Dropbox und HIPAA/HITECH

Aktualisiert Aug 09, 2023

Was verbirgt sich hinter der Bezeichnung HIPAA/HITECH?

HIPAA/HITECH bezeichnet zwei US-amerikanische Gesetze, zum einen den Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 und zum anderen den Health Information Technology for Economic and Clinical Health Act (HITECH) aus dem Jahr 2009.

Diese Gesetze sollen die Verbreitung von Technologie im Gesundheitswesen unterstützen und gleichzeitig Schutzmaßnahmen für die Sicherheit und den Datenschutz von Gesundheitsinformationen liefern. Krankenhäuser, Kliniken, Zahnarztpraxen sowie Einzelpersonen, die mit geschützten Gesundheitsinformationen („protected health information“ oder PHI) zu tun haben, sind möglicherweise von diesen Gesetzen betroffen. Die Vorschriften können sich auch auf Firmen erstrecken, die mit diesen zusammenarbeiten und in deren Auftrag mit PHI zu tun haben.

HIPAA/HITECH – Die wichtigsten Begriffe

Protected Health Information (PHI) – Geschützte Gesundheitsinformationen

Persönlich identifizierbare Informationen zu Einzelpersonen sowie ihrer bisherigen, aktuellen oder künftigen:

  • medizinischen bzw. psychologischen Leiden
  • Inanspruchnahme medizinischer Leistugnen
  • Zahlungen für medizinische Leistungen

Covered Entity – Rechtsträger im Gesundheitswesen

Der Begriff „Covered Entity“ bezeichnet Rechtsträger im Gesundheitswesen wie etwa Krankenversicherungen, Clearinghouses im Gesundheitswesen oder Gesundheitsdienstleister. Dazu zählen Krankenhäuser, Kliniken, Ärzte und andere, die PHI erstellen, empfangen oder übertragen. Aufgrund ihrer Arbeit mit PHI sind diese Rechtsträger gemäß HIPAA/HITECH für den Datenschutz und die Sicherheit dieser Informationen verantwortlich.

Business Associate – Geschäftspartner

Business Associates sind Geschäftspartner, die PHI im Auftrag einer Covered Entity erstellt, empfängt, pflegt oder überträgt und somit ebenfalls den HIPAA/HITECH-Vorschriften unterliegt.

Business Associate Agreement (BAA) – Geschäftspartnervertrag

Als BAA wird die vertragliche Zusicherung des Business Associate (Geschäftspartners) der Covered Entity gegenüber bezeichnet, den HIPAA-Anforderungen gerecht zu werden. Dieser Vertrag muss vor der Übertragung von PHI von der Covered Entity an den Business Associate geschlossen werden.

Ist Dropbox HIPAA/HITECH-zertifiziert?

Es gibt keine offizielle Zertifizierung für die US-amerikanischen HIPAA/HITECH-Vorschriften. Wenn Sie sich näher darüber informieren möchten, wie wir vorgehen, um unseren Verpflichtungen gemäß HIPAA/HITECH nachzukommen, können Sie einen extern erstellten Bewertungsbericht über unsere Maßnahmen zur Einhaltung der HIPAA/HITECH-Vorschriften hinsichtlich Sicherheit, Datenschutz und Mitteilung von Sicherheitsverstößen sowie eine Übersicht unserer internen Verfahren und Empfehlungen für Kunden anfordern, die Dropbox Business unter Einhaltung der Sicherheits- und Datenschutzvorschriften gemäß HIPAA/HITECH nutzen möchten.

Wie verwende ich Dropbox Business in Übereinstimmung mit den HIPAA/HITECH-Vorschriften?

Wir möchten, dass Sie es beim Wahren der Kontosicherheit und beim Erfüllen gesetzlicher Vorschriften möglichst einfach haben. Zwar liegt es am Ende an Ihnen, dafür zu sorgen, dass Sie Ihren gesetzlichen Verpflichtungen nachkommen, wir haben jedoch einige Empfehlungen zusammengestellt, die Ihnen helfen, für die Sicherheit Ihrer Daten und den Schutz Ihrer Konten zu sorgen.

