Dropbox und HIPAA/HITECH

Aktualisiert Jun 03, 2024
person icon

Die Informationen in diesem Artikel gelten für bestimmte Teams mit Dropbox Standard, Dropbox Advanced, Dropbox Enterprise, Dropbox Education, Dropbox Business, Dropbox Business Plus und Dropbox Sign.

Was verbirgt sich hinter der Bezeichnung HIPAA/HITECH?

HIPAA/HITECH bezeichnet zwei Gesetze:

  • das Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (Health Insurance Portability and Accountability Act – HIPAA) von 1996
  • das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (Health Information Technology for Economic and Clinical Health Act – HITECH) von 2009

Diese Gesetze sollen die Verbreitung von Technologie im Gesundheitswesen unterstützen und gleichzeitig Schutzmaßnahmen für die Sicherheit und den Datenschutz von Gesundheitsinformationen liefern. Krankenhäuser, Kliniken, Zahnarztpraxen sowie Einzelpersonen, die mit geschützten Gesundheitsinformationen („protected health information“ oder PHI) zu tun haben, sind möglicherweise von diesen Gesetzen betroffen. Die Vorschriften können sich auch auf Firmen erstrecken, die mit diesen zusammenarbeiten und in deren Auftrag mit PHI zu tun haben.

HIPAA/HITECH – Die wichtigsten Begriffe

Protected Health Information (PHI) – Geschützte Gesundheitsinformationen

Persönlich identifizierbare Informationen zu Einzelpersonen sowie ihrer bisherigen, aktuellen oder künftigen:

  • medizinischen bzw. psychologischen Leiden
  • Inanspruchnahme medizinischer Leistungen
  • Zahlungen für medizinische Leistungen

Covered Entity – Rechtsträger im Gesundheitswesen

Der Begriff „Covered Entity“ bezeichnet Rechtsträger im Gesundheitswesen wie etwa Krankenversicherungen, Clearinghouses im Gesundheitswesen oder Gesundheitsdienstleister. Dazu zählen Krankenhäuser, Kliniken, Ärzte und andere, die PHI erstellen, empfangen oder übertragen. Aufgrund ihrer Arbeit mit PHI sind diese Rechtsträger gemäß HIPAA/HITECH für den Datenschutz und die Sicherheit dieser Informationen verantwortlich.

Business Associate – Geschäftspartner

Business Associates sind Geschäftspartner, die PHI im Auftrag einer Covered Entity erstellt, empfängt, pflegt oder überträgt und somit ebenfalls den HIPAA/HITECH-Vorschriften unterliegt.

Business Associate Agreement (BAA) – Geschäftspartnervertrag

Als BAA wird die vertragliche Zusicherung des Business Associate (Geschäftspartners) der Covered Entity gegenüber bezeichnet, den HIPAA-Anforderungen gerecht zu werden. Dieser Vertrag muss vor der Übertragung von PHI von der Covered Entity an den Business Associate geschlossen werden.

Ist Dropbox HIPAA/HITECH-zertifiziert?

Es gibt keine offizielle Zertifizierung für die US-amerikanischen HIPAA/HITECH-Vorschriften. Um mehr darüber zu erfahren, wie wir unseren Pflichten und den Anforderungen gemäß HIPAA/HITECH nachkommen, können Sie unser Dropbox Trust Center besuchen. Dort erhalten potenzielle und bestehende Kunden selbst Zugriff auf wichtige Dokumente zu Sicherheit, Zuverlässigkeit, Datenschutz und Compliance. Sie finden dann alles Wissenswerte bequem und zentral an einem Ort.

Auf das Dropbox Trust Center zugreifen

highlighter icon

Hinweis: Sie können Ihre Dropbox-Anmeldedaten nicht nutzen, um auf das Dropbox Trust Center zuzugreifen. 

Sie müssen sich anmelden, um auf alle Berichte und Dokumentationen zugreifen zu können. So fordern Sie Zugriff an:

  1. Navigieren Sie zu trust.dropbox.com.
  2. Klicken Sie oben rechts auf Zugriff anfordern.
  3. Geben Sie Ihre geschäftliche E-Mail-Adresse ein und klicken Sie dann auf Weiter.
  4. Geben Sie Ihre Daten ein und klicken Sie auf Anfrage senden.

Nach der Registrierung können Sie auf private und öffentliche Berichte und Dokumente zugreifen.

highlighter icon

Hinweis: Für den Zugriff auf bestimmte private Dokumente müssen Sie möglicherweise eine Geheimhaltungsvereinbarung unterzeichnen. Das ist aber ganz einfach im Trust Center möglich. 

Wie verwende ich Dropbox Business in Übereinstimmung mit den HIPAA/HITECH-Vorschriften?

