Der Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten haben bei Google höchste Priorität. Kunden, die dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) unterliegen und somit HIPAA-Auflagen erfüllen müssen, haben die Möglichkeit, Google Workspace und Cloud Identity HIPAA-konform einzusetzen.
Gemäß HIPAA sind bestimmte Informationen zum Gesundheitszustand und zu den beanspruchten Gesundheitsleistungen einer Person als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI) klassifiziert. Google Workspace- und Cloud Identity-Kunden, die HIPAA unterliegen und Google Workspace oder Cloud Identity mit PHI nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen.
Kunden, die Google Workspace und Cloud Identity nutzen, müssen selbst in Erfahrung bringen, ob sie HIPAA unterliegen und ob sie die Google-Dienste in Verbindung mit PHI verwenden oder diese Verwendung beabsichtigt ist. Kunden, die keine BAA mit Google eingegangen sind, dürfen die Google-Dienste nicht in Verbindung mit PHI verwenden.
Administratoren müssen eine BAA zur Kenntnis nehmen und akzeptieren, damit sie Google-Dienste mit PHI nutzen können. Hier finden Sie weitere Informationen zu Google Workspace-Produkten, die HIPAA-konform sind.
In unserem Leitfaden zur Implementierung von Google Workspace und Cloud Identity in Übereinstimmung mit HIPAA finden Kunden Informationen zum Umgang mit PHI in Google-Diensten. Er richtet sich an Mitarbeiter in Organisationen, die für die HIPAA-Implementierung und -Konformität in Google Workspace und in Cloud Identity verantwortlich sind.
Häufig gestellte Fragen
Wie erhalte ich eine Kopie meiner elektronisch akzeptierten HIPAA-BAA?Die HIPAA-BAA wird Kunden über ihre Admin-Konsole zur Verfügung gestellt und kann elektronisch akzeptiert werden. Sie ist ebenso rechtsverbindlich wie eine Vereinbarung in Papierform. Zum Nachweis der elektronischen Annahme kann der Kunde einen Screenshot des HIPAA-Akzeptanzprotokolls erstellen, das im Abschnitt Rechtliches und Compliance der Admin-Konsole angezeigt wird. Rufen Sie in einem Super Admin-Konto die Startseite der Admin-Konsole auf. Gehen Sie dann zu KontoeinstellungenRechtliches und Compliance.
Anwendungen von Drittanbietern, einschließlich Add-ons, sind von der BAA ausgenommen. Weitere Informationen finden Sie in unserem HIPAA-Implementierungsleitfaden.
Wenn Sie PHI innerhalb oder außerhalb der Google Workspace-Domain weitergeben, sollten Sie die Richtlinien Ihrer Organisation in Bezug auf den Umgang mit PHI einhalten. Sie können die entsprechende Freigabemethode innerhalb oder außerhalb von Google Workspace so auswählen, dass diese Richtlinien eingehalten werden und mit den domainweiten Einstellungen von Google Workspace konform sind. Im HIPAA-Implementierungsleitfaden finden Sie eine Anleitung dazu, wie Sie den Zugriff auf PHI innerhalb einer Google Workspace-Domain einschränken können, z. B. zum Freigeben für bestimmte Empfänger, anstatt für alle Personen, die den Link haben.
Google prüft kontinuierlich den Umfang der abgedeckten Produkte und kann in Zukunft weitere Produkte hinzufügen. Beachten Sie, dass sich weder der Zusatz zur Verarbeitung von Cloud-Daten (CDPA) noch die Google Workspace-BAA-Bedingungen auf zusätzliche Google-Dienste beziehen. Google arbeitet kontinuierlich daran, weitere Steuerelemente im Zusammenhang mit zusätzlichen Google-Diensten bereitzustellen und führt diese gegebenenfalls als neue Funktionen in den Diensten ein.
