Jedes Unternehmen möchte natürlich die Daten von Mitarbeitern und Kunden schützen, doch oftmals stehen sie für die Datenschutzkonformität ihrer internen Prozesse vor scheinbar unüberwindbaren Hürden, vielen Grauzonen und vermeintlich aufwendigen Arbeitsschritten. Auch ist nicht jeder Firma klar, was Datenschutz in ihrem Fall bedeutet, wo eventuell bereits Datenschutzlücken vorhanden sind und wie sie diese schließen können. Dies tritt vor allem dann auf, wenn moderne Tools wie Jira und Confluence zum Einsatz kommen, die in Konzernen von tausenden Usern genutzt und mit Millionen von Datensätzen bestückt werden.

Einzelne Länder veröffentlichten in den letzten Jahren allumfassende Grundregeln zum Schutz von Daten. In Europa bekannt unter dem Begriff GDPR, in Deutschland unter DSGVO, in den USA unter anderem unter CCPA, in Brasilien unter LGPD, nur um einige wenige zu nennen. Explizit für die Gesundheitsbranche verfasste die USA das Datenschutzgesetz HIPAA. Wer als Unternehmen im Gesundheitswesen tätig ist und mit modernen Tools wie Jira oder Confluence arbeitet, stellt sich demnach die Frage, ob er nach amerikanischen Gesetz die Datenschutzregeln der Gesundheitsbranche einhält oder nicht.

HIPAA (Health Insurance Portability and Accountability Act) wurde als US-Gesetz im Jahr 1996 beschlossen. Es regelt den Schutz von Patientendaten, auch PHI (Protected Health Information) genannt. Sie sind vergleichbar mit PII (Personally Identifiable Information), stehen jedoch in Verbindung mit gesundheitlichen Angaben. Diese zählen mitunter zu den sensibelsten Daten.

PHIs sind:

• Kreditkartennummern

• Krankenversicherungsnummer

• Sozialversicherungsnummer

• Bankdaten

• Fingerabdruck, Stimmenaufzeichnung, Netzhautabdruck

• Medical record numbers

• Usw.

PHI beziehen sich auf vergangene, aktuelle oder zukünftig geplante medizinische Informationen, Behandlungen oder Zahlungsvorgänge im Rahmen des Gesundheitswesens eines Patienten.

Die Atlassiantools Jira und Confluence werden weltweit von unzähligen Unternehmen vielfältig eingesetzt. Die einen nutzen es für interne Zwecke, zur Projektplanung, Prozessierung von Kampagnen und Aufbereitung von Inhalten, die anderen strukturieren damit Kundenanfragen für Support, Buchungen und Co.

Sowohl bei der internen Nutzung, als auch bei der Verwendung im Zusammenhang mit Kunden, werden persönliche Daten in die Tools eingespeist. Diese können zum Beispiel von Mitarbeitern sein, aber auch von Kunden.

Ein konkretes Beispiel aus der Gesundheitsbranche:

Ein Kunde hat eine Frage an seine Krankenkasse und verfasst eine E-Mail. Darin nennt er sein Geburtsdatum, seine Versichertennummer und hängt einen Bericht seines Arztes an. Diese E-Mail wird unternehmensintern innerhalb der Krankenkasse in ein Jiraticket umgewandelt, um von einem Mitarbeiter des Kundenservice beantwortet werden zu können. Dieser kann mit nur einem Klick aus dem Ticket heraus auf die Datenbank der Krankenkasse zugreifen und alle weiteren Informationen wie Zahlungseingänge oder medizinische Unterlagen zum Versicherten aufrufen.

Wie Sie sehen, kann eine einfache E-Mail bereits zahlreiche persönliche Informationen in Bezug auf die Gesundheit beinhalten, und bei Nichtbeachtung von Sicherheitsvorkehrungen oder Verstößen gegen die Vertraulichkeit zu erheblichen Schäden für Patienten führen. Aus diesem Grund sind Datenschutzgesetze wie HIPAA ins Leben gerufen worden.

Die Frage ist einfach zu beantworten: nein, Jira und Confluence sind standardmäßig nie vollständig datenschutzkonform, auch nicht in Bezug auf HIPAA. Atlassian untersteht nicht dem HIPAA-Datenschutzgesetz (Atlassian wird nicht als „covered entity” definiert). Zudem kann Ihre unternehmensspezifische Jira-Instanz Lücken aufweisen, für die nur Sie als Organisation zuständig sind. Jedes Unternehmen hat eigene Datenschutzregeln, die sich an den allgemeingültigen Rechten des Landes orientieren müssen. Systeme wie Jira und Confluence können diese jedoch nicht in Gänze abdecken. Hier sind Datenschutzbeauftragte und Administratoren gefragt, die dafür sorgen, dass die Instanzen im Rahmen ihrer individuellen Anforderungen datenschutzkonform werden.

Um mächtige Tools und Datensätze in Jira und Confluence in Bezug auf den Datenschutz in Schach zu halten, sind Datenschutzbeauftragte oder Administratoren gefragt, die sich auf dieses Thema spezialisiert haben. Und selbst Experten sollten sich für mehr Produktivität und Effektivität rund um den Datenschutz Tools zu Nutzen machen, die zum Beispiel die Suche nach persönlichen Daten in Jira vereinfachen und das Anonymisierungsverfahren für gefundene persönliche Daten einleiten. Hierfür haben wir die Actonic-App Data Protection and Security Toolkit for Jira and Confluence entwickelt.

Die Apps unterstützen sowohl Jira als auch Confluence-Admins oder -Datenschutzbeauftragte darin, PHI zu finden und zu definieren, inwiefern diese Daten anonymisiert werden. Sie können Templates zur Suche verwenden und den Anonymisierungsprozess anhand von Regeln anstoßen.

Vermeiden Sie mit dem Actonic-Full-Service rund um den Datenschutz potenzielle Bußgelder:

• Analyse Ihrer Datenschutz-Infrastruktur durch unsere Experten

• Entwicklung einer Roadmap und Implementierung neuer Prozesse zur Schließung Ihrer Datenschutzlücken

• Demo der Apps Data Protection and Security Toolkit for Jira and Confluence

• Laufender Support für Ihre Jira- oder Confluenceinstanz

• Training Ihrer Jira- oder Confluenceuser

• Audit mit einem Datenschutzbeauftragten

Ist Ihr Jira DSGVO-konform? Laden Sie sich jetzt kostenfrei unsere Checkliste herunter und ermitteln Sie Ihren Status quo!