Im Jahr 2021 betraf eine Rekordzahl von 713 großen Gesundheitsdatenschutzverletzungen mehr als 45,7 Millionen Einzelpersonen. Allein in der ersten Hälfte des Jahres 2022 wurden 347 große Gesundheitsdatenschutzverletzungen gemeldet, die mehr als 19,6 Millionen Einzelpersonen betrafen.

In den letzten Jahren hat die Anzahl der Gesundheitsdatenschutzverletzungen stetig zugenommen. Das Archiv des US-Gesundheitsministeriums (HHS) Office for Civil Rights (OCR) zeigt seit 2009 über 4.000 große Gesundheitsdatenschutzverletzungen, die fast 321 Millionen Einzelpersonen betrafen. Dies umfasste:

• 270 Verletzungen, die 2015 112,5 Millionen Einzelpersonen betrafen
• 329 Verletzungen, die 2016 16,7 Millionen Einzelpersonen betrafen
• 358 Verletzungen, die 2017 fast 5,3 Millionen Einzelpersonen betrafen
• 369 Verletzungen, die 2018 14,4 Millionen Einzelpersonen betrafen
• 512 Verletzungen, die 2019 42,3 Millionen Einzelpersonen betrafen
• 663 Verletzungen, die 2020 mehr als 34 Millionen Einzelpersonen betrafen

Dieser Aufwärtstrend spiegelt wider, was viele Gesundheitsorganisationen und Geschäftspartner bereits wissen: Die HIPAA-Konformität wird in der heutigen sich schnell verändernden Cybersecurity- und Bedrohungslandschaft immer herausfordernder. Lesen Sie weiter, um zu erfahren, warum.

6 Gründe, warum die HIPAA-Konformität immer herausfordernder wird

Das exponentielle Wachstum der Gesundheitsdaten, die sich ändernden HIPAA-Vorschriften und zunehmend ausgeklügelte Bedrohungen sind nur einige der Faktoren, die es Organisationen erschweren, HIPAA einzuhalten und geschützte Gesundheitsinformationen (PHI) zu sichern. Lassen Sie uns diese Faktoren im Folgenden genauer betrachten.

1. Exponentielles Wachstum der Gesundheitsdaten

Gesundheitsorganisationen und Geschäftspartner sammeln, speichern und teilen mehr Gesundheitsdaten als je zuvor.

Laut Forschungen von RBC Capital Markets werden etwa 30 % des weltweiten Datenvolumens von der Gesundheitsbranche generiert. Bis 2025 wird die jährliche Wachstumsrate der Daten im Gesundheitswesen voraussichtlich 36 % erreichen – eine höhere Rate als in der Fertigungsbranche, den Finanzdienstleistungen sowie den Medien und der Unterhaltung.

Das schnelle Wachstum der Gesundheitsdaten erschwert es HIPAA-gedeckten Einrichtungen und Geschäftspartnern zunehmend, die erforderlichen physischen, elektronischen, administrativen und technischen Schutzmaßnahmen zum Schutz dieser Daten zu implementieren.

2. Neue Technologie

Die Gesundheitsbranche wurde in den letzten drei Jahrzehnten weitgehend digitalisiert. Die meisten Krankenhäuser und Arztpraxen sind von papierbasierten auf elektronische Gesundheitssysteme (EHR) umgestiegen. Viele Patienten nutzen Apps auf Smartphones, Tablets und Computern, um auf ihre Gesundheitsinformationen zuzugreifen. Immer mehr Gesundheitsorganisationen nutzen die Cloud, um Daten zu speichern und zu teilen.

Ein Großteil dieser Technologie existierte noch nicht, als HIPAA verabschiedet wurde, was es den Organisationen erschwert zu verstehen, wie sie Daten mit diesen Technologien sammeln, speichern und teilen können, während sie gleichzeitig HIPAA-konform bleiben.

