HIPAA: die Konformität, die Ihre US-Kunden verlangen

HIPAA (Health Insurance Portability and Accountability Act) ist das US-Bundesgesetz zum Schutz identifizierbarer Gesundheitsdaten (PHI). Es gilt für amerikanische Covered Entities — Gesundheitsdienstleister, Krankenversicherungen, Clearinghouses — und deren Business Associates: für jeden, der PHI in ihrem Auftrag erstellt, empfängt, speichert oder übermittelt, unabhängig vom Standort. Ein italienisches Unternehmen, das Gesundheitsdaten für US-Kunden verarbeitet, übernimmt die Pflichten vertraglich über das Business Associate Agreement und gibt sie an seine eigenen Subunternehmer weiter.

Es ist der Vertrag, den HIPAA zwischen Covered Entity und Business Associate vorschreibt — und in der Kette gegenüber Subunternehmern, die PHI verarbeiten. Er definiert die zulässigen Datennutzungen, die Sicherheitsmaßnahmen, die Pflicht zur Meldung von Verletzungen und Vorfällen, die Bedingungen für den Einsatz von Subunternehmern sowie die Rückgabe oder Löschung der Daten am Ende der Zusammenarbeit. Er muss unterzeichnet werden, bevor Gesundheitsdaten fließen.

Eine HIPAA-Zertifizierung existiert nicht — für niemanden: Das Department of Health and Human Services erkennt keine offizielle Zertifizierung an, und die am Markt angebotenen Bescheinigungen sind privat und ohne regulatorischen Wert. Was wir tun: Wir bringen die Methodik unseres nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifizierten Managementsystems auf das HIPAA-Terrain — Risk Analysis, technische Kontrollen, dokumentierte Nachweise. Wir sind keine Anwaltskanzlei: Das BAA verhandeln die Juristen der Parteien, wir bereiten die Infrastruktur und die Nachweise vor, die dieser Vertrag verlangt.

Das hängt vom Reifegrad ab. Für eine Organisation, die bereits mit einem ISO-27001-System arbeitet, steht ein Großteil der von der Security Rule geforderten Kontrollen: Die Arbeit besteht im Mapping (mit dem Leitfaden NIST SP 800-66 Rev. 2), dem Schließen spezifischer Lücken und der Vorbereitung der Nachweise — typischerweise Wochen, nicht Jahre. Bei einem Start von null ist der Weg länger und sollte als Aufbau eines Sicherheitssystems angelegt werden, nicht als einmalige Formalität.

Nein. HIPAA schreibt keine Datenlokalisierung vor: Die HHS-Leitlinien zum Cloud Computing erlauben die Speicherung außerhalb der USA, sofern ein BAA mit dem Cloud-Anbieter besteht und die Risiken in der Risk Analysis abgedeckt sind. Für ein italienisches Unternehmen ist das Hosting in europäischen Rechenzentren oft die sinnvollste Wahl, weil es auch die DSGVO-Konformität vereinfacht. Die Datenresidenz bleibt eine vertragliche Entscheidung mit dem Kunden. Mehr dazu in unserem Beitrag zu HIPAA für italienische Unternehmen.

Der am 6. Januar 2025 im Federal Register veröffentlichte Änderungsvorschlag (NPRM) ist die erste substanzielle Überarbeitung seit 2013: verpflichtende Multi-Faktor-Authentifizierung, Verschlüsselung der ePHI im Ruhezustand und bei der Übertragung, Wegfall der Unterscheidung zwischen „required“ und „addressable“, ein Technologie-Inventar mit Datenflusskarte und eine jährliche Konformitätsprüfung. Die finale Regel wird im Laufe des Jahres 2026 erwartet: Es lohnt sich, schon heute nach den vorgeschlagenen Anforderungen zu planen.