Ein Meilenstein des Atlassian-Datenschutzes: Jira Cloud und Confluence Cloud sind nun HIPAA-konform. Atlassian hat kürzlich einen Leitfaden zur HIPAA-Einhaltung veröffentlicht. Gemeinsam mit diesem Wissen und unserer Anleitung und in nur fünf einfachen Schritten gelingt Ihnen die Einhaltung mit HIPAA spielerisch.
Sichern Sie sich jetzt ab!
Starten wir mit dem Grundlegenden, nämlich der Klärung dessen, was HIPAA eigentlich ist. Eine knappe Definition finden Sie in unserem Knowledge Base Artikel zu HIPAA.
HIPAA ist ein Akronym von: Health Insurance Portability and Accountability Act, einem seit 1996 bestehenden US-Bundesgesetz. Es wurde eingeführt, um Krankenakten und sensible Gesundheitsinformationen (englisch: Protected Health Information (PHI)) von US-amerikanischen Staatsbürger*innen zu schützen. Ursprünglich sollten überwiegend die Daten von Arbeitnehmer*innen, welche den Arbeitsplatz wechseln, vor Offenlegung bewahrt werden. Grenzen der Offenlegung von Gesundheitsakten ohne Zustimmung der Patient*innen sollen Vertrauen, Vertraulichkeit und Integrität im gesamten medizinischen Bereich gewährleisten. Auch die Einführung nationaler Standards für die Verarbeitung elektronischer Gesundheitsdaten (ePHI) soll zu besserem Datenschutz und Kostenersparnis beitragen.
Zwar wurde HIPAA verfasst, um Einzelpersonen aus den USA zu schützen, doch dieser Schutz tritt auch in Kraft, wenn das Daten verarbeitende Unternehmen NICHT in den USA sitzt. Sobald Ihr Unternamen Daten von US-Bürger*innen speichert oder verarbeitet, müssen Sie HIPAA-Konformität gewährleisten. Ob Sie sich in Europa, Asien oder sonst wo auf der Welt befinden, ist gleichgültig.
HIPAA-Konformität sollten Sie folglich sicherstellen, wenn Sie Gesundheitsdaten aus den USA verarbeiten UND unter eine dieser folgenden Kategorien zählen:
Gesundheitsdienstleister (Ärzt*innen, Kliniken, Krankenhäuser, Apotheken)
Gesundheitspläne (Krankenkassen, Versicherungen, staatliche Programme wie Medicare)
Clearingstellen im Gesundheitswesen (Abrechnungsdienste und kommunale Gesundheitssysteme zur Organisation von Gesundheitsdaten)
Gesundheitsdaten, die unter HIPAA geschützt sind, sind unter anderem Name, Adresse, Krankenaktennummer und sonstige persönlich identifizierbare Informationen (PII) sowie der körperliche oder geistige Zustand einer Person, Pflege, die eine Person in Anspruch nimmt. Weitere Beispiele von PHI finden Sie im HIPAA-Gesetzestext.
Ein Verstoß gegen die HIPAA-Regeln kann maximal zu Geldstrafen von bis zu 1,5 Millionen US-Dollar pro Jahr führen. Eine Person, die Gesundheitsdaten „wissentlich“ erwirbt und weitergibt, kann mit einer Strafanzeige von bis zu einem Jahr Gefängnis rechnen.
Das wollen Sie natürlich nicht riskieren.
Aber was hat das alles mit Atlassian zu tun?
Viele Gesundheitsorganisationen und Krankenhäuser verwenden Plattformen wie Jira und Confluence Cloud, um ihre täglichen Aufgaben, Projekte und Daten zu verwalten. Dadurch können sie alle benötigten Gesundheitsinformationen (PHI) schnell und unkompliziert speichern und abrufen. Dies bedeutet, dass sie eine exorbitante Menge an sensiblen Daten über ihre Patient*innen sammeln, was sie dem Risiko aussetzt, gegen HIPAA-Vorschriften zu verstoßen.
Lange waren Jira und Confluence Cloud nicht HIPAA-konform – die Ankündigung vonseiten Atlassians ändert nun alles. Ein externer Prüfer hat folgende Atlassian Produkte intensiv untersucht und als konform mit HIPAA-Bestimmungen bewertet:
Jira Software Cloud
Confluence Cloud
Jira Service Management
Um mit absoluter Sicherheit Jira, JSM und Confluence HIPAA-konform zu machen und jeglichen Strafen zu entgehen, sollten Sie bestimmte Konfigurationen an Ihrem Atlassian-Konto durchführen, wie Atlassian in deren Implementierungsleitfaden beschreibt.
Hier für Sie zusammengefasst, mit welchen fünf einfachen Schritten Sie Confluence und Jira HIPAA-konform nutzen:
Unternehmen, welche HIPAA-Richtlinien einhalten müssen, sollten einen Enterprise Plan erwerben
Schließen Sie ein Business Associate Agreement (BAA) mit Atlassian ab
Hier wird vertraglich festgehalten, dass HIPAA-Anforderungen erfüllt werden
Tragen Sie dafür Sorge, dass alle in Jira und Confluence Cloud integrierten Drittanbieter-Anwendungen HIPAA-konform betrieben werden
Das BAA deckt nur die entsprechenden Atlassian-Produkte ab
Stellen Sie sicher, dass Sie keine PHI in einem der folgenden Felder speichern:
Confluence
Leerzeichen
Bereichsname
Seitentitel
Jira Software
Konfigurationsdaten:
Vorgänge
Projektnamen
Projektschlüssel
Workflow-Schemata
Andere
Umfragen
Kunden-Feedback
Deaktivieren Sie alle E-Mail- und Push-Benachrichtigungen in den Produkteinstellungen
Seien Sie besonders sorgfältig bei Punkt vier, der Überprüfung, dass Sie PII/PHI nicht außerhalb der empfohlenen Felder/Orte speichern. Führen Sie ein ausführliches Sicherheitsaudit durch. An dieser Stelle kommt unsere App Data Protection and Security Toolkit für Jira/Confluence zur Rettung. Dieser smarte Assistent lässt Sie blitzschnell Ihre Cloud-Instanzen scannen, um kritische Gesundheitsdaten zu finden. Wählen Sie einfach aus vorgegebenen Suchregeln Geburtsdaten, Telefonnummern, Sozialversicherungsnummern oder Ähnliches aus:
Mit diesem Tool entgehen Ihnen garantiert keine sensiblen Gesundheitsdaten und Sie sind einen Schritt näher an der HIPAA-Konformität.
Dank Atlassians Update ist die Einhaltung von HIPAA im Gesundheitswesen einfach wie nie – auch für Cloud Produkte! Dennoch fällt Ihnen die Konformität nicht einfach in den Schoß. Wenn Sie dem HIPAA-Implementierungsleitfaden und unseren Tipps folgen, sind Sie jedoch auf der sicheren Seite. Ein smartes Tool wie unser Data Protection and Security Toolkit ist im Prozess der Datenschutz-Prozesse eine nicht zu unterschätzende Hilfe.
Wenn Sie beim Thema HIPAA-Konformität für Jira und Confluence weitere Beratung wünschen, kontaktieren Sie gerne unseren Datenschutz-Compliance-Service. Falls Sie die oben aufgeführten Schritte selbstständig durchführen können und wollen, lohnt sich ein Blick auf die vorgestellte App.
Überzeugen Sie sich selbst und testen Sie sie kostenfrei!
