Einführung - Erstellen von Architekturen für HIPAA-Sicherheit und -Compliance in Amazon Web Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einführung

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) gilt für „gedeckte Unternehmen“ und „Geschäftspartner“. HIPAA wurde 2009 durch den Health Information Technology for Industry and Bol Health (HI) Act erweitert.

HIPAA und HI legen eine Reihe von Bundesstandards fest, um die Sicherheit und den Datenschutz von PHI zu schützen. HIPAA und HI legen Anforderungen im Zusammenhang mit der Verwendung und Offenlegung geschützter Gesundheitsdaten (PHI), angemessene Sicherheitsmaßnahmen zum Schutz von PHI, individuellen Rechten und administrativen Verantwortlichkeiten fest. Weitere Informationen zu HIPAA und HI finden Sie unter Home für den Datenschutz bei Gesundheitsinformationen.

abgedeckte Entitäten und ihre Geschäftspartner können die sicheren, skalierbaren und kostengünstigen IT-Komponenten von Amazon Web Services (AWS) verwenden, um Anwendungen im Einklang mit den HIPAA- und HI-Compliance-Anforderungen zu entwerfen. AWS bietet eine commercial-off-the-shelf Infrastrukturplattform mit branchenweit bekannten Zertifizierungen und Audits wie ISO 27001, FedRAMP und den Service Organization Control Reports (SOC1, SOC2 und SOC3). AWS-Services und -Rechenzentren verfügen über mehrere Ebenen betrieblicher und physischer Sicherheit, um die Integrität und Sicherheit von Kundendaten sicherzustellen. Ohne Mindestgebühren, ohne langfristige Verträge und pay-as-you-use mit Preisen ist AWS eine zuverlässige und effektive Lösung für das Wachstum von Anwendungen in der Gesundheitsbranche.

AWS ermöglicht es abgedeckten Entitäten und ihren Geschäftspartnern, die HIPAA unterliegen, PHI sicher zu verarbeiten, zu speichern und zu übertragen. Darüber hinaus bietet AWS seit Juli 2013 ein standardisiertes Business Associate Addendum (BAA) für diese Kunden. Kunden, die eine AWS BAA ausführen, können jeden AWS-Service in einem Konto verwenden, das als HIPAA-Konto festgelegt ist, aber sie können PHI nur mit den HIPAA-fähigen Services verarbeiten, speichern und übertragen, die in der AWS BAA definiert sind. Eine vollständige Liste dieser Services finden Sie auf der Seite Referenz für HIPAA-berechtigte Services.

AWS unterhält ein standardbasiertes Risikomanagementprogramm, um sicherzustellen, dass die HIPAA-fähigen Services speziell administrative, technische und physische HIPAA-Schutzmaßnahmen unterstützen. Die Verwendung dieser Services zum Speichern, Verarbeiten und Übertragen von PHI hilft unseren Kunden und AWS dabei, die HIPAA-Anforderungen zu erfüllen, die für das AWS Utility-basierte Betriebsmodell gelten.

Die BAA von AWS erfordert, dass Kunden PHI, die in HIPAA-fähigen Services gespeichert oder übertragen werden, gemäß den Anweisungen des Secretary of Health and Human Services (HHS) verschlüsseln: Anleitung zur Übermittlung ungesicherter geschützter Gesundheitsinformationen Unbrauchbar, Unlesbar oder Unentschlüsselbar für nicht autorisierte Personen („Guidance“. Bitte beziehen Sie sich auf diese Website, da sie aktualisiert werden kann und auf einer von HHS festgelegten (oder verwandten) Nachfolgerseite verfügbar gemacht werden kann.

AWS bietet eine umfassende Palette von Funktionen und Services, um die Schlüsselverwaltung und Verschlüsselung von PHI einfach zu verwalten und zu prüfen, einschließlich der AWS Key Management Service (AWS KMS). Kunden mit HIPAA-Compliance-Anforderungen haben eine große Flexibilität bei der Erfüllung der Verschlüsselungsanforderungen für PHI.

Bei der Entscheidung, wie die Verschlüsselung implementiert werden soll, können Kunden die Verschlüsselungsfunktionen auswerten und nutzen, die für die HIPAA-fähigen Services nativ sind. Oder Kunden können die Verschlüsselungsanforderungen auf andere Weise erfüllen, die den Anweisungen von HHS entspricht.