E-Mail-Sicherheit

    Reaktion auf Coronavirus beeinträchtigt Datenschutz und HIPAA-Konformität im Gesundheitswesen

    Der Datenschutz und die Sicherheit von Gesundheitsdaten sind im Zuge der Reaktion auf das Coronavirus in Bewegung geraten, da die Nutzung von Telemedizin stark zunimmt und die Regierungen die Vorschriften zum Schutz der Privatsphäre und des Datenschutzes im Gesundheitswesen lockern.

    by Samuel Greengard
    gettyhealthcare.jpg

    Wichtige Punkte

    • Die Coronavirus-Pandemie hat zu mindestens drei größeren Störungen in der Datenverwaltung und -sicherheit geführt, die sich direkt auf Datenschutz im Gesundheitswesen und HIPAA compliance auswirken.
    • Sicherheitsexperten müssen diese konvergierenden Störungen in einer sich fast täglich ändernden Bedrohungs- und Compliance-Landschaft bewältigen.
    • Die Verstärkung bewährter Praktiken im Datenschutz - insbesondere im Bereich des Datenschutzes und der Sicherheit im Gesundheitswesen - sollte die Grundlage für die Bewältigung dieser neuen Bedrohungen sein.

    Der Datenschutz im Gesundheitswesen und die Einhaltung des HIPAA in Zeiten des Coronavirus stellen Sicherheitsexperten vor drei konvergierende Störungen:

    • Erstens erweitern Regierungen auf der ganzen Welt die potenzielle Angriffsfläche exponentiell und öffnen damit die Büchse der Pandora, indem sie versuchen, die Ausbreitung des Virus mit dem zunehmenden Einsatz von Telegesundheitsanwendungen, mobilen Standortdaten, der Verfolgung sozialer Kontakte und Gesichtserkennung zu bekämpfen.[1]
    • Gleichzeitig lockern die Regierungen den Schutz des Datenschutzes und der Sicherheit von Gesundheitsdaten.
    • Und um die Krise auszunutzen, eskalieren Hacker ihre Phishing-Angriffe, um alle Daten zu erbeuten, die sie bekommen können- und konzentrieren sich dabei besonders auf die Millionen von Arbeitnehmern, die jetzt zu Hause arbeiten.

    Navigieren auf unbekanntem Terrain beim Datenschutz im Gesundheitswesen und bei der Einhaltung des HIPAA

    Dies hat zur Folge, dass Sicherheitsfachleute bei der Wahrung des Datenschutzes im Gesundheitswesen und der Einhaltung der HIPAA-Vorschriften Neuland betreten müssen. Ein Beispiel:

    • Das US-Gesundheitsministerium (HHS) hat die Regeln umgeschrieben, um den Menschen einen leichteren Zugang zu ihren medizinischen Informationen über Smartphone-Apps zu ermöglichen. Doch die American Medical Association warnt bereits vor den daraus resultierenden Risiken für die Privatsphäre der Patienten.[2]
    • Das HHS hat den medizinischen Leistungserbringern auch erlaubt, ihre Nutzung von Telemedizin-Anwendungen, einschließlich Video und Messaging, zu erweitern.[3]
    • Darüber hinaus wird die Durchsetzung der HIPAA-Compliance im Zusammenhang mit telemedizinischen Diensten nach eigenem Ermessen erfolgen, teilte das HHS mit. "Abgedeckte Gesundheitsdienstleister werden nicht für Verstöße gegen die HIPAA-Datenschutz-, Sicherheits- und Verstoßmeldungsregeln bestraft, die bei der gutgläubigen Bereitstellung von Telemedizin während des landesweiten öffentlichen Gesundheitsnotstands COVID-19 auftreten", so die Behörde.[4]
    • Unterschiedliche nationale Anwendungen von Vorschriften wie der europäischen Datenschutz-Grundverordnung (GDPR) sorgen Berichten zufolge auch für Verwirrung beim Umgang mit medizinischen und anderen personenbezogenen Daten während der Krise.[5]

    Verstärkung der HIPAA-Compliance als Grundlage für das Krisenmanagement

    Es ist unklar, ob und wie lange sich diese und andere Entwicklungen auf den Datenschutz und die Sicherheit im Gesundheitswesen auswirken werden, wenn die Krise abgeklungen ist. In der Zwischenzeit müssen Sicherheitsfachleute weiterhin die in den HIPAA-Vorschriften verankerten bewährten Praktiken anwenden, um für turbulente Zeiten gewappnet zu sein und um sich auf die Rückkehr zu einer "neuen Normalität" vorzubereiten.

