Unter den unzähligen Akronymen in der Gesundheitsbranche ist HIPAA eines der am häufigsten genannten.
Ende letzten Jahres schlug das Ministerium für Gesundheit und menschliche Dienste zum ersten Mal seit mehr als einem Jahrzehnt umfassende Aktualisierungen dieses Gesetzes vor – mit dem Namen „Health Insurance Portability and Accountability Act“.
HHS sagte, sein Vorschlag ziele darauf ab, „das US-amerikanische Gesundheitssystem besser vor einer wachsenden Zahl von Cyberangriffen zu schützen“. Die Ankündigung erfolgte am Ende eines Jahres, in dem es zu mehreren hochkarätigen Cybersicherheitsvorfällen im Gesundheitswesen kam, wie etwa den Ransomware-Angriffen Change Healthcare und Ascension – bei ersteren wurden mehr als 100 Millionen Patientenakten offengelegt, bei letzteren mehr als 5 Millionen .
Diese vorgeschlagenen Änderungen zielen darauf ab, die Cybersicherheitsprotokolle für elektronische Gesundheitsdaten zu stärken, indem bestimmte Sicherheitsprozesse zwischen den Anbietern standardisiert werden. HHS nimmt Kommentare zu seinem Vorschlag bis zum 7. März entgegen.
Verantwortliche für Cybersicherheit im Gesundheitswesen befürworten die vorgeschlagenen Änderungen vor allem, da die Verordnung die Anbieter dazu zwingen wird, langjährige Lücken in ihrer Dateninfrastruktur und Sicherheitsvorsorge zu schließen. Die für diesen Artikel befragten Experten wiesen jedoch darauf hin, dass kleinere Anbieter möglicherweise mit den finanziellen und betrieblichen Belastungen der Compliance zu kämpfen haben.
Welche Änderungen möchte HHS vornehmen?
Der Vorschlag von HHS zielt darauf ab, mehrere Änderungen an der Art und Weise vorzunehmen, wie Anbieter Gesundheitsdaten im Rahmen des HIPAA verwalten. Eine wichtige Änderung besteht in der Aufhebung der Unterscheidung zwischen „erforderlichen“ und „adressierbaren“ Implementierungsspezifikationen.
Derzeit verfügt HIPAA über zwei Arten von Sicherheitsregeln zum Schutz sensibler Gesundheitsinformationen: „erforderliche“ Regeln, die befolgt werden müssen, und „adressierbare“ Regeln, die Anbieter nicht befolgen können.
Durch die Abschaffung dieser beiden Kategorien möchte HHS alle Cybersicherheitsregeln für Gesundheitsorganisationen verbindlich machen und die Notwendigkeit umfassender Sicherheitsmaßnahmen für alle Gesundheitsdaten hervorheben. Dies bedeutet, dass für alle Anbieter mehrere Cybersicherheitsprotokolle erforderlich sind, wie z. B. Zwei-Faktor-Authentifizierung, Datenverschlüsselung und Netzwerksegmentierung.
Wenn diese Änderungen eingeführt würden, würden sie den Anbietern helfen, auf den gleichen Stand zu kommen und gemeinsame Cybersicherheitsstandards einzuhalten, betonte Aaron Neiderhiser, CEO der Open-Source-Plattform für Gesundheitsdaten Tuva Health.
Diese Standardisierung wird für die Gesundheitsbranche von Vorteil sein – denn jeder Anbieter, der keine Protokolle wie Multi-Faktor-Authentifizierung und Datenverschlüsselung verwendet, „schützt Daten nicht in dem Maße, wie sie sein sollten“, sagte Neiderhiser.
Andere Änderungen seien jedoch „esoterischer“ und für einige Anbieter schwieriger umzusetzen, stellte er fest.
Beispielsweise würden die vorgeschlagenen Änderungen an HIPAA auch von den Anbietern verlangen, eine detaillierte schriftliche Dokumentation aller ihrer Cybersicherheitsrichtlinien und -verfahren zu führen. HHS möchte, dass Anbieter kontinuierlich Dokumente für die Anlageninventur, Netzwerkkartierung und Risikoanalysen pflegen.
