HIPAA-Backend als Dienstleistung

Sind Sie auf der Suche nach einem HIPAA-konformen Backend-as-a-Service? Hier finden Sie einen detaillierten Leitfaden, der die Vorteile und Grenzen der Nutzung eines Backend-as-a-Service für die Verarbeitung von PHI-Daten erläutert.

In diesem Artikel werden der HIPAA, seine Anforderungen, die betroffenen Unternehmen und die erforderlichen rechtlichen Vereinbarungen mit Cloud-Anbietern kurz erläutert.

Darüber hinaus werden die Vorteile und Grenzen des Einsatzes einer BaaS-Lösung (Backend as a Service) für das Hosting und die Verarbeitung geschützter Gesundheitsdaten untersucht.

HIPAA-Übersicht

Das HIPAA-Gesetz wurde ursprünglich von der Regierung Bill Clinton im Jahr 1996 eingeführt. Die Abkürzung HIPAA steht für Health Insurance Portability and Accountability Act (Gesetz zur Übertragbarkeit von Krankenversicherungen und zur Rechenschaftspflicht), ein Bundesgesetz der Vereinigten Staaten, in dem die Standards und Schutzmaßnahmen zum Schutz von Gesundheitsdaten von Patienten festgelegt sind.

Was sind erfasste Einrichtungen?

Abgedeckte Einrichtungen sind die Organisationen, die die HIPAA-Regeln zum Schutz der Privatsphäre von PHI-Daten einhalten müssen. Es gibt drei Arten von Einrichtungen, die im Folgenden beschrieben werden:

Welche Art von Daten wird durch die HIPAA-Anforderungen geschützt?

Im Allgemeinen schützt der HIPAA alle sensiblen Patientendaten, einschließlich Name, Geburtsdatum, Sozialversicherungsnummer, Untersuchungen usw.

Ist ein Cloud-Anbieter eine geschützte Einrichtung?

Cloud-Anbieter sind KEINE betroffenen Einrichtungen, sondern Geschäftspartner im Sinne des HIPAA-Gesetzes. Nachstehend finden Sie die Definition eines Geschäftspartners gemäß 45 CFR § 160.103.

Auf der Grundlage der obigen Definition behandelt der HIPAA einen Cloud-Anbieter als Unterauftragnehmer, der PHI-Daten empfängt, überträgt und verwaltet.

Was ist ein BAA – Business Associate Agreement?

Ein BAA ist eine rechtsgültige Vereinbarung zwischen einer betroffenen Einrichtung und einem Geschäftspartner, in der der Zugang zu PHI-Daten, Schutzmaßnahmen, das Verfahren zur Datenvernichtung und Bestimmungen zur Beendigung des Vertrags im Einzelnen festgelegt sind.

Backend as a Service Überblick

Backend as a Service (BaaS) ist ein Cloud-Service, der Entwicklern und Unternehmen dabei hilft, die Backend-Entwicklung durch sofort einsatzbereite Bausteine zu automatisieren und die Server-Infrastruktur zu verwalten.

Die Vorteile des Einsatzes einer Backend-as-a-Service-Plattform liegen in einem schnelleren Entwicklungsprozess, einem produktiveren Entwicklungsteam und geringeren Entwicklungskosten. Die Einschränkungen liegen in einer weniger flexiblen Programmierumgebung und dem fehlenden Zugriff auf Serverebene.

Was sind die wichtigsten Merkmale von Backend as a Service?

Die wichtigsten Merkmale eines Backend as a Service sind ein einsatzbereites Datenmodell, APIs, serverlose Funktionen und Speicher.

Sind die Backend-as-a-Service-Anbieter HIPAA-zertifiziert?

Es gibt keine HIPAA-Zertifizierung für Cloud-Computing-Anbieter wie Backend-as-a-Service-Plattformen. Betroffene Einrichtungen und Cloud-Anbieter werden nach einem Modell der gemeinsamen Verantwortung arbeiten.

So sind die Cloud-Anbieter beispielsweise für den Schutz der Infrastruktur wie Hardware, Netzwerke, Speicher usw. verantwortlich.

Beispiele für die Verantwortlichkeiten der Kunden sind angemessene Sicherheitsrichtlinien, Systemzugangsverfahren, Audit-Protokollierung usw.

Welche Vorteile bietet die Nutzung eines Backend-as-a-Service für die Entwicklung einer HIPAA-konformen Anwendung?

Die HIPAA-Anforderungen sind komplex, ihre Umsetzung erfordert einen hohen technischen Aufwand und ist schwer umzusetzen.

So können App-Entwickler beispielsweise von der Verwendung eines mobilen Backends zum Hosten von HIPAA-regulierten Gesundheitsdaten profitieren, von der Verschlüsselung der Daten im Ruhezustand und bei der Übertragung, von Backup-Routinen, Firewalls und Disaster-Recovery-Verfahren.

BaaS- oder mBaaS-Plattformen funktionieren sowohl für Web- als auch für mobile Anwendungen und sind für beide Implementierungen geeignet. Die Auslagerung der HIPAA-Backend-Ausführung an einen BaaS-Anbieter spart Zeit und Kosten und vermeidet die Schwierigkeiten, die mit der direkten Implementierung der einzelnen Schritte bei einem Infrastrukturanbieter verbunden sind.

Suchen Sie ein HIPAA-konformes Backend als Dienstleistung?

Back4App ist eine hervorragende Option für die Entwicklung von Krankenhausanwendungen, Patientenportalen, allgemeinen Gesundheitsanwendungen usw.

Das Unternehmen stützt sich auf die Infrastruktur von AWS und implementiert die folgenden Sicherheitsvorkehrungen zum Schutz von PHI-Daten:

• Vollständig redundante Architektur für Produktionsanwendungen, die PHI-Daten verarbeiten;
• Datenzentren in den USA;
• Verschlüsselung der Daten während der Übermittlung;
• Verschlüsselung der Daten im Ruhezustand;
• Backups über mehrere Regionen hinweg;
• Wiederherstellung im Katastrophenfall;
• Etc.

Wenn Sie mehr erfahren möchten, vereinbaren Sie bitte eine Telefonkonferenz über diesen Kalenderlink oder senden Sie uns eine E-Mail an [email protected].

Schlussfolgerung

Dieser Artikel bietet einen Überblick über den HIPAA, die wichtigsten Sicherheits- und Compliance-Anforderungen, Definitionen und Beispiele für zu schützende Daten.

Sie veranschaulichte auch die Art des Vertrags, der zwischen einer betroffenen Einrichtung und einem Cloud-Anbieter erforderlich ist, das Verantwortungsmodell zwischen den Parteien und die Vorteile der Verwendung eines BaaS für die HIPAA-Implementierung.

Schließlich wurden Beispiele für die bei Back4App implementierten Sicherheitsvorkehrungen für HIPAA-bezogene Anwendungen gezeigt.