    Leider waren bereits vor der Krise 90 % der Organisationen im Gesundheitswesen im vergangenen Jahr von einer E-Mail-Bedrohung betroffen, so die Ergebnisse eines aktuellen Berichts von HIMSS Media und Mimecast . 72 % der Organisationen mussten infolgedessen Ausfallzeiten hinnehmen.

    Im Folgenden sind einige der wichtigsten Sicherheitsrisiken aufgeführt, auf die der HIPAA eingeht, darunter unsachgemäße Verwendung und Offenlegung, unzureichende Sicherheitsvorkehrungen, unzureichende Zugangskontrollen, Verstöße gegen den Datenschutz und die Nichteinhaltung der "Minimum Needs Rule", die vorschreibt, wer auf PHI oder persönliche Gesundheitsinformationen zugreifen darf. [6] Dazu gehören auch Schritte zur Risikominderung.

    Unzureichend gesicherte Aufzeichnungen bedrohen den Datenschutz und die Sicherheit im Gesundheitswesen

    Die HIPPA-Datenschutzvorschriften verpflichten Mitarbeiter des Gesundheitswesens und andere Personen, die mit persönlichen Gesundheitsdaten umgehen, zur Geheimhaltung der Daten. Allerdings halten sich die Mitarbeiter nicht immer an die Richtlinien. Sie können geschützte Informationen an Freunde, Verwandte und die Presse weitergeben. Ein weiteres Problem ist die Offenlegung von PHI durch Dritte innerhalb von Organisationen. Zu den Abhilfestrategien und -instrumenten gehören:

    • Vergewissern Sie sich, dass die Büros mit Schlössern und angemessener physischer Sicherheit ausgestattet sind.
    • Verwenden Sie eine starke Verschlüsselung, um physische und elektronische Systeme verschlossen zu halten.
    • Verstärkte Sensibilisierungsmaßnahmen, z. B. zum Schutz persönlicher Gesundheitsdaten.
    • Stellen Sie sicher, dass der Malware-Schutz auf dem neuesten Stand ist, um vor Spyware und Ransomware zu schützen.
    • Verwenden Sie Software zur Vermeidung von Datenverlusten, um zu kontrollieren, welche Daten per E-Mail versendet werden.
    • Stellen Sie sicher, dass jedes verlorene oder gestohlene Gerät aus der Ferne gelöscht werden kann.
    • Überwachen Sie Beiträge in sozialen Medien.

    Unzureichende Risikoanalyse untergräbt den Datenschutz

    Allzu oft versäumen es Organisationen, eine umfassende unternehmensweite Analyse von Systemen und Daten durchzuführen - oder sie lassen diese Risikobewertungen ungelesen im sprichwörtlichen Regal stehen. Infolgedessen sind sie sich nicht darüber im Klaren, wo Schwachstellen bestehen und wie personenbezogene Gesundheitsdaten versehentlich oder absichtlich preisgegeben werden können. Infolgedessen können sie diese potenziellen Schwachstellen nicht beheben und lassen die Systeme offen für Hacker und Angreifer. Zu den Abhilfestrategien und -werkzeugen gehören:

    • Überprüfen Sie die Risikoanalyse der Organisation für Prozesse, Systeme und Arbeitsabläufe, um zu erfahren, wo sich personenbezogene Gesundheitsdaten befinden.
    • Stellen Sie sicher, dass der Malware-Schutz aktuell ist.
    • Verwalten Sie sowohl unternehmenseigene als auch private Geräte, die im Gesundheitswesen eingesetzt werden.
    • Verstärken Sie die Sensibilisierungsschulungen, damit die Mitarbeiter die Risiken und Verantwortlichkeiten sowie die besten Praktiken zum Schutz persönlicher Gesundheitsdaten verstehen.