„Das Hauptziel dieser neuen Dokumentationsanforderungen besteht darin, sicherzustellen, dass Anbieter die Art und Weise, wie ihre Daten gespeichert und übertragen werden, effektiv abbilden können“, bemerkte Mitesh Rao, CEO von OMNY Health, einem nationalen Datenökosystem, das die medizinische Forschung erleichtert.
„Das geht über die Cybersicherheit hinaus – das betrifft fast schon den Infrastrukturbereich“, sagte er. „[HHS] sagt: „Sehen Sie, Sie sitzen auf einer Menge Daten, Sie müssen wirklich Ihre Hände darauf legen.“ Sie müssen wissen, wo es ist, wie es sich bewegt, wie alles aufgebaut ist.‘“
Die Änderungen spiegeln die Tatsache wider, dass Daten „jetzt alles im Gesundheitswesen bestimmen“, vielen Organisationen jedoch ein umfassendes Verständnis dafür fehlt, wo sich alle ihre Daten befinden und wie sie am besten genutzt werden können, erklärte Rao.
Dieses Verständnis zu erlangen sei keine leichte Aufgabe, betonte er. Gesundheitssysteme beherbergen riesige Datenmengen, die sich über verschiedene Systeme und Abteilungen erstrecken, beispielsweise stationäre Dienste, Chirurgie, Pharmazie, Bildgebung und klinische Studien.
Dennoch sei es von entscheidender Bedeutung, ein gutes Verständnis für die Datenzuordnung zu haben, erklärte Rao.
Sobald ein Anbieter genau weiß, wo sich alle seine Informationen befinden und wie diese Daten am besten genutzt werden können, werden Daten „mehr zu einem Vermögenswert und weniger zu einer Belastung“, sagte er.
Wie sind die Anbieter auf diese neuen Anforderungen vorbereitet?
Das vergangene Jahr war das schlimmste Jahr in der Geschichte der Branche, was die Verletzung von Gesundheitsakten angeht: Mehr als 200 Millionen Patientenakten wurden offengelegt. Gesundheitsdienstleister seien sich durchaus darüber im Klaren, zu welchem Problem Datenschutzverletzungen in den letzten Jahren geworden seien, und die meisten Organisationen seien sich darüber im Klaren, dass sie an der Stärkung ihrer Abwehr arbeiten müssen, bemerkte Rao.
Um dies zu erreichen, müssten Anbieter mit Technologieunternehmen zusammenarbeiten, sagte er.
„Die derzeit in der Welt der Anbieter vorhandene Infrastruktur ist nicht wirklich darauf ausgelegt, viele dieser Funktionen zu erfüllen – aber es gibt viele großartige Plattformen, die darauf ausgelegt sind. Es ist also eine Frage, mit wem man eine Partnerschaft eingeht“, bemerkte Rao.
Neiderhiser von Tuva Health betonte außerdem, dass die Anbieter nicht technisch versiert genug seien, um neue Cybersicherheitsvorschriften allein zu erfüllen. Diese Verantwortlichkeiten liegen außerhalb der Kernkompetenz der Anbieter.
„Einige Organisationen, mit denen wir zusammenarbeiten, sagen Dinge wie: ‚Wir wissen nicht, wie wir uns bei AWS anmelden sollen.‘ Sie sind Anbieterorganisationen – ihr Geschäft ist nicht die Technologie, sondern die Bereitstellung von Gesundheitsleistungen“, erklärte Neiderhiser.
Größere Organisationen können problemlos Partnerschaften mit Technologieunternehmen eingehen, die über Fachkenntnisse in Datenmanagement und -sicherheit verfügen. Für kleinere Gesundheitsorganisationen, die möglicherweise keine tiefgreifenden Beziehungen zu Technologiepartnern haben, könnte es eine längere Anpassungsphase geben, sagte Neiderhiser.
Ein großes Gesundheitssystem habe sein IT-Personal möglicherweise bereits seit Monaten auf eine mögliche Änderung des HIPAA vorbereitet – ein kleines ländliches Krankenhaus verfügte jedoch wahrscheinlich nicht über die Ressourcen oder das Personal, um dies zu berücksichtigen, stellte er fest. Seiner Ansicht nach werden kleinere Anbieter bei der Einhaltung dieser neuen Vorschriften sicherlich stärker belastet.
Wie sieht es mit den Compliance-Kosten aus?
