Inhaltsverzeichnis

Was sind geschützte Gesundheitsinformationen (PHI)?

Inhaltsverzeichnis

Geschützte Gesundheitsinformationen (PHI) sind alle Informationen, die gesichert werden müssen, um die Privatsphäre eines Patienten zu schützen. Die Anforderungen verlangen, dass die betroffenen Einrichtungen - Personen oder Organisationen, die Gesundheitsleistungen erbringen - Informationen über die vergangene, gegenwärtige oder zukünftige körperliche oder geistige Gesundheit eines Patienten schützen. Der Gesundheitsplan eines Patienten muss einen zuverlässigen, konsistenten Schutz der PHI dieses Patienten gewährleisten.

Gemäß der Definition des Health Insurance Portability and Accounting Act (HIPAA) und seiner Privacy Rule sind PHI "individuell identifizierbare Informationen, die über elektronische Medien übertragen, in elektronischen Medien aufbewahrt oder in irgendeiner anderen Form von Medien übermittelt werden".

Die Formen von Informationen, die unter die Provisionierung von PHI fallen, haben sich in den letzten 20 Jahren stetig erweitert. Das Ausmaß und der Umfang von PHI werden weiter zunehmen, da die Technologie zur Erfassung, Speicherung und Weitergabe von PHI fortschreitet und sich das gesetzliche Compliance-Umfeld für die Vertraulichkeit von Patienten weiterentwickelt.

 

Warum sind geschützte Gesundheitsinformationen (PHI) wichtig?

Geschützte Gesundheitsinformationen sind wichtig, da Gesundheitsdienstleister die Vertraulichkeit der Gesundheitsdaten eines Patienten schützen müssen. Da ein Großteil der PHI sehr persönlich ist, unternehmen die Anbieter große Anstrengungen, um sicherzustellen, dass die Informationen jederzeit sicher sind.

Es besteht ein tiefes, implizites Vertrauen zwischen Ärzten, Gesundheitsorganisationen (HMOs) und ihren Patienten, die zu Recht davon ausgehen können, dass die Organisationen des Gesundheitswesens ihre PHI ordnungsgemäß schützen werden.

Dieser Schutz muss während des gesamten Aufenthalts des Patienten und an jedem Ort, an dem er behandelt wird, gewährleistet sein, z. B. in einer Arztpraxis, einem Krankenhaus, einer entfernten Klinik oder bei einem telemedizinischen Besuch.

HIPAA und PHI

Es gibt zahlreiche gesetzliche Compliance-Richtlinien, die im Falle eines Verstoßes gegen den Schutz personenbezogener Daten Sanktionen vorsehen. Der größte gesetzliche Rahmen für PHI ist der HIPAA. Laut dem U.S. Department of Health and Human Services (HHS) bietet die HIPAA Privacy Rule "einen bundesweiten Schutz für personenbezogene Gesundheitsdaten, die sich im Besitz der betroffenen Einrichtungen befinden, und gibt den Patienten eine Reihe von Rechten in Bezug auf diese Daten".

Die Privacy Rule sorgt auch für ein Gleichgewicht von Rechten und Privilegien, um sicherzustellen, dass PHI in angemessener Weise weitergegeben werden, um die Patientenversorgung und die damit verbundenen Anforderungen zu gewährleisten.

 

Beispiele für geschützte Gesundheitsinformationen

1. Persönlich identifizierbare Informationen (PII)

Persönlich identifizierbare Informationen (PII) umfassen alle Daten, die einen Patienten mit persönlichen Identifikatoren in Verbindung bringen, wie z.B. demografische Daten, Führerschein- und Krankenversicherungsdaten.

2. Persönliche Gesundheitsinformationen (PHI)

PHI ist eine Untergruppe von PII, die sich auf Informationen bezieht, die speziell mit HIPAA-Einrichtungen ausgetauscht werden. Dies kann die Korrespondenz zwischen einem Patienten und seinem Anbieter, Rechnungsunterlagen, digitale Scans von Diagnosegeräten und Testergebnisse umfassen.