    Unzureichende Zugangskontrollen gefährden elektronische persönliche Gesundheitsdaten

    Elektronische Aufzeichnungen bergen verschiedene Risiken für den Datenschutz im Gesundheitswesen und die Einhaltung des HIPAA. Eines davon ist die Frage, wer die Berechtigung hat, Daten einzusehen, zu verwalten und weiterzugeben. Ohne starke Authentifizierungssysteme und Kontrollen darüber, wer auf welche Daten zugreifen darf, steigen die Risiken für den Datenschutz und die Sicherheit im Gesundheitswesen drastisch. Zu den Strategien und Tools zur Risikominderung gehören:

    • Überarbeitung der Authentifizierungssysteme.
    • Überprüfen Sie die Sicherheit der Datenbank.
    • Schränken Sie die Verwendung von USB-Sticks und anderen externen Medien ein.
    • Stellen Sie sicher, dass die Rollen und Berechtigungen dem erforderlichen Zugriffsniveau der Mitarbeiter entsprechen.
    • Verstärkte Sensibilisierungsmaßnahmen, insbesondere im Hinblick auf die Verwaltung und den Schutz von Anmeldeinformationen und Passwörtern.

    Vorsicht bei unsachgemäßer Entsorgung von persönlichen Gesundheitsdaten

    Die Aufbewahrung und Entsorgung von Unterlagen stellt zahlreiche Herausforderungen in Bezug auf den Datenschutz im Gesundheitswesen und die Einhaltung des HIPAA dar - und sowohl physische als auch elektronische Daten stellen unterschiedliche Hindernisse dar. Viele Organisationen wissen nicht genau, was sie haben, wo es gespeichert ist und wann es vernichtet werden sollte. Zu den Abhilfestrategien und -werkzeugen gehören:

    • Papierunterlagen schreddern oder zerkleinern.
    • Entmagnetisieren, löschen oder zerstören Sie die Geräte, wenn sie außer Betrieb genommen werden.
    • Verstehen, wo sich Daten in Cloud-basierten Systemen und auf angeschlossenen Geräten des Internets der Dinge (IoT) befinden, insbesondere im Hinblick auf Schatten-IT.
    • Wissen, wo sich die Datensicherungen befinden.

    Es ist ratsam, auf weitere Datenschutz- und Sicherheitslücken im Gesundheitswesen zu achten, wie z. B. unbeaufsichtigte elektronische Geräte, das Herunterladen von persönlichen Gesundheitsdaten auf nicht autorisierte Geräte, unangemessene SMS und die Gewährung von unbefugtem Zugriff auf Krankenakten oder bestimmte Daten.

    Die Quintessenz

    Der Datenschutz hat sich zu einem beweglichen Ziel entwickelt, da die Reaktion auf die Coronavirus-Pandemie die Sammlung, Analyse und Verbreitung personenbezogener Gesundheitsdaten vorangetrieben hat - und zwar auf innovative Weise. Insbesondere die Bedenken hinsichtlich des Datenschutzes und der Sicherheit im Gesundheitswesen nehmen zu - zusammen mit der Unsicherheit bei der Einhaltung des HIPAA - dank neuer Anwendungen, gelockerter Compliance-Anforderungen und zunehmender Internetkriminalität. Sicherheitsexperten sollten die bestehenden Schutzmaßnahmen verstärken, um sich in dieser neuen Bedrohungslandschaft zurechtzufinden.

     

    [1] " Wie man (vorsichtig) Technik zur Eindämmung des Coronavirus einsetzt ," New York Times

    [2] " Neue Datenregeln könnten die Rechte der Patienten stärken, aber ihre Privatsphäre beeinträchtigen ," New York Times

    [3] " OCR veröffentlicht Leitlinien zur Fernkommunikation im Bereich der Gesundheitsfürsorge nach der Bekanntgabe der Durchsetzungsbefugnis ," U.S. Department of Health and Human Services

    [4] " FAQs zu Telemedizin und HIPAA während des landesweiten Gesundheitsnotfalls COVID-19 ," U.S. Department of Health and Human Services

    [5] " Verwirrung um die Datenschutz-Grundverordnung während des Coronavirus führt zu einer Reaktion des EDPB ," Compliance Week

    [6] " HIPAA FAQs für Fachleute ," U.S. Department of Health and Human Services

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang