• blogangle-right
  • Ist Gmail HIPAA-konform? Die Do’s und Don’ts bei der Nutzung von Gmail mit PHI

Table of Contents

Ist Gmail HIPAA-konform? Die Do’s und Don’ts bei der Nutzung von Gmail mit PHI

  • December 19, 2023

Im Jahr 2022 erlebten 89% der Gesundheitsorganisationen im Durchschnitt 43 Angriffe in den letzten 12 Monaten, was fast einem Angriff pro Woche entspricht.

Angesichts der Tatsache, dass das Gesundheitswesen eine der am meisten von Bedrohungsakteuren angegriffenen Branchen ist, ist die HIPAA-Compliance entscheidend für die Sicherung geschützter Gesundheitsinformationen (PHI) – und dazu gehören auch PHI, die per E-Mail gesendet werden.

In diesem Beitrag erklären wir, wie Sie den beliebten E-Mail-Anbieter Gmail verwenden können und dabei HIPAA-konform bleiben.

Ist Gmail HIPAA-konform?

Gmail ist standardmäßig nicht HIPAA-konform, kann jedoch die HIPAA-Compliance unterstützen. Organisationen müssen die Vereinbarung über Geschäftspartner (BAA) überprüfen und akzeptieren, bevor sie Gmail oder andere abgedeckte Dienste im Zusammenhang mit PHI verwenden. Sie müssen auch angemessene Schutzmaßnahmen implementieren, die darauf ausgelegt sind, die unbefugte Nutzung oder Offenlegung von PHI zu verhindern.

Auch wenn die Implementierung dieser Schutzmaßnahmen in der kostenlosen Version von Gmail möglich ist, kann es schwieriger sein. Ein Premium-Abonnement von Google Workspace hingegen bietet integrierte Steuerungen für Datenverschlüsselung, Zwei-Schritt-Authentifizierung, Endpunktverwaltung, Verlustprävention und eine Zero-Trust-Cybersicherheitsinfrastruktur. Diese Sicherheitsfunktionen können den Prozess der HIPAA-Konformität Ihres E-Mails vereinfachen.

Wir werden dies weiter unten ausführlicher besprechen.

Empfohlene Lektüre

HIPAA Hub

Einführung des HIPAA Compliance Hub: 25+ kostenlose Ressourcen zur Vereinfachung der Compliance

Wie man Gmail HIPAA-konform macht

Das HIPAA-konforme Machen von Gmail erfordert mehrere Schritte, darunter:

Vereinbarung über Geschäftspartner unterzeichnen.

Um die Vereinbarung über Geschäftspartner mit Google zu unterzeichnen, müssen Sie ein Superadministratorkonto haben. Befolgen Sie dann diese Schritte:

  1. Gehen Sie in der Admin-Konsole zu Menü und dann zu Konto > Kontoeinstellungen > Rechtliches und Compliance.
  2. Gehen Sie zum Abschnitt Zusätzliche Sicherheits- und Datenschutzbedingungen.
  3. Klicken Sie auf Google Workspace/Cloud Identity HIPAA Business Associate Amendment, um die Ergänzung zu überprüfen.
  4. Klicken Sie auf Überprüfen und Akzeptieren und beantworten Sie alle drei Fragen, um zu bestätigen, dass Sie eine HIPAA-abgedeckte Einrichtung sind.
  5. Klicken Sie auf OK, um die HIPAA BAA zu akzeptieren.

Nur Kunden, die eine BAA mit Google unterzeichnet haben, können Google-Dienste, einschließlich Gmail, in Verbindung mit PHI verwenden.

Stellen Sie sicher, dass Ihre E-Mails korrekt konfiguriert sind.

Gmail muss ordnungsgemäß konfiguriert werden, um sicherzustellen, dass ePHI geschützt ist. Hier sind einige Schritte, die Sie befolgen sollten:

  • Aktivieren Sie die E-Mail-Verschlüsselungseinstellungen, um PHI während des Transports und in Ruhe zu schützen.
  • Erlauben Sie externes Teilen nur mit vertrauenswürdigen Domains.
  • Konfigurieren Sie Benachrichtigungen, um Warnungen zu erhalten, wenn Google diese Aktivitäten erkennt: verdächtige Anmeldeversuche, Benutzer von einem Administrator suspendiert, neuer Benutzer hinzugefügt, suspendierter Benutzer wieder aktiv gemacht, Benutzer gelöscht, Benutzerpasswort von einem Administrator geändert, Benutzer erteilt Admin-Privileg und Admin-Privileg des Benutzers widerrufen.
  • Überschreiben Sie die standardmäßige Linkfreigabe-Einstellung von „Jeder mit dem Link“ auf „Privat“.
  • Implementieren Sie eine Passwort-Richtlinie, um Anforderungen an Länge und Komplexität durchzusetzen und Benutzer zu ermutigen, robuste, einzigartige Passwörter für ihre Gmail-Konten festzulegen.
  • Stellen Sie sicher, dass die Zwei-Faktor-Authentifizierung eingeführt und ein Durchsetzungsdatum festgelegt ist, falls Benutzer nicht registriert sind.

