HIPAA-Konformitaet
Uebersicht
HIPAA (der US-amerikanische Health Insurance Portability and Accountability Act) regelt den Umgang mit Protected Health Information (PHI) in den Vereinigten Staaten. vitalera stellt die nach der HIPAA Security Rule erforderlichen technischen, administrativen und physischen Schutzmassnahmen bereit und agiert als Business Associate fuer Kunden, die PHI verarbeiten.
HIPAA ist ein Gesetz, keine Zertifizierung. Keine Software kann "HIPAA-zertifiziert" sein. Die Konformitaet ist eine gemeinsame Verantwortung der Covered Entity (des Kunden) und des Business Associate (vitalera), geregelt durch ein unterzeichnetes Business Associate Agreement (BAA).
Rollen
| Rolle | Wer | Verantwortung |
|---|---|---|
| Covered Entity | Der Gesundheitsdienstleister, die Krankenkasse oder das Clearinghouse, das vitalera nutzt | Besitzt die Patientenbeziehung, holt die Einwilligung des Patienten ein, legt zulaessige Zwecke der PHI-Nutzung fest |
| Business Associate | FOLLOWHEALTH S.L. (Betreiber der vitalera-Plattform) | Verarbeitet PHI im Auftrag der Covered Entity gemaess BAA, implementiert Schutzmassnahmen, meldet Vorfaelle |
| Unterauftragnehmer | AWS und andere Infrastrukturanbieter | Abgedeckt durch nachgelagerte BAAs zwischen vitalera und jedem Unterauftragnehmer, soweit anwendbar |
Business Associate Agreement (BAA)
Ein unterzeichnetes BAA ist erforderlich, bevor ein Kunde PHI ueber vitalera verarbeitet. Wenden Sie sich an legal@vitalera.io, um unsere Standard-BAA-Vorlage anzufordern oder Bedingungen fuer Enterprise-Deployments auszuhandeln.
Das BAA von vitalera deckt ab:
- Zulaessige Nutzungen und Offenlegungen von PHI
- Von vitalera als Business Associate geforderte Schutzmassnahmen
- Pflichten und Fristen zur Meldung von Datenschutzverletzungen
- Weitergabeanforderungen an Unterauftragnehmer
- Kuendigungsbedingungen und Rueckgabe bzw. Vernichtung von PHI
Schutzmassnahmen der Security Rule
Die HIPAA Security Rule (45 CFR 164 Subpart C) verlangt administrative, physische und technische Schutzmassnahmen fuer elektronische PHI (ePHI). vitalera setzt diese direkt ueber die in unserem nach ISO 27001:2022 zertifizierten Informationssicherheits-Managementsystem definierten Kontrollen um.
Technische Schutzmassnahmen (45 CFR 164.312)
| Kontrolle | Umsetzung |
|---|---|
| Access Control | Eindeutige Benutzeridentifikation, rollenbasierte Zugriffskontrolle (RBAC), automatische Session-Timeouts |
| Audit Controls | Unveraenderliche Audit-Logs fuer jeden Zugriff auf PHI, aufbewahrt und auf Anomalien ueberwacht |
| Integrity | Kryptografisches Hashing, Integritaets-Constraints auf Datenbankebene, unveraenderliche Ereignisprotokolle |
| Person or Entity Authentication | Multi-Faktor-Authentifizierung (MFA) fuer Fachpersonal, JWT mit kurzlebigen Tokens, DPoP fuer das SDK |
| Transmission Security | TLS 1.2+ fuer die gesamte Netzwerkkommunikation, Ende-zu-Ende-Verschluesselung fuer sensible Nutzdaten |
Administrative Schutzmassnahmen (45 CFR 164.308)
| Kontrolle | Umsetzung |
|---|---|
| Security Management Process | Kontinuierliche Risikoanalyse nach ISO 27001:2022, jaehrliche interne Audits, dokumentierter Risikobehandlungsplan |
| Assigned Security Responsibility | Benannter Information Security Officer und Data Protection Officer |
| Workforce Security | Hintergrundpruefungen, rollenbasierte Zugriffsvergabe, formale Onboarding- und Offboarding-Prozesse |
| Information Access Management | Prinzip der minimalen Rechte, Zugriffspruefungen, Funktionstrennung zwischen Entwicklung und Produktion |
