Dropbox und HIPAA/HITECH
Was verbirgt sich hinter der Bezeichnung HIPAA/HITECH?
HIPAA/HITECH bezeichnet zwei US-amerikanische Gesetze, zum einen den Health Insurance Portability and Accountability Act (HIPAA) aus dem Jahr 1996 und zum anderen den Health Information Technology for Economic and Clinical Health Act (HITECH) aus dem Jahr 2009.
Diese Gesetze sollen die Verbreitung von Technologie im Gesundheitswesen unterstützen und gleichzeitig Schutzmaßnahmen für die Sicherheit und den Datenschutz von Gesundheitsinformationen liefern. Krankenhäuser, Kliniken, Zahnarztpraxen sowie Einzelpersonen, die mit geschützten Gesundheitsinformationen („protected health information“ oder PHI) zu tun haben, sind möglicherweise von diesen Gesetzen betroffen. Die Vorschriften können sich auch auf Firmen erstrecken, die mit diesen zusammenarbeiten und in deren Auftrag mit PHI zu tun haben.
HIPAA/HITECH – Die wichtigsten Begriffe
Protected Health Information (PHI) – Geschützte Gesundheitsinformationen
Persönlich identifizierbare Informationen zu Einzelpersonen sowie ihrer bisherigen, aktuellen oder künftigen:
- medizinischen bzw. psychologischen Leiden
- Inanspruchnahme medizinischer Leistugnen
- Zahlungen für medizinische Leistungen
Covered Entity – Rechtsträger im Gesundheitswesen
Der Begriff „Covered Entity“ bezeichnet Rechtsträger im Gesundheitswesen wie etwa Krankenversicherungen, Clearinghouses im Gesundheitswesen oder Gesundheitsdienstleister. Dazu zählen Krankenhäuser, Kliniken, Ärzte und andere, die PHI erstellen, empfangen oder übertragen. Aufgrund ihrer Arbeit mit PHI sind diese Rechtsträger gemäß HIPAA/HITECH für den Datenschutz und die Sicherheit dieser Informationen verantwortlich.
Business Associate – Geschäftspartner
Business Associates sind Geschäftspartner, die PHI im Auftrag einer Covered Entity erstellt, empfängt, pflegt oder überträgt und somit ebenfalls den HIPAA/HITECH-Vorschriften unterliegt.
Business Associate Agreement (BAA) – Geschäftspartnervertrag
Als BAA wird die vertragliche Zusicherung des Business Associate (Geschäftspartners) der Covered Entity gegenüber bezeichnet, den HIPAA-Anforderungen gerecht zu werden. Dieser Vertrag muss vor der Übertragung von PHI von der Covered Entity an den Business Associate geschlossen werden.
Ist Dropbox HIPAA/HITECH-zertifiziert?
Es gibt keine offizielle Zertifizierung für die US-amerikanischen HIPAA/HITECH-Vorschriften. Wenn Sie sich näher darüber informieren möchten, wie wir vorgehen, um unseren Verpflichtungen gemäß HIPAA/HITECH nachzukommen, können Sie einen extern erstellten Bewertungsbericht über unsere Maßnahmen zur Einhaltung der HIPAA/HITECH-Vorschriften hinsichtlich Sicherheit, Datenschutz und Mitteilung von Sicherheitsverstößen sowie eine Übersicht unserer internen Verfahren und Empfehlungen für Kunden anfordern, die Dropbox Business unter Einhaltung der Sicherheits- und Datenschutzvorschriften gemäß HIPAA/HITECH nutzen möchten.
Wie verwende ich Dropbox Business in Übereinstimmung mit den HIPAA/HITECH-Vorschriften?
Wir möchten, dass Sie es beim Wahren der Kontosicherheit und beim Erfüllen gesetzlicher Vorschriften möglichst einfach haben. Zwar liegt es am Ende an Ihnen, dafür zu sorgen, dass Sie Ihren gesetzlichen Verpflichtungen nachkommen, wir haben jedoch einige Empfehlungen zusammengestellt, die Ihnen helfen, für die Sicherheit Ihrer Daten und den Schutz Ihrer Konten zu sorgen.
Werfen Sie zunächst einen Blick in unseren Leitfaden „Getting Started with HIPAA“. Darin finden Sie Tipps zur Kontoeinrichtung und zur sicheren Aufbewahrung von PHI und anderen Daten. Hier erhalten Sie Vorschläge zu einer ganzen Reihe verschiedener Themen, u. a.:
- Freigabeberechtigungen konfigurieren
- Endgültiges Löschen deaktivieren
- Kontozugriff und -aktivität nachverfolgen
- Die Rolle von Drittanbieter-Apps
Auf Wunsch stellen wir Ihnen eine Übersicht unserer internen Verfahren und Empfehlungen für Kunden zur Verfügung, die Dropbox Business unter Einhaltung der Sicherheits- und Datenschutzvorschriften gemäß HIPAA/HITECH nutzen möchten.
Wenn Ihre Organisation den HIPAA/HITECH-Vorschriften unterliegt, muss ein BAA abgeschlossen werden, bevor Sie geschützte Gesundheitsinformationen (PHI) in Ihr Dropbox-Konto übertragen. Bei Fragen zum Kauf von Dropbox Business lassen Sie sich von unserem Vertriebsteam beraten. Wenn Sie derzeit Team-Admin eines Dropbox Business-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.
Hinweise:
- Nur Kunden mit Wohnsitz in den USA können einen elektronischen Geschäftspartnervertrag (BAA) über die Verwaltungskonsole unterzeichnen.
- Wenn Ihr Team einen Geschäftspartnervertrag (BAA) abschließt, kann der Reseller-Support nicht aktiviert werden.
- Hier erfahren Sie mehr über die Aktivierung des Reseller-Supports und das Partner Reseller Program.
Wie schließe ich ein Business Associate Agreement (BAA) mit Dropbox ab?
Bei Fragen zum Kauf von Dropbox für geschäftliche Zwecke lassen Sie sich von unserem Vertriebsteam beraten. Wenn Sie derzeit Team-Admin eines geschäftlichen Dropbox-Kontos sind, können Sie in der Verwaltungskonsole auf der Seite Konto einen Geschäftspartnervertrag (BAA) elektronisch unterzeichnen.
Deckt mein BAA mit Dropbox Business auch Drittanbieter-Apps und -Integrationen ab?
Es stehen zahlreiche Drittanbieter-Apps zur Verfügung, die Sie mit Ihrem geschäftlichen Dropbox-Konto verknüpfen können, um dessen Funktionsumfang zu erweitern. Integrationen, die Dienste wie SIEM, DLP und Identitätsmanagement bereitstellen, sind nützliche Tools zur Stärkung Ihrer aktuellen Sicherheitspraxis.
Zwar sind diese Drittanbieter-Apps und -Integrationen nützliche Hilfsmittel für Ihr Konto, beachten Sie jedoch, dass sie nicht Teil des von uns bereitgestellten Serviceangebots sind. Deshalb sind sie nicht von Ihren Nutzungsbedingungen im Rahmen von Dropbox abgedeckt. Dies gilt auch für eventuell mit Dropbox geschlossene BAA. Es liegt in Ihrer Verantwortung, diese Apps zu prüfen, um festzustellen, ob ihre Nutzung mit den Gesetzen und Vorschriften vereinbar ist, die für Sie gelten. Denken Sie daran, dass bestimmte Apps für private Konten vorgesehen sind, während andere von einem Administrator mit dem gesamten Team verknüpft werden können.