Der Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten haben bei Google höchste Priorität. Kunden, die dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) unterliegen und somit HIPAA-Auflagen erfüllen müssen, haben die Möglichkeit, bestimmte Google Workspace- und Cloud Identity-Dienste HIPAA-konform einzusetzen.
Gemäß HIPAA sind bestimmte Informationen zum Gesundheitszustand und zu den beanspruchten Gesundheitsleistungen einer Person als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI) klassifiziert. Google Workspace- und Cloud Identity-Kunden, die HIPAA unterliegen und bestimmte Google Workspace- oder Cloud Identity-Dienste nutzen möchten, die in der Liste der HIPAA-konformen Dienste aufgeführt sind, müssen eine Geschäftspartner-Änderungsvereinbarung (Business Associate Amendment, BAA) mit Google abschließen.
Kunden, die Google Workspace und Cloud Identity nutzen, müssen selbst in Erfahrung bringen, ob sie HIPAA unterliegen und ob sie PHI in Google-Diensten verwenden oder diese Verwendung beabsichtigt ist. Kunden, die keine BAA mit Google eingegangen sind, dürfen PHI in Google Workspace- oder Cloud Identity-Diensten nicht verwenden.
Administratoren müssen eine BAA zur Kenntnis nehmen und akzeptieren, damit sie PHI in Google-Diensten nutzen können. Eine Liste der Google Workspace-Produkte, die HIPAA-konform sind, finden Sie hier.
In unserem Google Workspace und Cloud Identity gemäß HIPAA finden Kunden Informationen zum Organisieren von Daten in Google-Diensten bei Verwendung von PHI. Er richtet sich an Mitarbeiter in Organisationen, die für die HIPAA-Implementierung und ‑Compliance in Google Workspace und in Cloud Identity verantwortlich sind.
Häufig gestellte Fragen
Wie erhalte ich eine Kopie meiner elektronisch akzeptierten HIPAA-BAA?Die HIPAA-BAA wird Kunden über ihre Admin-Konsole zur Verfügung gestellt und kann elektronisch akzeptiert werden. Sie ist ebenso rechtsverbindlich wie eine Vereinbarung in Papierform. Zum Nachweis der elektronischen Annahme kann der Kunde einen Screenshot des HIPAA-Akzeptanzprotokolls erstellen, das im Abschnitt Rechtliches und Compliance der Admin-Konsole angezeigt wird. Rufen Sie in einem Super Admin-Konto die Startseite der Admin-Konsole auf. Gehen Sie dann zu KontoeinstellungenRechtliches und Compliance.
Die Funktion „Formuliere für mich“, kontextbezogene intelligente Antworten und die Funktionen der Seitenleiste sind als Teil von Gemini für Google Workspace in HIPAA-konformen Diensten enthalten. Weitere Informationen zu smarten Funktionen finden Sie unter Mit Gemini in Gmail zusammenarbeiten.
Anwendungen von Drittanbietern, einschließlich Add-ons, sind von der BAA ausgenommen. Weitere Informationen finden Sie in unserem Google Workspace und Cloud Identity gemäß HIPAA.
Wenn Sie PHI innerhalb oder außerhalb der Google Workspace-Domain weitergeben, sollten Sie die Richtlinien Ihrer Organisation in Bezug auf den Umgang mit PHI einhalten. Sie können die entsprechende Freigabemethode innerhalb oder außerhalb von Google Workspace so auswählen, dass diese Richtlinien eingehalten werden und mit den domainweiten Einstellungen von Google Workspace konform sind. Im Google Workspace und Cloud Identity gemäß HIPAA finden Sie eine Anleitung dazu, wie Sie den Zugriff auf PHI innerhalb einer Google Workspace-Domain einschränken können, z. B. zum Freigeben für bestimmte Empfänger, anstatt für alle Personen, die den Link haben.
Google prüft kontinuierlich den Umfang der abgedeckten Produkte und kann in Zukunft weitere Produkte hinzufügen. Beachten Sie, dass sich weder der Zusatz zur Verarbeitung von Cloud-Daten (CDPA) noch die Google Workspace-BAA-Bedingungen auf zusätzliche Google-Dienste beziehen. Google arbeitet kontinuierlich daran, weitere Steuerelemente im Zusammenhang mit zusätzlichen Google-Diensten bereitzustellen und führt diese gegebenenfalls als neue Funktionen in den Diensten ein.
