Jira und Confluence sind jetzt HIPAA-konform - Actonic GmbH
Unser Atlassian-Lizenzierungs- und Dienstleistungsgeschäft wurde in die neu gegründete Seibert Solutions GmbH ausgelagert. Die Produkte von Actonic werden unter dem gewohnten Namen weiterentwickelt.
Weiterlesen...

Jira und Confluence sind jetzt HIPAA-konform

Von Patricia Modispacher17. Februar 2023Lesedauer: 3 Minuten

5
(2)

Ein Meilenstein des Atlassian-Datenschutzes: Jira Cloud und Confluence Cloud sind nun HIPAA-konform. Atlassian hat kürzlich einen Leitfaden zur HIPAA-Einhaltung veröffentlicht. Gemeinsam mit diesem Wissen und unserer Anleitung und in nur fünf einfachen Schritten gelingt Ihnen die Einhaltung mit HIPAA spielerisch.

Sichern Sie sich jetzt ab!

Was ist HIPAA eigentlich?

Starten wir mit dem Grundlegenden, nämlich der Klärung dessen, was HIPAA eigentlich ist. Eine knappe Definition finden Sie in unserem Knowledge Base Artikel zu HIPAA.

HIPAA ist ein Akronym von: Health Insurance Portability and Accountability Act, einem seit 1996 bestehenden US-Bundesgesetz. Es wurde eingeführt, um Krankenakten und sensible Gesundheitsinformationen (englisch: Protected Health Information (PHI)) von US-amerikanischen Staatsbürger*innen zu schützen. Ursprünglich sollten überwiegend die Daten von Arbeitnehmer*innen, welche den Arbeitsplatz wechseln, vor Offenlegung bewahrt werden. Grenzen der Offenlegung von Gesundheitsakten ohne Zustimmung der Patient*innen sollen Vertrauen, Vertraulichkeit und Integrität im gesamten medizinischen Bereich gewährleisten. Auch die Einführung nationaler Standards für die Verarbeitung elektronischer Gesundheitsdaten (ePHI) soll zu besserem Datenschutz und Kostenersparnis beitragen.

Wann und für wen gilt HIPAA?

Zwar wurde HIPAA verfasst, um Einzelpersonen aus den USA zu schützen, doch dieser Schutz tritt auch in Kraft, wenn das Daten verarbeitende Unternehmen NICHT in den USA sitzt. Sobald Ihr Unternamen Daten von US-Bürger*innen speichert oder verarbeitet, müssen Sie HIPAA-Konformität gewährleisten. Ob Sie sich in Europa, Asien oder sonst wo auf der Welt befinden, ist gleichgültig.

HIPAA-Konformität sollten Sie folglich sicherstellen, wenn Sie Gesundheitsdaten aus den USA verarbeiten UND unter eine dieser folgenden Kategorien zählen:

  • Gesundheitsdienstleister (Ärzt*innen, Kliniken, Krankenhäuser, Apotheken)

  • Gesundheitspläne (Krankenkassen, Versicherungen, staatliche Programme wie Medicare)

  • Clearingstellen im Gesundheitswesen (Abrechnungsdienste und kommunale Gesundheitssysteme zur Organisation von Gesundheitsdaten)

Welche Daten sind unter HIPAA geschützt?

Gesundheitsdaten, die unter HIPAA geschützt sind, sind unter anderem Name, Adresse, Krankenaktennummer und sonstige persönlich identifizierbare Informationen (PII) sowie der körperliche oder geistige Zustand einer Person, Pflege, die eine Person in Anspruch nimmt. Weitere Beispiele von PHI finden Sie im HIPAA-Gesetzestext.

Welche Strafen drohen bei Nichteinhaltung von HIPAA?

Ein Verstoß gegen die HIPAA-Regeln kann maximal zu Geldstrafen von bis zu 1,5 Millionen US-Dollar pro Jahr führen. Eine Person, die Gesundheitsdaten „wissentlich“ erwirbt und weitergibt, kann mit einer Strafanzeige von bis zu einem Jahr Gefängnis rechnen.

Das wollen Sie natürlich nicht riskieren.

Aber was hat das alles mit Atlassian zu tun?

Welche Verbindung besteht zwischen Jira/Confluence Cloud und HIPAA?

Viele Gesundheitsorganisationen und Krankenhäuser verwenden Plattformen wie Jira und Confluence Cloud, um ihre täglichen Aufgaben, Projekte und Daten zu verwalten. Dadurch können sie alle benötigten Gesundheitsinformationen (PHI) schnell und unkompliziert speichern und abrufen. Dies bedeutet, dass sie eine exorbitante Menge an sensiblen Daten über ihre Patient*innen sammeln, was sie dem Risiko aussetzt, gegen HIPAA-Vorschriften zu verstoßen.

Lange waren Jira und Confluence Cloud nicht HIPAA-konform – die Ankündigung vonseiten Atlassians ändert nun alles. Ein externer Prüfer hat folgende Atlassian Produkte intensiv untersucht und als konform mit HIPAA-Bestimmungen bewertet:

  • Jira Software Cloud

  • Confluence Cloud

  • Jira Service Management

 

Der HIPAA-Implementierungsleitfaden

Um mit absoluter Sicherheit Jira, JSM und Confluence HIPAA-konform zu machen und jeglichen Strafen zu entgehen, sollten Sie bestimmte Konfigurationen an Ihrem Atlassian-Konto durchführen, wie Atlassian in deren Implementierungsleitfaden beschreibt.

Hier für Sie zusammengefasst, mit welchen fünf einfachen Schritten Sie Confluence und Jira HIPAA-konform nutzen:

  1. Unternehmen, welche HIPAA-Richtlinien einhalten müssen, sollten einen Enterprise Plan erwerben

  2. Schließen Sie ein Business Associate Agreement (BAA) mit Atlassian ab

    1. Hier wird vertraglich festgehalten, dass HIPAA-Anforderungen erfüllt werden

  3. Tragen Sie dafür Sorge, dass alle in Jira und Confluence Cloud integrierten Drittanbieter-Anwendungen HIPAA-konform betrieben werden

    1. Das BAA deckt nur die entsprechenden Atlassian-Produkte ab

  4. Stellen Sie sicher, dass Sie keine PHI in einem der folgenden Felder speichern:

    • Confluence

      • Leerzeichen

      • Bereichsname

      • Seitentitel

    • Jira Software

      • Konfigurationsdaten:

        • Vorgänge

        • Projektnamen

        • Projektschlüssel

        • Workflow-Schemata

    • Andere

      • Umfragen

      • Kunden-Feedback

  5. Deaktivieren Sie alle E-Mail- und Push-Benachrichtigungen in den Produkteinstellungen

 

Smarte Unterstützung zur HIPAA-Konformität

Seien Sie besonders sorgfältig bei Punkt vier, der Überprüfung, dass Sie PII/PHI nicht außerhalb der empfohlenen Felder/Orte speichern. Führen Sie ein ausführliches Sicherheitsaudit durch. An dieser Stelle kommt unsere App Data Protection and Security Toolkit für Jira/Confluence zur Rettung. Dieser smarte Assistent lässt Sie blitzschnell Ihre Cloud-Instanzen scannen, um kritische Gesundheitsdaten zu finden. Wählen Sie einfach aus vorgegebenen Suchregeln Geburtsdaten, Telefonnummern, Sozialversicherungsnummern oder Ähnliches aus:

Mit diesem Tool entgehen Ihnen garantiert keine sensiblen Gesundheitsdaten und Sie sind einen Schritt näher an der HIPAA-Konformität.

Fazit: HIPAA-Einhaltung leicht gemacht

Dank Atlassians Update ist die Einhaltung von HIPAA im Gesundheitswesen einfach wie nie – auch für Cloud Produkte! Dennoch fällt Ihnen die Konformität nicht einfach in den Schoß. Wenn Sie dem HIPAA-Implementierungsleitfaden und unseren Tipps folgen, sind Sie jedoch auf der sicheren Seite. Ein smartes Tool wie unser Data Protection and Security Toolkit ist im Prozess der Datenschutz-Prozesse eine nicht zu unterschätzende Hilfe.

Wenn Sie beim Thema HIPAA-Konformität für Jira und Confluence weitere Beratung wünschen, kontaktieren Sie gerne unseren Datenschutz-Compliance-Service. Falls Sie die oben aufgeführten Schritte selbstständig durchführen können und wollen, lohnt sich ein Blick auf die vorgestellte App.

Überzeugen Sie sich selbst und testen Sie sie kostenfrei!

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung 5 / 5. Anzahl Bewertungen: 2

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Diese Beiträge könnten Sie auch interessieren

  1. Die 9 häufigsten HIPAA-Mythen entlarvt
  2. Die größten Datenschutzverletzungen im Gesundheitswesen im Jahr 2022
  3. So verwenden Sie Jira für das Projektmanagement im Jahr 2023