Beispiele für PHI-Identifikatoren

Das HHS listet 18 spezifische PHI-Identifikatoren auf:

  1. Namen der Patienten
  2. Geografische Elemente (Adressen, Gemeinden, Postleitzahlen)
  3. Daten, die sich auf die Gesundheit oder die Identität von Personen beziehen (Geburtsdaten, Datum der Aufnahme, Datum der Entlassung, Datum des Todes)
  4. Telefonnummern
  5. Faxnummern
  6. E-Mail-Adressen
  7. Sozialversicherungsnummern
  8. Krankenaktennummern
  9. Nummern der Begünstigten der Krankenversicherung
  10. Kontonummern
  11. Zertifikat/Lizenznummern
  12. Fahrzeug-Identifikatoren
  13. Geräteattribute oder Seriennummern
  14. Digitale Identifikatoren, wie z.B. Website-URLs
  15. IP-Adressen
  16. Biometrische Elemente, einschließlich Finger-, Netzhaut- und Stimmabdrücke
  17. Fotografische Ganzkörperbilder
  18. Andere Identifikationsnummern oder Codes

 

Was ist ePHI?

Elektronische PHI (ePHI) sind einfach PHI in elektronischen/digitalen Formaten. Dabei kann es sich um eine PDF-Datei eines medizinischen Berichts oder eine Online-Datenbank mit der Krankengeschichte eines Patienten handeln. ePHI wird in der HIPAA Security Ruleausdrücklich genannt. In der Vorschrift gibt es einen Unterabschnitt, der sich mit elektronischen Gesundheitsdaten befasst.

Heutzutage werden mehr Patientendaten in elektronischen Formaten erstellt, gespeichert und weitergegeben als je zuvor. Gesundheitsdienstleister müssen genau darauf achten, dass diese digitalen Aufzeichnungen von Anfang bis Ende im Ökosystem des Gesundheitswesens gesichert sind.

Die HIPAA-Sicherheitsregel enthält Anforderungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit (bekannt als CIA-Dreiklang) aller ePHI. Dazu gehören die Identifizierung und der Schutz vor zu erwartenden Bedrohungen für die Sicherheit digitaler Gesundheitsdaten. Außerdem können die betroffenen Unternehmen Systeme, Verfahren und Richtlinien einführen, die die Compliance mit den HIPAA-Richtlinien gemäß der Security Rule gewährleisten.

 

Schutz von geschützten Gesundheitsinformationen

Die HIPAA Security Rule schreibt bestimmte Schritte vor, die die betroffenen Unternehmen unternehmen müssen, um ihre Compliance nachzuweisen und so das Vertrauen zwischen Patienten und Anbietern zu gewährleisten, wenn es um den Schutz von PHI und ePHI geht. Diese Schritte lassen sich in drei Kategorien einteilen:

  • Administrative Sicherheitsvorkehrungen
  • Physische Sicherheitsvorkehrungen
  • Technische Sicherheitsvorkehrungen

1. Administrative Sicherheitsvorkehrungen

Administrative Sicherheitsvorkehrungen dienen dazu, potenzielle Risiken für PHI zu erkennen und zu bestimmen und Maßnahmen zu ergreifen, die Sicherheitsrisiken und Schwachstellen verringern. Sie schreiben außerdem vor, dass ein Sicherheitsbeauftragter die Sicherheitsvorschriften und -verfahren der betroffenen Einrichtung entwickeln und implementieren muss.

Anbieter sind außerdem verpflichtet, regelmäßig zu prüfen, wie gut ihre Sicherheitsrichtlinien den Anforderungen der HIPAA Security Rule entsprechen.

2. Physikalische Sicherheitsvorkehrungen

Die physischen Sicherheitsvorkehrungen umfassen Themen wie die Beschränkung des unbefugten physischen Zugangs zu den Einrichtungen bei gleichzeitiger Ermöglichung des autorisierten Zugangs. Die betroffenen Unternehmen müssen außerdem Richtlinien und Verfahren für den ordnungsgemäßen Umgang mit elektronisch gespeicherten Daten und elektronischen Medien bereitstellen, die PII und PHI enthalten.