Die kleineren Anbieterorganisationen, die Neiderhiser erwähnt hat, arbeiten oft mit knappen Margen – was bedeutet, dass es schwierig sein könnte, das Geld aufzubringen, um ein Technologieunternehmen für die Verwaltung seiner Cybersicherheits-Compliance-Funktionen zu bezahlen.
Ein anderer Cybersicherheitsexperte – Sean Kelly, Chief Medical Officer beim Gesundheits-IT-Sicherheitsunternehmen Imprivata – gab an, dass er sich Sorgen über die Kosten der Compliance mache.
„Es ist schwierig, einfach nicht finanzierte Mandate zu erlassen – und es ist wirklich schwierig, ohne jegliche Finanzierung oder Anreize einfach Strafen für Krankenhaussysteme zu verhängen, die bereits über begrenzte Budgets verfügen, insbesondere wenn man sich Krankenhäuser mit Zugang zur Intensivpflege und ländliche Praxen ansieht.“ “, erklärte Kelly.
Wenn die vorgeschlagenen Änderungen des HIPAA in Kraft treten, hofft Kelly, dass die Bundesregierung ein System einrichtet, in dem Krankenhäuser mit weniger Ressourcen Anspruch auf Zuschüsse oder „irgendeine Art Anreiz“ für die Einhaltung haben. Beispielsweise könnten diese Krankenhäuser als Anreiz möglicherweise schneller Medicare-Zahlungen erhalten, sagte er.
Er wies auch darauf hin, dass, wenn der Kongress eine Analyse der Kosten von Cybersicherheitsverletzungen im Vergleich zu den Kosten eines Geldpools für vorbeugende Cybersicherheitsmaßnahmen in Krankenhäusern durchführen würde, er feststellen würde, dass die Verletzungen viel teurer sind.
„Die Kosten dieser Verstöße sind enorm – nicht nur für die Krankenhäuser und die Patienten, die darunter leiden, sondern auch für die umliegenden Krankenhäuser. Wenn ein Krankenhaus schließt, fahren die Krankenwagen woanders hin und die Patienten werden woanders behandelt. Es gibt unnötige Tests, es gibt Morbidität, Mortalität, Klagen und Kosten im Umfeld eines Krankenhauses, das zusammenbricht“, erklärte Kelly.
Im Jahr 2024 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Gesundheitswesen laut einer Studie von IBM auf 9,77 Millionen US-Dollar.
Welche potenziellen Risiken bergen diese Veränderungen?
Die von HHS vorgeschlagenen Änderungen an HIPAA könnten sich zeitweise negativ auf die Arbeitsabläufe von Ärzten auswirken, betonte Kelly.
Wenn ein Anbieter die Cybersicherheitsschulung seiner Mitarbeiter nicht fehlerfrei durchführe, könnten die Mitarbeiter Multi-Faktor-Authentifizierungstests nicht bestehen oder in andere Pannen geraten, die sie von ihren Systemen aussperren, bemerkte er. Mit anderen Worten: Wenn ein kleiner Aspekt der Schulung unzureichend ist, beispielsweise wenn die Schulung für neue Mitarbeiter nicht schnell genug erfolgt oder nicht detailliert genug ist, besteht die Gefahr, dass die Mitarbeiter keinen Zugriff auf wichtige Informationen haben.
„Das bedeutet, dass sie nicht auf Systeme zugreifen können, um beispielsweise Krankenakten nachzuschlagen, und dass ihnen die Interoperabilität zwischen verschiedenen Datensätzen fehlt, um Patienten ordnungsgemäß zu diagnostizieren und zu behandeln“, fügte Kelly hinzu.
Für einen Verbraucher kann es ärgerlich sein, aufgrund von Cybersicherheitsprotokollen von einem Konto ausgeschlossen zu werden, für einen Kliniker sei die Situation jedoch eine ganz andere, erklärte er.
„Wenn ich als Notarzt ausgesperrt bin, kann ich Ihre Unterlagen nicht einsehen. Ich weiß nicht, dass Sie ein Blutverdünnungsmittel einnehmen, und ich kann das CT nicht anordnen, um mir zu zeigen, dass Sie eine intrakranielle Blutung haben. Ich kann Sie wegen eines Schlaganfalls oder was auch immer Ihre Symptome sind, nicht richtig behandeln – das hat also sehr reale Konsequenzen für die Arbeitsabläufe und Sicherheitsaspekte“, erklärte Kelly.