Befolgen Sie die Anweisungen von Google.

Zusätzlich zur Konfiguration von Gmail, um sicherzustellen, dass PHI ordnungsgemäß geschützt ist, sollten Benutzer die integrierten Steuerungen verwenden, um sicherzustellen, dass E-Mails und Dateien, die möglicherweise PHI enthalten, nur mit den beabsichtigten Empfängern geteilt werden. Zum Beispiel kann der Absender die Datei innerhalb der Google Workspace-Domäne mit „Jeder mit dem Link“ teilen, wenn die Datei nicht bereits mit allen E-Mail-Empfängern geteilt ist.

Für Administratoren empfiehlt Google:

  • Überschreiben der standardmäßigen Linkfreigabe-Einstellung von „Jeder mit dem Link“ auf „Privat“.
  • Erstellen von Datenverlust-Präventionsrichtlinien, die E-Mails auf Beweise bestimmter PII/PHI-Identifikatoren überprüfen und erklären, wie diese Daten geteilt werden sollen.

Verwenden Sie Ende-zu-Ende-Verschlüsselung.

Gmail ist in der Lage, E-Mails zu verschlüsseln, die es sendet und empfängt, jedoch nur, wenn der andere E-Mail-Anbieter TLS-Verschlüsselung unterstützt. Ein Ende-zu-Ende-E-Mail-Verschlüsselungsdienst kann zusätzliche Sicherheit für Ihre E-Mails bieten, die PHI enthalten, wenn sie in Übertragung sind und sobald sie den Ziel-Mail-Server erreicht haben.

Die Ende-zu-Ende-E-Mail-Verschlüsselung funktioniert, indem der Inhalt einer E-Mail auf der Senderseite verschlüsselt und auf der Empfängerseite mithilfe eines Paares kryptografischer Schlüssel entschlüsselt wird. Auf diese Weise können nur der Absender und der beabsichtigte Empfänger den Inhalt der E-Mail lesen, selbst wenn die E-Mail versehentlich an die falsche Adresse gesendet wird.

Die folgenden Lösungen bieten Ende-zu-Ende-Verschlüsselung sowie andere Sicherheitsfunktionen wie Zugriffs- und Auditkontrollen und sichere Freigabe von Dateien, die Gmail HIPAA-konform machen können:

  • Aspida
  • Barracuda
  • Egress
  • EnGuard
  • HIPAA Vault
  • Hushmail
  • Identillect
  • LuxSci
  • MailHippo
  • Mimecast
  • NeoCertified
  • Paubox
  • Protected Trust
  • RMail
  • SecureMail
  • Virtru

Erstellen Sie Richtlinien und schulen Sie Mitarbeiter zur richtigen E-Mail-Nutzung.

Um sicherzustellen, dass Mitarbeiter verstehen, wie man PHI sicher innerhalb von Gmail und anderen Google Workspace-Diensten, in denen PHI erlaubt ist, handhabt, müssen Sie Richtlinien zur ordnungsgemäßen E-Mail-Nutzung, Datenverarbeitung und zu Meldeverfahren bei verdächtigen Sicherheitsvorfällen erstellen. Sie müssen auch regelmäßige Schulungen durchführen, um sicherzustellen, dass Mitarbeiter diese Richtlinien sowie die Bedeutung des Schutzes von PHI verstehen und potenzielle Risiken erkennen können.

Stellen Sie sicher, dass alle E-Mails aufbewahrt werden.

HIPAA verlangt von den betroffenen Einrichtungen und Geschäftspartnern, bestimmte elektronische Kommunikationen für mindestens sechs Jahre zu archivieren und aufzubewahren. Dazu gehören E-Mails, die HIPAA-Richtlinien und -Verfahren und andere Dokumente enthalten, die sich auf die tatsächlichen Bemühungen zur Einhaltung von HIPAA beziehen.

Es gibt auch bundesstaatliche Anforderungen zur Aufbewahrung elektronischer Kommunikationen, die PHI für einen bestimmten Zeitraum enthalten.

Beim Speichern von E-Mails müssen Organisationen die von HIPAA festgelegten Verschlüsselungs- und Backup-Anforderungen einhalten. Sie müssen auch ePHI ordnungsgemäß speichern und entsorgen. Für viele Organisationen kann die Nutzung eines E-Mail-Archivierungsdienstes den Prozess vereinfachen.

