Adobe-Produkte und -Services im Einklang mit HIPAA

[Zuletzt aktualisiert: Januar 2025]

Adobe entwickelt seine Lösungen kontinuierlich weiter, um den Anforderungen unserer Kundinnen und Kunden im Gesundheitswesen gerecht zu werden, insbesondere in Bezug auf Datenschutz und Sicherheit.

US-Gesetz über die Übertragbarkeit und Nachweispflicht von Krankenversicherungen

Der Abschnitt „Administrative Simplification“ des US-Gesetzes über die Übertragbarkeit und Nachweispflicht von Krankenversicherungen von 1996 (Health Insurance Portability and Accountability Act, HIPAA) ermächtigt das US-Gesundheitsministerium (Department of Health and Human Services), Standards zum Schutz der Privatsphäre und Sicherheit bestimmter personenbezogener Gesundheitsdaten zu erlassen. HIPAA wurde 2009 durch das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (Health Information Technology for Economic and Clinical Health Act, HITECH Act) ergänzt. Dieses führte Meldepflichten bei Datenschutzverletzungen ein und erweiterte den Geltungsbereich von HIPAA. Die HIPAA-Regeln zu Datenschutz, Sicherheit und Informationspflicht bei Datenpannen legen wichtige Schutzmaßnahmen für personenbezogene Gesundheitsdaten fest, die als „Protected Health Information“ (PHI) bezeichnet werden, wenn diese von einer sogenannten „Covered Entity“ oder einem „Business Associate“ erstellt, empfangen, gespeichert oder übertragen werden. Eine Covered Entity ist beispielsweise ein Gesundheitsdienstleister, eine Krankenversicherung oder eine Clearing-Stelle im Gesundheitswesen. Ein Business Associate ist jede Organisation oder Person – mit Ausnahme der Mitarbeitenden einer Covered Entity –, die im Auftrag einer solchen Einrichtung Aufgaben übernimmt oder Dienstleistungen erbringt, die mit der Erstellung, Verarbeitung, Speicherung oder Übertragung von PHI verbunden sind.

Die HIPAA-Datenschutz- und Sicherheitsregeln verlangen, dass Covered Entities mit ihren Business Associates eine schriftliche Vereinbarung schließen –, ein sogenanntes Business Associate Agreement (BAA). Darin verpflichtet sich der Business Associate, die Vertraulichkeit und Sicherheit der PHI der Covered Entity zu gewährleisten.

Bereitstellung von PHI an Adobe

Adobe bietet Kundinnen und Kunden im Gesundheitswesen bestimmte Services an, die für die Verarbeitung von PHI ausgelegt sind. Diese bezeichnen wir als HIPAA-bereite Services. Sie verfügen über zusätzliche Funktionen, die es sowohl den Kundinnen und Kunden (also Covered Entities oder Business Associates) als auch Adobe ermöglichen, ihre jeweiligen HIPAA-Verpflichtungen zu erfüllen. Diese Zusatzfunktionen können mit höheren Lizenz- oder Abonnementkosten verbunden sein.

Kundinnen und Kunden, die HIPAA-bereite Services zur Verarbeitung von PHI nutzen möchten, müssen mit Adobe ein BAA für diese Services abschließen. Die Bereitstellung von PHI an Adobe ist ausschließlich über HIPAA-bereite Services und nur im Rahmen des jeweiligen Lizenzvertrags und des BAA zulässig. Die Nutzung anderer Adobe-Produkte und -Services für die Erstellung, den Empfang, die Verwaltung oder die Übermittlung von PHI ist nicht erlaubt, da diese nicht für die Unterstützung der HIPAA-Compliance (sei es für Kundinnen und Kunden oder Adobe) konzipiert wurden.

Die aktuelle Liste der HIPAA-bereiten Services umfasst:

Adobe Acrobat Sign
Adobe Acrobat Sign für Behörden
Adobe Experience Manager Cloud Service
Adobe Workfront
Adobe Customer Journey Analytics ¹
Adobe Journey Optimizer ²
Adobe Marketo (nur Engage und Sales Connect)
Adobe Experience Platform
Adobe Real-Time CDP ³
Adobe Experience Manager Managed Services.
Adobe Connect Managed Services
Adobe Commerce on Cloud
Adobe Commerce für Managed Services

Weitere Informationen dazu, wie sich Adobe Experience Cloud-Lösungen im Gesundheitswesen einsetzen lassen, findet ihr in unserem Whitepaper Adobe Experience Cloud for Healthcare Solutions Overview im Adobe Trust Center.