3. Technische Sicherheitsvorkehrungen

Technische Sicherheitsvorkehrungen sollen sicherstellen, dass nur ordnungsgemäß autorisierte Personen auf digitale Aufzeichnungen und andere elektronische Informationen zugreifen können. Dies umfasst nicht nur die Hardware, Software und Dienste, die für die Erfassung, Speicherung und Verwaltung von Gesundheitsdaten und medizinischen Unterlagen erforderlich sind, sondern auch die Sicherheitsnachweise und Authentifizierungsverfahren, die den Zugriff regeln.

Dazu gehören auch Verschlüsselung und andere Technologien, die den unrechtmäßigen Zugriff auf PHI und ePHI über ein digitales Netzwerk verhindern sollen.

 

Was ist eine PHI-Verletzung?

In den letzten Jahren hat die Gesundheitsbranche einen Anstieg der Cyberangriffe auf die persönlichen Daten von Patienten erlebt. Böswillige Akteure nutzen Taktiken wie Ransomware und Erpressung, um exorbitante Zahlungen von Anbietern zu erhalten - einige verkaufen sogar Patientendaten an den Höchstbietenden.

Laut dem Incident Response Report 2022von Unit 42 zahlen Organisationen im Gesundheitswesen durchschnittlich 1,41 Millionen Dollar pro Lösegeld. Und eine Datenschutzverletzung kann bis zu 10,10 Millionen Dollar kosten, so der IBM-Bericht Cost of a data breach 2022 .

Was gilt als Verletzung des PHI?

Das HHS definiert einen Verstoß gegen die Datenschutzbestimmungen als "eine unzulässige Nutzung oder Weitergabe im Rahmen der Datenschutzbestimmungen, die die Sicherheit oder den Datenschutz der geschützten Gesundheitsdaten gefährdet". In der Praxis kann dies eine Vielzahl von Aktionen umfassen, die zur Preisgabe von PHI führen.

So setzen Hacker, die Medicare-Betrug oder andere Versicherungsbetrügereien begehen, oft eine Vielzahl von Techniken ein, um an PHI zu gelangen. Ransomware, Identitätsdiebstahl, Social Engineering, Diebstahl von Anmeldedaten, Phishing und Malware werden allesamt eingesetzt, um unverschlüsselte oder unzureichend geschützte persönliche Geräte zu kompromittieren.

Gemäß HIPAA gibt es vier Schlüsselelemente für einen Verstoß gegen PHI:

  1. Art und Umfang der betroffenen PHI, einschließlich der Arten von Identifikatoren und der Wahrscheinlichkeit einer erneuten Identifizierung.
  2. Die unbefugte Person, die die geschützten Gesundheitsinformationen verwendet hat oder an die die Offenlegung erfolgt ist.
  3. Ob die geschützten Gesundheitsinformationen tatsächlich erworben oder eingesehen wurden.
  4. Das Ausmaß, in dem das Risiko für die geschützten Gesundheitsdaten gemindert wurde.

In den meisten Fällen werden Verstöße gegen den HIPAA nicht als böswillige, sondern als unbeabsichtigte Handlungen gewertet. Den betroffenen Unternehmen wird dringend empfohlen, sich bei ihren Anwälten und Compliance-Teams zu erkundigen, ob eine Offenlegung von PHI einen Verstoß gegen den HIPAA oder andere Datenschutzrichtlinien darstellt.

 

Die Landschaft entwickelt sich weiter: Aufkommende Technologien und PHI-Sicherheit

Die Gesundheitsbranche befindet sich in vielerlei Hinsicht in einem dramatischen Wandel. Dazu gehört auch die Frage, wie, wann, wo und warum die Provisionierung von Gesundheitsleistungen erfolgt. Trends wie die zunehmende Fernbetreuung, die steigende Zahl intelligenter medizinischer Geräte (Internet der medizinischen Dinge) und eine immer komplexere und vernetzte IT-Umgebung haben zu einer sich rasch verändernden Landschaft geführt.

Um die Sicherheit von PHI zu gewährleisten, benötigen Organisationen des Gesundheitswesens und ihre Partner/Geschäftspartner einen erfahrenen Partner im Bereich der Cybersicherheit, der unternehmensweit Cybersecurity-Operationen entwickelt, aufbaut, ihnen vertraut und sie überwacht.