| Security Awareness and Training | Verpflichtende jaehrliche Sicherheits- und Datenschutzschulung fuer alle Mitarbeitenden mit PHI-Zugang |
| Security Incident Procedures | Dokumentierter Incident-Response-Plan, 24/7-Monitoring, strukturierte Eskalations- und Kommunikationswege |
| Contingency Plan | Taeglich automatisierte Backups, Point-in-Time-Recovery, multiregionale Disaster Recovery, dokumentierte Runbooks |
| Business Associate Contracts | Nachgelagerte BAAs mit allen Unterauftragnehmern, die PHI verarbeiten |
Physische Schutzmassnahmen (45 CFR 164.310)
vitalera laeuft auf AWS-Infrastruktur in der EU (eu-west-1, Irland) mit US-Region auf Anfrage. AWS-Rechenzentren setzen physische Schutzmassnahmen um, die nach SOC 2 Type II, ISO 27001, ISO 27017 und ISO 27018 zertifiziert sind:
- Zugangskontrollen zu Anlagen mit 24/7-Sicherheit, biometrischer Authentifizierung und Videoueberwachung
- Nutzungsrichtlinien fuer Arbeitsstationen, angewendet auf alle Geraete des vitalera-Personals
- Geraete- und Medienkontrollen, einschliesslich sicherer Entsorgung von Hardware und kryptografischem Loeschen von Speicher
PHI-Verschluesselung
| Zustand | Umsetzung |
|---|---|
| Im Ruhezustand | AES-256 ueber AWS KMS, angewendet auf verwaltete Datenbanken, Objektspeicher und Backups |
| In Uebertragung | TLS 1.2+ fuer den gesamten API-, SDK-, Webhook- und Administrationsverkehr |
| Schluesselverwaltung | Schluessel verwaltet in AWS KMS mit automatischer Rotation und hardwarebasiertem Schutz |
Meldung von Datenschutzverletzungen
vitalera haelt sich an die HIPAA Breach Notification Rule (45 CFR 164.400-414) und gegebenenfalls an die strengeren Anforderungen des HITECH Act:
- Kunden werden innerhalb von 60 Tagen nach Entdeckung einer Verletzung ungeschuetzter PHI benachrichtigt, oft deutlich frueher
- Die Meldungen umfassen Art der Verletzung, betroffene PHI-Arten, ergriffene Abhilfemassnahmen und empfohlene Schritte fuer die Covered Entity
- vitalera unterstuetzt die Covered Entity bei ihren eigenen Meldepflichten gegenueber betroffenen Personen, dem Office for Civil Rights (OCR) und gegebenenfalls den Medien
Datenresidenz fuer US-Kunden
HIPAA schreibt keine US-Datenresidenz vor. vitalera bietet jedoch eine Bereitstellung in der US-Region fuer Kunden an, deren interne Richtlinien eine inlaendische Datenspeicherung verlangen. Wenden Sie sich an support@vitalera.io, um die Regionsauswahl im Rahmen des Onboardings zu besprechen.
Kundenverantwortung
Als Covered Entity ist der Kunde verantwortlich fuer:
- Einholen der Patienten-Einwilligung, sofern erforderlich
- Konfiguration geeigneter Zugriffsrichtlinien in vitalera fuer das eigene Personal
- Erfuellung der eigenen Pflichten aus der HIPAA Privacy Rule, einschliesslich Notice of Privacy Practices und Bearbeitung von Patientenanfragen
- Schulung des eigenen Personals zu HIPAA und zu den Sicherheitsfunktionen von vitalera
- Unverzuegliche Meldung kundenseitiger Sicherheitsvorfaelle an vitalera
Verwandte Konformitaet
- ISO 27001 — Informationssicherheitskontrollen als Grundlage der HIPAA-Security-Rule-Schutzmassnahmen
- SOC 2 — Abgleich der Trust Service Criteria fuer Enterprise-Lieferantenpruefungen
- GDPR — Ergaenzende Pflichten fuer EU-Betroffene
- Datensicherheit — Uebersicht ueber die technische Sicherheitsarchitektur
Kontakt
Fuer BAA-Anfragen, HIPAA-Fragen oder Sicherheitsaudits wenden Sie sich an legal@vitalera.io oder support@vitalera.io.