Gemeinsame Verantwortlichkeiten unter HIPAA

Die HIPAA-bereiten Services von Adobe basieren auf einem Sicherheitsmodell mit geteilter Verantwortung. Sowohl Adobe als auch die Kundinnen und Kunden sind mit dafür verantwortlich, den Schutz von PHI zu gewährleisten. Innerhalb dieses Modells ist es Aufgabe der Kundinnen und Kunden, bestimmte Konfigurationen vorzunehmen, die in ihrem Einflussbereich liegen, damit Adobe die Anforderungen der HIPAA Security Rule einhalten kann. Adobe stellt darüber hinaus Konfigurationsempfehlungen bereit, die Kundinnen und Kunden dabei unterstützen, ihre eigenen HIPAA-Compliance-Pflichten bei der Nutzung von HIPAA-bereiten Services zu erfüllen.

Sicherheitsmodell mit geteilter Verantwortung

Im Folgenden wird beschrieben, wie Adobe bestimmte Kernstandards der HIPAA Security Rule im Umgang mit elektronischen geschützten Gesundheitsinformationen („ePHI“) umgesetzt hat. Außerdem geben wir einige Empfehlungen, die Kundinnen und Kunden bei der Einhaltung der HIPAA-Compliance unterstützen.

¹ Ausgenommen CJA Labs. CJA Labs ist kein HIPAA-bereiter CJA Service. Weitere Informationen findet ihr hier.
² Ausgenommen Federated Audience Composition. Federated Audience Composition ist kein HIPAA-konformer AJO-Service.
³ Ausgenommen Real-Time CDP Collaboration, Event Forwarding und Federated Audience Composition. Diese Services sind keine HIPAA-bereiten Services von RTCDP.
⁴ Ausgenommen: Adobe Commerce on Cloud und Adobe Commerce on Managed Services. Für diese Services gilt das spezifische Sicherheitsmodell mit geteilter Verantwortung von Adobe Commerce.

Standards

Technische Schutzmaßnahmen

Zugriffskontrolle

Adobe hat Richtlinien, Prozesse und technische Kontrollen eingeführt, um allen Benutzerinnen und Benutzern eine eindeutige Kennung zuzuweisen und Mehrfachnutzungen derselben Kennung auszuschließen. Der Zugriff auf ePHI ist ausschließlich autorisierten Adobe-Benutzerinnen und -Benutzern gestattet und wird beendet, sobald er nicht mehr erforderlich ist. In Notfällen können ePHI freigegeben oder offengelegt werden. Darüber hinaus stellt Adobe Kundinnen und Kunden Werkzeuge bereit, mit denen sie selbst den Zugriff ihrer Benutzerinnen und Benutzer auf ePHI steuern können.

Verschlüsselung & Entschlüsselung

Adobe verschlüsselt ePHI sowohl bei der Übertragung über öffentliche Netzwerke als auch im Ruhezustand. Wenn Kundinnen oder Kunden Health Data-bereite Services ohne Verschlüsselung für die Übertragung oder Speicherung verwenden, sollten sie dokumentieren, warum in diesem Fall keine Verschlüsselung notwendig oder angemessen ist.

Audit-Kontrollen

Adobe hat Kontrollen eingerichtet, um den Zugriff auf die Real-Time Customer Data Platform zu überwachen und die Nutzeraktivitäten zu protokollieren.

Sitzungs-Timeout

Adobe-Systeme sind so konfiguriert, dass sie inaktive Sitzungen autorisierter Mitarbeitender und Benutzerinnen bzw. Benutzer automatisch beenden, wenn diese auf ePHI zugreifen oder diese übermitteln. Dies geschieht nach einer vordefinierten Zeitspanne oder wenn die Person die Sitzung selbst beendet.

Integritätskontrollen

Adobe hat technische Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass ePHI nicht unzulässig verändert oder gelöscht werden. Weitere Informationen findet ihr unter www.adobe.com.

Standards

Administrative Schutzmaßnahmen

Risikoanalyse und -Management

Adobe hat Maßnahmen ergriffen, um mögliche Risiken auf ein angemessenes Maß zu reduzieren. Dazu gehören die Durchführung einer eigenen Risikoanalyse und die Implementierung eines Risiko-Management-Plans in Bezug auf die von Adobe verwalteten ePHI. Adobe empfiehlt seinen Kundinnen und Kunden, eigene Risikoanalysen bezüglich ihrer Nutzung von HIPAA-bereiten Services durchzuführen, und die Sicherheitsfunktionen dieser Services zu nutzen, um mögliche Risiken zu reduzieren.

Überwachung der Systemaktivitäten

Adobe überprüft regelmäßig den Zugriff von Benutzerinnen und Benutzern auf ePHI. Wir empfehlen Kundinnen und Kunden, den Zugriff ihrer Benutzerinnen und Benutzer auf ePHI über die HIPAA-bereiten Services ebenfalls anhand der verfügbaren Prüfprotokolle regelmäßig zu kontrollieren.