Einige regulierte Einheiten teilen beispielsweise regelmäßig elektronische geschützte Gesundheitsinformationen (ePHI) mit Anbietern von Online-Tracking-Technologie. Da einige dies in einer Weise taten, die gegen die HIPAA-Regeln verstieß, musste das HHS OCR im Dezember ein Bulletin herausgeben, um zu erläutern, wie regulierte Einheiten Online-Tracking-Technologie gemäß HIPAA nutzen können (und nicht nutzen können).

3. Immer ausgeklügeltere Risiken

Neue Technologien im Gesundheitswesen haben neue – und immer ausgeklügeltere – Risiken eingeführt.

ePHI existieren in mehr Bereichen einer Gesundheitsorganisation als je zuvor: Software, verbundene Geräte, Altsysteme und anderswo im Netzwerk. Das bedeutet, dass es mehr Infiltrationspunkte für Cyberangriffe wie Ransomware, Malware und Phishing-Mails gibt.

Besonders stark zugenommen haben Ransomware-Angriffe auf Krankenhäuser und Gesundheitsorganisationen. Laut einer Umfrage des Health Information Sharing and Analysis Center von 2022 unter 132 Gesundheitsmanagern ist Ransomware die Nummer eins der Bedrohungen der Cybersicherheit, noch vor Datenverletzungen oder Bedrohungen von innen.

Im April 2022 gab das HHS Cybersecurity Program einen Alarm an Gesundheitsdienstleister heraus, in dem gewarnt wurde, sich gegen eine „außergewöhnlich aggressive“ Ransomware-Gruppe zu schützen, die eine Vielzahl von Taktiken, Techniken und Verfahren einsetzt, um Daten zu verschlüsseln und zu stehlen.

Die Implementierung von Sicherheitsmaßnahmen, die von HIPAA gefordert werden, ist zu einem Muss geworden, um diese zunehmend ausgeklügelten Cyberangriffe zu verhindern. Organisationen, die betroffen waren, wie das University of Vermont Medical Center, mussten ihren fortgeschrittenen Firewall-Schutz und ihre Antivirensoftware stärken und den Zugriff auf persönliche E-Mails auf Arbeitscomputern blockieren, neben anderen Maßnahmen.

4. Größere Patientennachfrage nach Datenschutz und Rechenschaftspflicht

In einer Umfrage der American Medical Association von 2022 äußerten fast 75% der Patienten Bedenken hinsichtlich des Schutzes der Privatsphäre persönlicher Gesundheitsdaten und 90% der Patienten sagten, dass sie Unternehmen zur Rechenschaft ziehen möchten, wenn es um die Nutzung von Gesundheitsdaten geht.

Da die Bedenken der Patienten hinsichtlich der Privatsphäre ihrer Gesundheitsdaten weiter wachsen, erwarten sie, dass Regierungen und Vollzugsbehörden in Erwägung ziehen, neue Regelungen zu erweitern oder zu verabschieden, um die heutigen Datenschutzrisiken anzugehen.

In einer Umfrage von The Pew Charitable Trusts gaben die meisten Befragten an, Smartphone-, Tablet- und Computer-Apps nutzen zu wollen, um auf ihre Gesundheitsinformationen zuzugreifen. Aber bei denen, die ernsthafte Datenschutzbedenken äußerten, verdoppelte sich die Zahl beinahe – von 35% auf 62% – als ihnen mitgeteilt wurde, dass Bundesdatenschutzgesetze nicht für auf Apps gespeicherte Daten gelten. Viele sagten, dass die Ausweitung dieser Gesetze dazu beitragen könnte, ihre Bedenken zu lindern.

Dies könnte dazu führen, dass HIPAA-gedeckte Einheiten mehr Anforderungen erfüllen müssen, wie z.B. Privatsphäre- und Sicherheitsüberprüfungen von Gesundheits-Apps, die auf PHI zugreifen.