Holen Sie die Zustimmung der Patienten ein, bevor Sie per E-Mail kommunizieren.

Wenn Sie ePHI an einen Patienten oder ein Planmitglied kommunizieren oder dies beabsichtigen, müssen Sie:

  • den Empfänger vor den Risiken der Kommunikation von ePHI per E-Mail warnen
  • seine Zustimmung einholen, E-Mail-Kommunikation zu empfangen
  • sowohl die Warnung als auch die Zustimmung des Empfängers dokumentieren

Konsultieren Sie einen Anwalt, um sicherzustellen, dass Sie vollständig konform sind.

Die obigen Schritte sind nur als Anleitung gedacht und stellen keinen Ersatz für rechtliche Beratung dar. Konsultieren Sie immer einen Anwalt, um sicherzustellen, dass Ihre Organisation die Anforderungen bei der Nutzung von Gmail im Zusammenhang mit PHI versteht und vollständig HIPAA-konform ist.

Empfohlene Lektüre

Die ultimative HIPAA-Compliance-Checkliste für 2023

Vereinfachen Sie die HIPAA-Compliance mit Secureframe

Secureframe macht es schneller und einfacher, die HIPAA-Compliance zu erreichen und aufrechtzuerhalten, indem es den Prozess auf einige wenige wichtige Schritte vereinfacht:

  • Erstellen Sie HIPAA-Datenschutz- und Sicherheitsrichtlinien
  • Schulen Sie die Mitarbeiter zu HIPAA-Anforderungen und Best Practices
  • Verwalten Sie Anbieter mit Zugriff auf PHI
  • Stellen Sie sicher, dass Geschäftspartner PHI schützen
  • Überwachen Sie Ihre HIPAA-Schutzmaßnahmen

Um mehr darüber zu erfahren, wie Sie die HIPAA-Compliance automatisieren können, fordern Sie eine personalisierte Demo an.

Mit Vertrauen Wachstum beschleunigen

Demo anfordernangle-right
cta-bg

FAQs

Für welche Dienste erlaubt Google die Speicherung von ePHI?

Google erlaubt die Speicherung von ePHI in Gmail, Google Drive (Dokumente, Tabellen, Präsentationen und Formulare), Google Kalender, Hangouts (nur Chat-Funktion), Hangouts Meet, Keep, Sites und Google Vault.

Bietet Gmail HIPAA-konforme E-Mails an?

Gmail kann als Teil einer HIPAA-konformen Organisation verwendet werden. Allerdings bietet nur die kostenpflichtige Version (Google Workspace Gmail, nicht @gmail.com-E-Mail-Adressen) die Funktionen, die Sie für HIPAA-konforme E-Mails benötigen.

Ist es sicher, medizinische Unterlagen per Gmail zu versenden?

HIPAA verbietet das Versenden von medizinischen Unterlagen per E-Mail nicht und dies kann sicher erfolgen, wenn die HIPAA-Richtlinien befolgt werden. Wenn die HIPAA-Richtlinien nicht befolgt werden, könnten diese Informationen von unbefugten Personen erlangt werden und zu einem HIPAA-Verstoß führen. Zum Beispiel könnte der Absender einen Fehler in der E-Mail-Adresse machen und die falsche Person könnte die medizinischen Unterlagen erhalten.

Wie mache ich meine E-Mails HIPAA-konform?

Die folgenden Schritte können helfen, Ihre E-Mails HIPAA-konform zu machen:

  • Verwenden Sie End-to-End-Verschlüsselung.
  • Schließen Sie eine Vereinbarung mit Ihrem E-Mail-Anbieter ab.
  • Stellen Sie sicher, dass Ihre E-Mails korrekt konfiguriert sind.
  • Erstellen Sie Richtlinien und schulen Sie Mitarbeiter im richtigen E-Mail-Gebrauch.
  • Stellen Sie sicher, dass alle E-Mails aufbewahrt werden.
  • Holen Sie das Einverständnis der Patienten ein, bevor Sie per E-Mail kommunizieren.
  • Konsultieren Sie einen Anwalt, um sicherzustellen, dass Sie vollständig konform sind.

Welche Google-Dienste sind HIPAA-konform?

Die folgenden Dienste sind durch das Google BAA abgedeckt und erfüllen die HIPAA-Anforderungen: 126 Google Cloud Produkte, Google Workspace, Communications, Chronicle und Looker (Original)-Dienste. Letztendlich sind die Kunden dafür verantwortlich, ihre eigene HIPAA-Konformität zu bewerten, auch wenn sie Google-Dienste nutzen.