Er betonte auch, dass es ziemlich schwierig sei, sicherzustellen, dass alle Mitarbeiter im gesamten Gesundheitssystem eine angemessene Cybersicherheitsschulung erhalten. Krankenhäuser sind komplexe Umgebungen mit Tausenden von Mitarbeitern in unterschiedlichen Rollen, und manchmal sind die Mitarbeiter nicht einmal direkt beim Anbieter angestellt, sagte Kelly.
Es gebe mögliche Möglichkeiten, dieses Problem anzugehen, beispielsweise Single-Sign-On-Methoden, sagte er.
Single Sign-On ist eine Authentifizierungsmethode, die es Personen ermöglicht, mit einem einzigen Satz von Anmeldeinformationen, wie einem Benutzernamen und einem Passwort, auf mehrere Anwendungen oder Systeme zuzugreifen. Beispielsweise könnte ein Krankenhaus Ärzten einen Ausweis geben, den sie als Single-Sign-On-Token antippen können, um die Anmeldung zu erleichtern, erklärte Kelly.
„Sie können zwei Faktoren einmal am Tag nutzen, den Rest des Tages aber dann ein- und ausschalten. Es gibt Möglichkeiten, den Arbeitsablauf zu automatisieren, damit man schneller auf die Krankenakten zugreifen kann“, bemerkte er.
Krankenhäuser könnten die Gesichtserkennung möglicherweise auch als täglichen Single-Sign-On-Schlüssel für Ärzte nutzen, fügte Kelly hinzu.
Das Lieferantenmanagement wird eine größere Priorität erhalten
Mit seinem Vorschlag möchte HHS sicherstellen, dass Anbieter einen guten Überblick über alle unterschiedlichen Arten der Nutzung und Übertragung ihrer Daten haben – und diese klare Sicht wird wahrscheinlich die Anbieterauswahl der Anbieter für ihre verschiedenen Tools und Geräte beeinflussen, bemerkte Kelly.
Das Konzept des Risikos Dritter sei im vergangenen Jahr im Zusammenhang mit der Datenpanne von Change Healthcare bei vielen Führungskräften im Gesundheitswesen in den Vordergrund gerückt, sagte er. Change Healthcare war zwar das einzige Unternehmen, das von einem Ransomware-Angriff betroffen war, doch seine Tausenden Kunden litten monatelang unter den betrieblichen und finanziellen Folgen des Vorfalls.
Diese Katastrophe verdeutlichte die Risiken, denen Gesundheitsdienstleister ausgesetzt sind, wenn sie sich auf externe Partner verlassen. Gesundheitsdienstleister werden niemals in der Lage sein, ihren täglichen Betrieb ohne ihr Netzwerk von Lieferantenpartnern aufrechtzuerhalten. Daher ist es unerlässlich, dass sie ihre Lieferantenmanagement- und Datenschutzstrategien beherrschen, bemerkte Kelly. Der Gesetzesvorschlag des HHS verleiht diesen Bemühungen eine gewisse Dringlichkeit, sagte er.
„Es muss eine Risikobewertung erfolgen, bevor Anbieter überhaupt Anbieter auswählen. Darüber hinaus müssen die Anbieter dafür sorgen [vendors] Bleiben Sie konform und stellen Sie sicher, dass alle von diesen Dritten ergriffenen Maßnahmen sicher sind“, erklärte Kelly.
Diese stärkere Betonung des Lieferantenmanagements könne letztendlich dazu führen, dass später weniger Datensätze verletzt werden, stellte er fest.
Kelly ist – zusammen mit Neiderhiser und Rao – davon überzeugt, dass der Vorschlag von HHS trotz möglicher Kosten- und Arbeitsabläufe ein Schritt in die richtige Richtung ist, da die Änderungen die Bedeutung des Drittanbietermanagements und einer umfassenden Schulung des Cybersicherheitspersonals unterstreichen sollen. Alle drei Experten sind sich einig, dass die vorgeschlagenen Änderungen wahrscheinlich in naher Zukunft finalisiert werden.
Foto: Traffic_Analyzer, Getty Images