Bei der Bewertung potenzieller Cybersecurity Partner sollten Chief Information Security Officers und ihre Kollegen mehrere Schlüsselkompetenzen verlangen:

  • Expertise in Zero Trust, das Verstöße verhindert, indem es implizites Vertrauen eliminiert.
  • Erfahrung mit einer ganzen Reihe von Cybersecurity-Tools, von Netzwerksicherheit bis zu SOC der nächsten Generation.
  • Kenntnisse der Cloud-Sicherheit Verfahren und Frameworks, insbesondere für hybride Cloud- und Multi-Cloud-Umgebungen.
  • Zugang zu den neuesten und umfassendsten Threat Intelligence Services.

Erfahren Sie, warum Palo Alto Networks der führende Anbieter von Cybersicherheitslösungen für Krankenhäuser und Gesundheitssysteme in aller Welt ist. Besuchen Sie www.paloaltonetworks.com/healthcare.

 

Geschützte Gesundheitsinformationen (PHI) FAQs

Cyberangriffe auf Organisationen des Gesundheitswesens treten in verschiedenen Formen auf: Phishing-Angriffe, Datenverlust, Social Engineering, physischer Diebstahl usw. In den falschen Händen können diese Angriffe die Pflegequalität eines Krankenhauses beeinträchtigen und Millionen an Lösegeld und Strafen kosten.

Verstöße gegen den Datenschutz können von verschiedenen Endpunkten aus erfolgen, einschließlich ungesicherter IoT-Geräte und Phishing-Angriffe per E-Mail. Und diese Bedrohungen entwickeln sich rasant weiter - insbesondere mit neuen Angriffen, die maschinelles Lernen und künstliche Intelligenz nutzen.

Eine robuste Cybersicherheitslösung schützt Patientendaten an allen Fronten: Netzwerksicherheit, Cloud-Sicherheit und Endpunktsicherheit. Organisationen sollten über eine Next-Generation Firewall verfügen, die vor unerwünschten Eindringlingen und Datenverlusten schützt und gleichzeitig in der Lage ist, im Falle eines Angriffs automatisch zu reagieren . Und für Organisationen mit wachsenden Cloud-Workloads sorgen Tools wie Identitätsmanagement und Zugriffskontrolle dafür, dass Mitarbeiter und ihre Geräte sicher sind, während sie sich mit ihrem internen Netzwerk verbinden.

IT- und SOC-Teams in Krankenhäusern und anderen Gesundheitssystemen sind oft überlastet durch die schiere Anzahl der Alarme, die sie manuell bearbeiten müssen. Sicherheitsautomatisierung arbeitet an der Seite von Analysten, um Bedrohungen automatisch zu verhindern, zu erkennen und darauf zu reagieren, ohne dass ein menschliches Eingreifen erforderlich ist. So haben Analysten mehr Zeit, sich auf andere Aufgaben zu konzentrieren.
Verwandter Inhalt
Was ist Cybersicherheit im Gesundheitswesen?
Die Bedrohungslandschaft verändert sich, und das Gesundheitswesen ist besonders anfällig. Hier finden Sie alles, was Sie über Cybersicherheit im Gesundheitswesen wissen müssen.
Cybersecurity im Gesundheitswesen: 3 Trends, die Sie im Jahr 2024 beobachten sollten
Von der Fernbetreuung bis zu vernetzten Geräten - diese Trends im Bereich der Cybersicherheit prägen die digitale Transformation im Gesundheitswesen.
3 Prioritäten für die Cybersicherheit im Gesundheitswesen im Jahr 2024
Die CISOs des Gesundheitswesens haben die Möglichkeit, ihre Cybersicherheit zu transformieren und die Cyber-Resilienz im Jahr 2024 zu ermöglichen. So geht's.
Sichere digitale Transformation im Gesundheitswesen
Die Gesundheitsbranche entwickelt sich weiter, und das gilt auch für Cyberangriffe. Schützen Sie Patientendaten und bleiben Sie den Bedrohungen voraus.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen