Select Page

Schutz von Patientendaten mit cloudbasierten HIPAA-konformen Fax Services

Unternehmen, die personenbezogene Gesundheitsdaten versenden, empfangen und speichern, müssen etliche Vorschriften einhalten. Eine besonders wichtige und weitreichende davon ist HIPAA in den USA.

Was ist HIPAA?

HIPAA, der Health Insurance Portability and Accountability Act von 1996, regelt, welche Massnahmen Unternehmen durchführen müssen, um Datenschutz und Sicherheit einzelner Gesundheitsakten und sowie identifizierende Informationen zu schützen. Die Verordnung bestimmt, wie Akten mit Patientendaten erstellt, gespeichert und übertragen werden. Dabei ist die Sicherheit der Datenübertragung ein entscheidender Aspekt.

Warum sind HIPAA-konforme Faxe von Bedeutung?

Da HIPAA die Sicherheit personenbezogener Patientendaten bei der Übertragung und Speicherung regelt, müssen alle übertragenen und gespeicherten Daten streng überwacht, protokolliert und regelmässig auf Konformität überprüft werden. HIPAA-Verstösse können nicht nur zu hohen Konventionalstrafen und Bussgeldern führen, sondern auch das Vertrauen von Patienten in das Unternehmen negativ beeinflussen.

Herkömmliche Faxnachrichten weisen mehrere Unzulänglichkeiten auf, die eine HIPAA-Konformität erschweren. Häufige Fehler wie Faxe ohne Deckblätter, falsche Faxnummern oder versehentlich weggeworfene Papierfaxe können hohe Kosten verursachen.

Im Allgemeinen legt HIPAA fest, welche Einrichtungen an die Verordnung gebunden sind, welche Daten abgedeckt sind und welche Vorsichtsmassnahmen ein Anbieter durchführen muss, um den Schutz von Patientendaten sicherzustellen.

Allgemeine Regeln

R
Die Vertraulichkeit, Integrität und Verfügbarkeit aller elektronischen Patientendaten, die erstellt, empfangen, aufbewahrt oder übertragen werden, muss gewährleistet sein.
R
Identifizierung von und Schutz vor vernünftigerweise zu erwartenden Bedrohungen der Informationssicherheit und -integrität.
R
Schützen Sie sich vor vorhersehbaren, unzulässigen Verwendungen oder Offenlegungen.
R
Die Einhaltung der Vorschriften durch die Mitarbeiter muss gewährleistet sein. 1

„Als modernes Krankenhaus sind wir bei der Kommunikation von Patientendaten auf Faxe angewiesen, daher sind Verfügbarkeit und Zuverlässigkeit für uns von entscheidender Bedeutung. Wir haben vom Wechsel zu Retarus ausschliesslich profitiert und seitdem keine Ausfallzeiten mehr gehabt. Ausserdem ist unsere Effizienz gestiegen, und das bei geringeren Ausgaben.“

Sam Murema, IT-Spezialist, Malo Ambulatory Surgery Center

Konventionalstrafen/Bussgelder

HIPAA-Verstösse können zu erheblichen Strafzahlungen führen. Abhängig vom Ausmass der Schuldhaftigkeit können HIPAA-Verstösse zu Konventionalstrafen von 117 US-Dollar bis mehr als 58.000 US-Dollar pro Akte führen, gedeckelt auf 1,71 Millionen Dollar pro Jahr. 2

Patientenvertrauen

HIPAA-Verstösse können sich äusserst negativ auf das Vertrauen von Patienten auswirken. Wenn Unternehmen, die Patientendaten verwalten, HIPAA-Vorschriften missachten, kann es passieren, dass Kunden dem Unternehmen das Vertrauen entziehen.

HIPAA-Konformitätskategorien

Die jeweiligen Leitlinien für die HIPAA-Konformität sind in drei Kategorien unterteilt: administrative, physische und technische Sicherheitsmassnahmen.

Administrative Sicherheitsmassnahmen

Administrative Sicherheitsmassnahmen decken die Richtlinien, Verfahren, Schulung von Mitarbeitern und Zuweisung von Verantwortlichkeiten in Bezug auf die HIPAA-Konformität ab. Dazu zählen:

  • Sicherheitsmanagementprozess
  • Sicherheitspersonal
  • Zugriff auf Daten
  • Audit-Kontrollen
  • Mitarbeiterschulung und Personalführung
  • Evaluierung

Physische Sicherheitsmassnahmen

HIPAA-Konformität schreibt verschiedene Massnahmen in Bezug auf physische Zugangsbeschränkungen zum Schutz von elektronischen Patientendaten unabhängig vom jeweiligen Aufbewahrungsort vor. Diese Sicherheitsmassnahmen umfassen:

  • Zugang zu Räumen/Einrichtungen und entsprechende Kontrolle
  • Sicherheit von Arbeitsplätzen und Geräten
  • Sicherheitsmassnahmen im Rechenzentrum 
  • Zugriffseinschränkungen für Mitarbeiterdaten

Technische Sicherheitsmassnahmen

Ausserdem sind technische Sicherheitsmassnahmen erforderlich, um sicherzustellen, dass digitale Gesundheitsdaten nicht offen gelegt werden oder von unbefugten Personen eingesehen werden können. Dazu zählen:

