Nach dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) gelten bestimmte Informationen zur Gesundheit einer Person oder zu Gesundheitsdienstleistungen als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI).
Google legt großen Wert auf den Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten. Looker Studio ist im Rahmen der Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA) für die Google Cloud Platform HIPAA-konform. Letztlich sind Kunden jedoch selbst für ihre HIPAA-Compliance verantwortlich.
Dieses Dokument soll den für die HIPAA-Compliance verantwortlichen Sicherheits- und Compliance-Beauftragten sowie IT-Administratoren und anderen Mitarbeitern in Organisationen dabei helfen, Looker Studio Compliance-konform zu verwenden.
Haftungsausschluss
Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde ist selbst dafür verantwortlich, dass seine eigene Nutzung von Looker Studio den geltenden Rechtsvorschriften entspricht.
Pflichten des Kunden
Looker Studio-Kunden müssen selbst in Erfahrung bringen, ob sie dem HIPAA unterliegen und ob sie Looker Studio in Verbindung mit PHI verwenden oder dies beabsichtigen. Kunden, die dem HIPAA unterliegen und Looker Studio mit PHI nutzen möchten, müssen eine BAA für die Google Cloud Platform mit Google unterzeichnen, bevor sie fortfahren. Kunden, die keine entsprechende BAA mit Google unterzeichnet haben, dürfen Looker Studio nicht mit PHI verwenden. Die bisherige BAA für Looker Studio kann von Neukunden nicht mehr akzeptiert werden.
Weitere Informationen zur HIPAA-Compliance auf der Google Cloud Platform
Looker Studio mit PHI verwenden
Kunden, die dem HIPAA unterliegen, können Looker Studio gemäß der BAA mit PHI verwenden, sofern sie Looker Studio HIPAA-konform konfiguriert haben.
Google Workspace- und Cloud Identity-Kunden
In der Admin-Konsole können bestimmte Einstellungen vorgenommen werden, um dafür zu sorgen, dass Daten möglichst sicher sind und nur gemäß Ihren Anforderungen verwendet und abgerufen werden. Mit den folgenden praktischen Tipps lassen sich bestimmte Probleme vermeiden.
Kontoaktivität im Blick behalten
Die Berichte und Protokolle der Admin-Konsole bieten viele Möglichkeiten. So können Sie beispielsweise leicht nach potenziellen Sicherheitsrisiken suchen, die Zusammenarbeit von Nutzern messen, Anmeldeaktivitäten erfassen und Administratoraktivitäten analysieren. Damit Administratoren immer direkt über Warnungen und verdächtige Ereignisse in Protokollen informiert werden, lassen sich entsprechende Benachrichtigungen konfigurieren. Administratoren können auch selbst regelmäßig Berichte und Protokolle auf potenzielle Sicherheitsrisiken überprüfen. Im Bericht der Admin-Konsole in Looker Studio ist beispielsweise zu sehen, welche Dateien für externe Nutzer freigegeben wurden. Administratoren sollten diese Berichte regelmäßig für Mitarbeiter erstellen lassen, die PHI verwalten, damit diese Daten nicht versehentlich freigegeben werden.
Freigabeoptionen
Looker Studio-Nutzer können die Bearbeitungs- und Freigabeberechtigungen von Mitbearbeitern festlegen, wenn sie Looker Studio-Assets freigeben. Der Name solcher Assets sollte nicht „PHI“ enthalten.
Administratoren können die Berechtigungen für die Dateifreigabe an die Sichtbarkeitseinstellungen des Workspace- oder Cloud Identity-Kontos anpassen. Außerdem können sie Nutzern untersagen oder erlauben, Dokumente außerhalb der Domain freizugeben. Wir empfehlen Ihnen, die Berechtigungen für die Dateifreigabe so zu konfigurieren, dass es Nutzern, die mit PHI arbeiten, nicht möglich ist, Looker Studio-Assets außerhalb Ihrer Organisation freizugeben.
Technische Supportdienste
Sie dürfen keine PHI an Google senden, wenn Sie die technischen Supportdienste von Looker Studio nutzen.
Weitere Informationen
Der Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten haben bei Google höchste Priorität. Zusätzlich zur Implementierung der BAA für Google Cloud können wir die Einhaltung branchenüblicher Sicherheitsstandards mit mehreren Zertifizierungen für Looker Studio belegen.