HIPAA-Compliance mit der G Suite/Cloud Identity

Eine der höchsten Prioritäten von Google ist es, die Daten unserer Kunden rundum zu schützen, zu sichern und jederzeit verfügbar zu machen. Die Einhaltung branchenüblicher Sicherheitsstandards belegen wir mit der ISO 27001-Zertifizierung und den SOC 2- und SOC 3-Prüfungen des Typs II. Kunden, die dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) unterliegen und somit HIPAA-Auflagen erfüllen müssen, haben die Möglichkeit, die G Suite und Cloud Identity HIPAA-konform einzusetzen.

Gemäß HIPAA sind bestimmte Informationen zum Gesundheitszustand und zu den beanspruchten Gesundheitsleistungen einer Person als "Geschützte Gesundheitsdaten" (Protected Health Information, PHI) klassifiziert. Kunden, die HIPAA unterliegen und die G Suite und Cloud Identity mit PHI nutzen möchten, müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) mit Google unterzeichnen.

Kunden, die die G Suite und Cloud Identity nutzen, müssen selbst in Erfahrung bringen, ob sie HIPAA unterliegen und ob sie die Google-Dienste in Verbindung mit PHI verwenden oder diese Verwendung beabsichtigt ist. Kunden, die keine BAA mit Google eingegangen sind, dürfen die Google-Dienste nicht in Verbindung mit PHI verwenden.

Administratoren müssen eine Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) akzeptieren, damit sie Google-Dienste mit PHI nutzen können. Google bietet eine BAA für Gmail, Google Kalender, Google Drive (mit Docs, Tabellen, Präsentationen und Formulare), Google Hangouts (nur Chatfunktion), Google Chat, Google Meet, Google Notizen, Google Cloud Search, Google Sites, Google Groups, Google Tasks, Google Voice (nur verwaltete Nutzer), Jamboard, Google Vault-Dienste und Google Cloud-Identitätsverwaltung.

In unserem englischsprachigen Leitfaden zur Implementierung von G Suite und Cloud Identity in Übereinstimmung mit HIPAA (G Suite and Cloud Identity HIPAA Implementation Guide) finden Kunden Informationen zum Umgang mit PHI bei Google. Er richtet sich an Mitarbeiter in Organisationen, die für die HIPAA-Implementierung und -Compliance in der G Suite und in Cloud Identity verantwortlich sind.

War das hilfreich?
Wie können wir die Seite verbessern?