Werfen Sie zunächst einen Blick in unseren Leitfaden „Getting Started with HIPAA“. Darin finden Sie Tipps zur Kontoeinrichtung und zur sicheren Aufbewahrung von PHI und anderen Daten. Hier erhalten Sie Vorschläge zu einer ganzen Reihe verschiedener Themen, u. a.:

  • Freigabeberechtigungen konfigurieren
  • Endgültiges Löschen deaktivieren
  • Kontozugriff und -aktivität nachverfolgen
  • Die Rolle von Drittanbieter-Apps

Auf Wunsch stellen wir Ihnen eine Übersicht unserer internen Verfahren und Empfehlungen für Kunden zur Verfügung, die Dropbox Business unter Einhaltung der Sicherheits- und Datenschutzvorschriften gemäß HIPAA/HITECH nutzen möchten.

Wenn Ihre Organisation den HIPAA/HITECH-Vorschriften unterliegt, muss ein BAA abgeschlossen werden, bevor Sie geschützte Gesundheitsinformationen (PHI) in Ihr Dropbox-Konto übertragen. Bei Fragen zum Kauf von Dropbox Business lassen Sie sich von unserem Vertriebsteam beraten. Wenn Sie derzeit Team-Admin eines Dropbox Business-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.

highlight icon

Hinweise:

Wie schließe ich ein Business Associate Agreement (BAA) mit Dropbox ab?

Bei Fragen zum Kauf von Dropbox für geschäftliche Zwecke lassen Sie sich von unserem Vertriebsteam beraten. Wenn Sie derzeit Team-Admin eines geschäftlichen Dropbox-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.

Deckt mein BAA mit Dropbox Business auch Drittanbieter-Apps und -Integrationen ab?

Es stehen zahlreiche Drittanbieter-Apps zur Verfügung, die Sie mit Ihrem geschäftlichen Dropbox-Konto verknüpfen können, um dessen Funktionsumfang zu erweitern. Integrationen, die Dienste wie SIEM, DLP und Identitätsmanagement bereitstellen, sind nützliche Tools zur Stärkung Ihrer aktuellen Sicherheitspraxis.

Zwar sind diese Drittanbieter-Apps und -Integrationen nützliche Hilfsmittel für Ihr Konto, beachten Sie jedoch, dass sie nicht Teil des von uns bereitgestellten Serviceangebots sind. Deshalb sind sie nicht von Ihren Nutzungsbedingungen im Rahmen von Dropbox abgedeckt. Dies gilt auch für eventuell mit Dropbox geschlossene BAA. Es liegt in Ihrer Verantwortung, diese Apps zu prüfen, um festzustellen, ob ihre Nutzung mit den Gesetzen und Vorschriften vereinbar ist, die für Sie gelten. Denken Sie daran, dass bestimmte Apps für private Konten vorgesehen sind, während andere von einem Administrator mit dem gesamten Team verknüpft werden können.

War dieser Artikel hilfreich?

Das tut uns leid.
Was können wir noch verbessern?

Vielen Dank für Ihr Feedback!
Wie hat Ihnen dieser Artikel konkret geholfen?

Vielen Dank für Ihr Feedback!

Verwandte Artikel

Compliance bei geschäftlichen Dropbox-Abos und bei Dropbox Education

Artikel ansehen

Die EU-Datenschutz-Grundverordnung (EU-DSGVO)

Artikel ansehen

Dropbox und FDA 21 CFR Part 11 – ein Überblick

Dropbox setzt unabhängige externe Prüfer ein, um seine Systeme zu testen. Finden Sie heraus, wie Dropbox Sie bei der Einhaltung der Bestimmungen gemäß FDA 21 CFR Part 11 unterstützen kann.

Artikel ansehen

Wie wirkt sich die PSD2 auf mein Dropbox-Konto aus?

Erfahren Sie, inwiefern Dropbox mit der PSD2-Richtlinie konform geht und was das für Ihr Konto bedeutet.

Artikel ansehen

Andere Möglichkeiten, Hilfe zu erhalten

Symbol, das zwei Personen darstellt
Community
Vogelsymbol
Twitter
Symbol, das eine Sprechblase darstellt
Support kontaktieren