Sicherheitsschulung für Mitarbeitende

Adobe hat ein umfassendes Schulungsprogramm zur Sensibilisierung in Bezug auf das Thema Sicherheit eingeführt, mit dem wir unsere Teams regelmäßig über die aktuellen Richtlinien und Verfahren zum Schutz von ePHI informieren. Dazu gehören auch entsprechende Maßnahmen bei Verstößen sowie die Beendigung des Systemzugriffs für Mitarbeitende, die ePHI speichern, verarbeiten oder übertragen. Wir empfehlen unseren Kundinnen und Kunden, ihre Benutzerinnen und Benutzer ebenfalls im sicheren und korrekten Umgang mit ePHI in HIPAA-bereiten Services zu schulen.

Notfallplanung

Adobe verfügt über einen Notfallplan, der regelmäßig getestet wird und der im Falle eines Notfalls, einer Katastrophe oder eines Ausfalls die Wiederherstellung von ePHI ermöglicht. Wir empfehlen unseren Kundinnen und Kunden, eigene Notfallpläne vorzuhalten, die auch regeln, ob in HIPAA-bereiten Services gespeicherte PHI im Notfall verfügbar sein müssen.

Business Associates Agreement (BAA)

Die BAA von Adobe erläutert unsere Verantwortung gegenüber den Kundinnen und Kunden und kann bei der Implementierung von HIPAA-bereiten Services abgeschlossen werden. Adobe schließt zudem entsprechende BAAs mit seinen Subunternehmern.

Standards

Physische Schutzmaßnahmen

Zugang zu und Kontrolle von Einrichtungen

Adobe kontrolliert streng, wer physischen Zugang zu den Standorten hat, an denen ePHI empfangen, verwaltet oder übertragen werden. Dies betrifft unter anderem Mitarbeitende der IT-Abteilung und der Einrichtung selbst. Wir haben Richtlinien und Verfahren implementiert, um unbefugten Zugang, Manipulation und Diebstahl zu verhindern. Wir empfehlen unseren Kundinnen und Kunden, ebenfalls den Zugang zu Einrichtungen zu regeln, in denen ihre Benutzerinnen und Benutzer auf HIPAA-bereite Services zugreifen.

Verwaltung von Arbeitsplätzen und Geräten

Adobe hat strenge Richtlinien und Standards eingeführt, was die Genehmigung von Mitarbeiterzugriffen auf ePHI betrifft. Dies umfasst den physischen Zugang zu Sicherheitsbereichen, die Arbeitsplätze in diesen Bereichen sowie Arbeitsplätze und Monitore mit Sichtschutzfiltern, die nur für die jeweilige Person einsehbar sind. Wir empfehlen unseren Kundinnen und Kunden, ebenfalls für die Sicherheit der Arbeitsplätze Sorge zu tragen, die für den Zugriff auf HIPAA-bereite Services genutzt werden.

Verwaltung des Hardware- und Infrastrukturinventars

Adobe führt ein vollständiges Inventar der Hardware und Infrastruktur von Mitarbeitenden, die zur Handhabung von ePHI berechtigt sind. Dazu gehören Wartungsprotokolle sowie Nachweise über Standortwechsel jedes einzelnen Geräts.

Entsorgung

Adobe verfügt über bewährte Verfahren, um ePHI vor dem Standortwechsel von Geräten sicher zu löschen, zu bereinigen und vollständig zu entfernen. Wir empfehlen unseren Kundinnen und Kunden, die für den Download von ePHI über Health Data-bereite Services verwendeten Geräte eindeutig zu identifizieren und bei Nichtgebrauch ordnungsgemäß zu entsorgen.

Sicherung und Wiederherstellung

Adobe hat technische Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass ePHI weder unzulässig verändert noch gelöscht werden. Wir empfehlen unseren Kundinnen und Kunden, zu prüfen, in welchem Umfang sie eigene Backups von PHI benötigen und wie diese im Notfall aus HIPAA-bereiten Services wiederhergestellt werden können.

Weitere Informationen

Informationen zur Konfiguration der HIPAA-bereiten Services findet ihr in der Produktdokumentation auf Experience League.

BAA von Adobe für HIPAA-bereite Services

Bitte wendet euch an eure Ansprechperson im Adobe-Vertrieb oder Customer-Success-Management, um die BAA von Adobe für HIPAA-bereite Services abzuschließen.

Haftungsausschluss

Diese Informationen beschreiben, wie Adobe als Business Associate bestimmte zentrale Standards der HIPAA Security Rule umgesetzt hat. Sie stellen keine Rechtsberatung dar und sollten auch nicht als solche verstanden werden. Jede Kundin und jeder Kunde ist für die Nutzung von HIPAA-bereiten Services selbst verantwortlich und muss sicherstellen, dass HIPAA-bereite Services von Adobe ihren bzw. seinen Compliance-Anforderungen entsprechen.