ihren Nutzungsbedingungen im Rahmen von Dropbox abgedeckt. Dies gilt auch für eventuell mit Dropbox geschlossene BAA. Es liegt in Ihrer Verantwortung, diese Apps zu prüfen, um festzustellen, ob ihre Nutzung mit den Gesetzen und Vorschriften vereinbar ist, die für Sie gelten. Denken Sie daran, dass bestimmte Apps für private Konten vorgesehen sind, während andere von einem Administrator mit dem gesamten Team verknüpft werden können.