FRAMEWORK · HIPAA

HIPAA Security Rule.
Für US-Gesundheitseinrichtungen.

Health Insurance Portability and Accountability Act. Gilt für US-Krankenhäuser, Kliniken, Krankenversicherer und ihre Business Associates (einschließlich europäischer Anbieter, die PHI von US-Patienten verarbeiten). Itamite deckt die technischen Schutzmaßnahmen von 45 CFR §164.312 ab.

Preise ansehen HIPAA-Demo

Wer unterliegt HIPAA?

Covered Entities: Krankenhäuser, Kliniken, einzelne Ärzte, Krankenversicherer, Gesundheitspläne, Healthcare Clearinghouses. Business Associates: jeder Anbieter, der elektronische PHI (Protected Health Information) im Auftrag einer Covered Entity verarbeitet, speichert oder überträgt. Umfasst: ICT-Anbieter, Beratungen, Hosting, Cloud-Dienste, Übersetzung, medizinische Transkription, Telemedizin, RCM (Revenue Cycle Management).

Strafen: 100-50.000 USD pro Verstoß, max. 1,5 Mio. USD/Jahr pro Kategorie. Strafrechtliche Sanktionen: bis zu 10 Jahre Gefängnis bei vorsätzlichen Verstößen. Verlust von Verträgen mit Covered Entities = Insolvenz des Business Associate.

TECHNISCHE SCHUTZMASSNAHMEN — §164.312

Was Itamite aus der Security Rule abdeckt

§164.312(a) — Access Control

Eindeutige Benutzeridentifikation (a)(2)(i), Notfallverfahren (a)(2)(ii), automatische Abmeldung/Bildschirmsperre (a)(2)(iii), Verschlüsselung/Entschlüsselung von PHI at rest (a)(2)(iv) — Itamite verifiziert BitLocker/FileVault auf Geräten mit PHI.

§164.312(b) — Audit Controls

„Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI." → Das unveränderliche Hash-Chain-Audit von Itamite erfüllt diese Anforderung auf Endpoints. Logs werden mit nachweisbarer Integrität aufbewahrt.

§164.312(c) — Integrity

„Protect ePHI from improper alteration or destruction." → Itamite erkennt nicht autorisierte Änderungen in der kritischen Konfiguration. Der SHA-256-Hash jedes Heartbeats erlaubt die Integritätsprüfung der gemeldeten Daten.

§164.312(d) — Person/Entity Authentication

Verifizierung, dass derjenige, der zugreift, wirklich der ist, der er vorgibt zu sein. Itamite unterstützt SSO/SAML, verpflichtende MFA für Administratoren, Integration mit Active Directory und Identity Providern.

§164.312(e) — Transmission Security

Verschlüsselung von ePHI während der Übertragung. Itamite verwendet TLS 1.3 für alle Agent-Server- und Client-Server-Kommunikationen. Optionales Mutual TLS für Agent-Verbindungen.

Remote-Sitzungen und Screen Sharing

E2E-Verschlüsselung mit ephemerem Diffie-Hellman (nicht einmal Itrion sieht den Inhalt). Optionale Aufzeichnung mit SHA-256. Unveränderliches Audit jeder Intervention. Kritisch, wenn Techniker auf Geräte mit PHI zugreifen.

HÄUFIGE FRAGEN

Fragen zu HIPAA

Unterzeichnet Itrion ein BAA (Business Associate Agreement)?
Ja, für Enterprise-Kunden mit HIPAA-Anwendungsfällen. Das Standard-BAA von Itrion deckt die Verpflichtungen der Security Rule ab. Für Kunden mit spezifischen Anforderungen: verhandelbares BAA. Typische Prüfdauer: 1-2 Wochen.
Ist Itamite HIPAA-eligible?
Die Plattform erfüllt die Schutzmaßnahmen der Security Rule technisch. Für die formelle Nutzung mit PHI müssen Sie ein BAA mit Itrion unterzeichnen + die HIPAA-ready-Konfiguration auf Ihrem Tenant aktivieren (verpflichtendes BYOK, 6-jährige Audit-Aufbewahrung, US-Rechenzentrum, falls vertraglich gefordert).
Brauche ich Hosting in den USA?
HIPAA verpflichtet nicht zum physischen Hosting in den USA, aber einige Covered Entities verlangen es vertraglich. Itamite bietet US-Hosting (AWS Virginia oder Azure US East) für entsprechende Fälle an. Aufpreis: 25 % über dem Standardtarif.
Und wenn meine Einrichtung US- und EU-Patienten hat?
Doppelte Compliance HIPAA + DSGVO. Itamite deckt beides ab: HIPAA-BAA + DSGVO-AVV + SCC + Rechenzentrum in der passenden Region. Pro Tenant aktivierbar; Sie benötigen keine getrennten Tenants.

Gesundheitssektor mit US-PHI

Enterprise-Demo mit vorbereitetem BAA und HIPAA-ready-Konfiguration.

Preise ansehen BAA anfordern