  • Zugriffskontrolle
  • Integritätskontrollen
  • Übertragungssicherheit
  • Datensicherheit und -konformität

Herkömmliches Fax im Vergleich zu Cloud Fax

  Herkömmliches Fax
(Papierfaxgeräte)
Cloud Fax
Schutz von Metadaten Faxmetadaten im Speicher des Faxgeräts sind nicht verschlüsselt und somit ungeschützt. Wenn eine unbefugte Person darauf zugreift, verstösst der Anbieter gegen die physischen HIPAA-Sicherheitsmassnahmen zur Sicherheit von Arbeitsplätzen und Geräten. Übertragungssicherheit

  • Die Verbindungen zum Cloud Fax-Netzwerk – die Gateways – können beim Senden und Empfangen von Faxen geschützt werden
  • Daten können bei der Übertragung verschlüsselt werden, sodass Patientendaten für den ganzen Übertragungszyklus geschützt sind

Datenverschlüsselung

  • Ermöglicht die Verwendung von hochentwickelten Verschlüsselungsverfahren, die von Ihrem Anbieter implementiert und aktualisiert werden können, um mit neu aufkommenden Technologien Schritt zu halten.
Zugriffskontrollen Papierfaxe, die unbeaufsichtigt auf Faxgeräten verbleiben, können von unbefugten Personen eingesehen oder mitgenommen werden. Dies verstösst gegen die technischen HIPAA-Sicherheitsmassnahmen im Bereich der Zugriffskontrolle sowie gegen physische Sicherheitsmassnahmen, die den Zugang zu Räumen oder Einrichtungen regeln. Cloud Fax ermöglicht Schutzmassnahmen für den Zugriff auf Patientendaten, wie z. B. Rollenzuweisung, Zugriffsverwaltung und -überprüfung sowie Kontoänderungen, sodass Personalwechsel seitens des Anbieters umgehend zu geänderten Zugriffsrechten für Patientendaten führen.
Audit-Kontrollen HIPAA-konforme Faxe erfordern, dass die beteiligten Einrichtungen protokollieren, wer Patientendaten für die Patientenversorgung liest und nutzt. Für Papierfaxe müssen manuelle Audit-Protokolle erstellt, gepflegt und überprüft werden, um die Einhaltung der technischen Sicherheitsmassnahmen für Kontrollprüfungen sicherzustellen. Cloud Fax bietet Anbietern die Möglichkeit, zum Nachweis der HIPAA-Konformität sichere, bestätigte Audit-Protokolle zu erstellen. Die Plattformen bieten auch eine Protokollierungsfunktion für die Überwachung von Faxen, um sicherzustellen, dass sie erfolgreich gesendet und empfangen wurden, sowie die Möglichkeit der Erteilung von Berechtigungen für den Zugriff auf sensible Gesundheitsdaten.
Risk of Manual Entry Errors Wird ein Fax an die falsche Nummer gesendet, verstösst der Absender gegen die administrativen HIPAA-Sicherheitsmassnahmen für den Datenzugriff – selbst bei einem unverschuldeten Fehler. Da die Faxnummern in einem zentralen System hinterlegt sind, besteht kein Risiko, dass vertrauliche Informationen versehentlich an falsche Empfänger gesendet werden.
Archivierung Dokumente, die nicht gemäss HIPAA-zugelassenen Prozessen ordnungsgemäss vernichtet werden, bilden eine Schwachstelle beim Anbieter und verstossen daher gegen Datenzugriffs- und Datenintegritätskontrollen. Langfristige elektronische Archivierungsprotokolle machen ein physisches Archivieren, Schützen und Vernichten von Patientendaten überflüssig; so können Anbieter selbst die strengsten Anforderungen an die Datensicherheit- und -integrität erfüllen.

Retarus Cloud Fax Services

HIPAA-Konformität ist eine komplexe Anforderung. Um die Sicherheit von Patientendaten bei der Erstellung, Übertragung und Speicherung zu gewährleisten, sind entsprechende Strukturen, Ressourcen und Überwachungsmassnahmen zur Sicherstellung der Datenintegrität und -sicherheit erforderlich.

Diese Bedenken sollten Gesundheitsdienstleiter jedoch nicht davon abhalten, die Vorteile von Cloud Fax zu nutzen. Mit einem HIPAA-konformen Cloud Fax-Anbieter können Unternehmen im Gesundheitswesen durch bessere Kontrollen, Verschlüsselung und Audit-Funktionen ihre Konformität erheblich verbessern.

Cloud Fax bietet im Vergleich zu herkömmlichen Faxen zahlreiche Vorteile, wie z. B. geringere Kosten, einfache Skalierbarkeit, unkomplizierte Datenspeicherung usw. Retarus Cloud Fax Services nutzen die Kommunikationsplattform von Retarus und die zugehörigen Rechenzentren in vollem Umfang, um Unternehmen jeder Grösse im Gesundheitswesen qualitativ hochwertige Faxfunktionen zur Verfügung zu stellen. Mit den Retarus Cloud Fax Services können Sie Kosten kontrollieren, Dienstleistungen verbessern und das Risiko von Verstössen gegen HIPAA und andere Vorschriften verringern.

Weitere Informationen zu den Vorteilen von Retarus:

Quellen:
1 https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html
2 https://www.hipaajournal.com/hhs-increases-civil-monetary-penalties-for-hipaa-violations-2019-inflation/