Wir möchten, dass Sie es beim Wahren der Kontosicherheit und beim Erfüllen gesetzlicher Vorschriften möglichst einfach haben. Zwar liegt es am Ende an Ihnen, dafür zu sorgen, dass Sie Ihren gesetzlichen Verpflichtungen nachkommen, wir haben jedoch einige Empfehlungen zusammengestellt, die Ihnen helfen, für die Sicherheit Ihrer Daten und den Schutz Ihrer Konten zu sorgen.
 

Wissenswertes zu unseren internen Vorgehensweisen und Empfehlungen für Kunden, die die Anforderungen der HIPAA/HITECH-Sicherheits- und Datenschutzregeln erfüllen möchten, finden Sie im Dropbox Trust Center.
 

Wir versorgen Sie mit Tipps zur Einrichtung und Konfiguration Ihres Kontos, damit Sie Daten wie geschützte Gesundheitsinformationen (Protected Health Information, PHI) auch wirklich sicher aufbewahren können. Dabei decken wir eine große Bandbreite an Themen ab, u. a.:

  • Freigabeberechtigungen konfigurieren
  • Endgültiges Löschen deaktivieren
  • Kontozugriff und -aktivität nachverfolgen
  • Die Rolle von Drittanbieter-Apps

Wenn Sie den HIPAA/HITECH-Vorschriften unterliegen, bedenken Sie bitte, dass ein BAA geschlossen werden muss, bevor Sie geschützte Gesundheitsinformationen in Ihr Dropbox-Konto übertragen. Einzelheiten zum Kauf eines Dropbox-Team-Abos erfahren Sie von unserem Vertriebsteam.


Sie sind Administrator eines Dropbox-Teamkontos? Dann können Sie einen BAA elektronisch über die Kontoseite in der Verwaltungskonsole unterzeichnen.

highlighter icon

Hinweise:

Wie schließe ich ein Business Associate Agreement (BAA) mit Dropbox ab?

Einzelheiten zum Kauf eines Dropbox-Team-Abos erfahren Sie von unserem Vertriebsteam. Wenn Sie derzeit Administrator eines Dropbox-Teamkontos sind, können Sie eine BAA elektronisch über die Kontoseite in der Verwaltungskonsole unterzeichnen.

Sind Drittanbieter-Apps und -Integrationen von meinem BAA für das Dropbox-Team-Abo abgedeckt?

Es stehen zahlreiche Drittanbieter-Apps zur Verfügung, die Sie mit Ihrem Dropbox-Teamkonto verknüpfen können, um dessen Funktionsumfang zu erweitern. Integrationen, die Dienste wie SIEM, DLP und Identitätsmanagement bereitstellen, sind nützliche Tools zur Stärkung Ihrer aktuellen Sicherheitspraxis.
 

Zwar sind diese Drittanbieter-Apps und -Integrationen nützliche Hilfsmittel für Ihr Konto, beachten Sie jedoch, dass sie nicht Teil des von uns bereitgestellten Serviceangebots sind. Deshalb sind sie nicht von Ihren Nutzungsbedingungen im Rahmen von Dropbox abgedeckt. Dies gilt auch für eventuell mit Dropbox geschlossene BAA. Es liegt in Ihrer Verantwortung, diese Apps zu prüfen, um festzustellen, ob ihre Nutzung mit den Gesetzen und Vorschriften vereinbar ist, die für Sie gelten. Denken Sie daran, dass bestimmte Apps für private Konten vorgesehen sind, während andere von einem Administrator mit dem gesamten Team verknüpft werden können.

War dieser Artikel hilfreich?

Das tut uns leid.
Was können wir noch verbessern?

Vielen Dank für Ihr Feedback!
Wie hat Ihnen dieser Artikel konkret geholfen?

Vielen Dank für Ihr Feedback!

Verwandte Artikel

Die EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die Datenschutz-Grundverordnung reguliert die Nutzung personenbezogener Daten. Erfahren Sie, wie Dropbox die Anforderungen der DSGVO erfüllt.

Artikel ansehen

Dropbox und FDA 21 CFR Part 11 – ein Überblick

Dropbox setzt unabhängige externe Prüfer ein, um seine Systeme zu testen. Finden Sie heraus, wie Dropbox Sie bei der Einhaltung der Bestimmungen gemäß FDA 21 CFR Part 11 unterstützen kann.

Artikel ansehen

Normen und Vorschriften, die wir einhalten

Ihr Vertrauen in Dropbox ist unsere höchste Priorität. Erfahren Sie mehr über die Normen und Bestimmungen, die Dropbox erfüllt.

Artikel ansehen

Wie wirkt sich die PSD2 auf mein Dropbox-Konto aus?

Erfahren Sie, inwiefern Dropbox mit der PSD2-Richtlinie konform geht und was das für Ihr Konto bedeutet.

Artikel ansehen

Andere Möglichkeiten, Hilfe zu erhalten

Symbol, das zwei Personen darstellt
Community
Twitter Icon
X
Symbol, das eine Sprechblase darstellt
Support kontaktieren