5. Ändernde HIPAA-Vorschriften

Seit HIPAA 1996 in Kraft getreten ist, gab es mehrere bedeutende Updates, einschließlich der Einführung der Datenschutz-, Sicherheits-, Omnibus-, Verletzungsbenachrichtigungs- und Durchsetzungsregeln.

Viele dieser Änderungen erforderten es von Gesundheitseinrichtungen, neue Maßnahmen zu implementieren, um konform zu werden und zu bleiben, wie z.B. Schulung der Mitarbeiter über HIPAA-Anforderungen und Best Practices, Vergabe eindeutiger Identifikatoren an Benutzer und Verwendung von Datenverschlüsselung auf tragbaren Geräten und Computernetzwerken.

Erst kürzlich wurden mehrere Aktualisierungen der HIPAA-Datenschutzregel vorgeschlagen, um die Koordination der Pflege für Patienten zu verbessern, die behandelt werden, und gleichzeitig kritische Datenschutz- und Vertraulichkeitsschutzmaßnahmen zu stärken.

Da sich die HIPAA-Vorschriften weiterentwickeln, um den Anforderungen der Gesundheitsverbraucher gerecht zu werden, stehen Organisationen vor der Herausforderung, über die neuesten Vorschriften auf dem Laufenden zu bleiben, um rechtliche, regulatorische und finanzielle Risiken zu mindern.

6. Neue Datenschutzgesetze

In den letzten Jahren wurden weltweit, darunter in den Vereinigten Staaten, Japan, Südkorea, Brasilien und China, Dutzende neuer Datenschutzgesetze verabschiedet. Am bemerkenswertesten sind die EU-Datenschutz-Grundverordnung und das California Consumer Privacy Act.

Diese Datenschutzgesetze haben einige sich überschneidende Anforderungen für persönliche Gesundheitsdaten. Beispielsweise erlaubt die DSGVO die Verarbeitung persönlicher Gesundheitsdaten (die unter ihre Definition von sensiblen persönlichen Daten fallen) ohne Zustimmung der betroffenen Person aus Gründen im Zusammenhang mit Rechtsansprüchen oder der öffentlichen Gesundheit, neben anderen in Artikel 9 festgelegten Bedingungen. HIPAA hingegen erlaubt die Offenlegung bestimmter PHI ohne Zustimmung der betroffenen Person zu Behandlungszwecken. Betroffene Unternehmen und Geschäftspartner, die HIPAA- und DSGVO-konform sein müssen, stehen vor der Herausforderung, diese unterschiedlichen Anforderungen im Auge zu behalten.

Die gute Nachricht ist, dass, wenn Ihre Organisation HIPAA- und andere Datenschutzgesetze einhalten muss, einige Sicherheitsvorkehrungen verwendet werden können, um Daten zu schützen, die unter den Geltungsbereich mehrerer Gesetze fallen.

Die Gewährleistung, dass Sie alle erforderlichen Sicherheitsvorkehrungen für jedes anwendbare Datenschutzgesetz haben, ist jedoch eine größere Herausforderung als die Einhaltung eines Gesetzes – besonders wenn Sie keine einzige Quelle der Wahrheit und kein System der Aufzeichnungen für Sicherheit, Datenschutz und Compliance haben.

Wie Secureframe Ihnen helfen kann, jetzt und in Zukunft HIPAA-konform zu werden und zu bleiben

Secureframe macht es schneller und einfacher, HIPAA-Konformität zu erreichen und aufrechtzuerhalten, indem es den Prozess in ein paar wesentliche Schritte vereinfacht:

• Erstellen Sie Datenschutz- und Sicherheitsrichtlinien nach HIPAA
• Schulen Sie Mitarbeiter zu HIPAA-Anforderungen und bewährten Praktiken
• Verwalten Sie Anbieter mit Zugang zu PHI
• Stellen Sie sicher, dass Geschäftspartner PHI schützen
• Überwachen Sie Ihre HIPAA-Schutzmaßnahmen

Erfahren Sie mehr darüber, wie Sie heute Ihre HIPAA-Konformität automatisieren können.