HIPAA-Konformität für digitale Gesundheitsplattformen

Digitale Gesundheitsplattformen – Telemedizinanwendungen, Patientenportale, Fernüberwachungssysteme, Gesundheitsanalysetools und EHR-Integrationen – unterliegen einigen der strengsten Datenschutz- und Sicherheitsvorschriften der Welt. Allein im Jahr 2023 führten Verstöße gegen das HIPAA zu zivilrechtlichen Geldstrafen in Höhe von 145 Millionen US-Dollar, wobei sich die Einzelstrafen pro Verstoßkategorie auf 1,9 Millionen US-Dollar beliefen. Das Office for Civil Rights (OCR) hat seine Bereitschaft gezeigt, die Durchsetzung gegen Entwickler von Gesundheits-Apps, Cloud-Anbieter und Geschäftspartner – nicht nur gegen traditionelle Gesundheitsdienstleister – durchzusetzen.

Für jede Teambildung in diesem Bereich ist es wichtig, genau zu verstehen, was HIPAA-Verpflichtungen auslöst und wie die technischen Schutzmaßnahmen der Sicherheitsregel in einer modernen digitalen Gesundheitsarchitektur umgesetzt werden können.

Wichtige Erkenntnisse

• HIPAA gilt für abgedeckte Unternehmen und ihre Geschäftspartner – digitale Gesundheitsplattformen sind in der Regel BAs
• Geschützte Gesundheitsinformationen (PHI) umfassen 18 spezifische Identifikatoren, die mit Gesundheits-, Behandlungs- oder Zahlungsdaten verknüpft sind
• Die Sicherheitsregel erfordert administrative, physische und technische Schutzmaßnahmen für elektronische PHI (ePHI).
• Business Associate Agreements (BAAs) sind gesetzlich vorgeschrieben, bevor personenbezogene Daten an Dritte weitergegeben werden
• HITECH (2009) erhöhte die Strafen erheblich und weitete die HIPAA-Verpflichtungen auf BA-Subunternehmer aus – Eine Benachrichtigung über einen Verstoß an HHS und betroffene Personen ist innerhalb von 60 Tagen erforderlich
• OCR-Audits zielen zunehmend auf digitale Gesundheitsunternehmen ab, nicht nur auf Krankenhäuser
• Durch die Anonymisierung mithilfe von Safe-Harbor- oder Expertenbestimmungsmethoden entfällt die HIPAA-Anwendbarkeit

---

Wer muss HIPAA einhalten?

HIPAA (Health Insurance Portability and Accountability Act, 1996) und der HITECH Act (2009) definieren zwei Hauptkategorien von Verpflichteten:

Abgedeckte Unternehmen (CE):

• Gesundheitsdienstleister, die Gesundheitsinformationen elektronisch übermitteln (Krankenhäuser, Kliniken, Ärzte, Apotheken)
• Krankenversicherungen (Versicherungsgesellschaften, Arbeitgeber-Krankenversicherungen, Medicare/Medicaid)
• Clearingstellen für das Gesundheitswesen

Wirtschaftspartner (BA): Jede juristische Person, die PHI im Namen einer betroffenen juristischen Person erstellt, empfängt, pflegt oder übermittelt. Digitale Gesundheitsunternehmen fallen typischerweise hierher. Beispiele:

• Anbieter von EHR-Software mit Zugriff auf Patientenakten
• Telegesundheitsplattformen, die die Kommunikation zwischen Anbieter und Patient erleichtern
• Medizinische Abrechnungs- und Kodierungsdienste
• Plattformen zur Analyse von Gesundheitsdaten – Cloud-Speicheranbieter, die ePHI speichern
• IT-Unterstützung für Unternehmen mit potenziellem PHI-Zugriff

HITECH-Erweiterung: Das HITECH-Gesetz weitete die direkte HIPAA-Haftung auf Business Associate-Subunternehmer (manchmal auch „subBAs“ genannt) aus. Wenn Sie ein BA sind und einen Cloud-Anbieter zum Speichern von ePHI nutzen, ist dieser Cloud-Anbieter ein SubBA mit direkten HIPAA-Verpflichtungen.

Gesundheits-Apps für Verbraucher und HIPAA: Ein weit verbreitetes Missverständnis ist, dass alle Gesundheits-Apps dem HIPAA unterliegen. Wenn ein Verbraucher Ihre App direkt herunterlädt und seine eigenen Gesundheitsdaten eingibt – ohne Einbeziehung eines abgedeckten Unternehmens – gilt HIPAA im Allgemeinen nicht für diese Daten. Wenn jedoch ein Krankenhaus Ihre App für seine Patienten bereitstellt, werden Sie BA. Die FTC Health Breach Notification Rule (aktualisiert 2024) gilt für Verbrauchergesundheits-Apps unabhängig vom HIPAA-Status.

---

Geschützte Gesundheitsinformationen: Die 18 Identifikatoren

Bei PHI handelt es sich um individuell identifizierbare Gesundheitsinformationen, die sich auf den früheren, gegenwärtigen oder zukünftigen körperlichen oder geistigen Gesundheitszustand einer Person, die Gesundheitsversorgung oder die Bezahlung der Gesundheitsversorgung beziehen. Die folgenden 18 Identifikatoren stellen in Kombination mit Gesundheitsinformationen PHI dar:

1. Namen
2. Geografische Daten kleiner als der Bundesstaat (Adressen, Postleitzahlen, Geocodes)
3. Daten (außer Jahr) im Zusammenhang mit einer Person (Geburtsdatum, Aufnahmedatum, Entlassungsdatum, Sterbedatum)
4. Telefonnummern
5. Faxnummern
6. E-Mail-Adressen
7. Sozialversicherungsnummern
8. Krankenaktennummern
9. Zahlen der Begünstigten des Krankenversicherungsplans
10. Kontonummern
11. Zertifikats- oder Lizenznummern
12. Fahrzeugidentifikatoren (VINs, Nummernschilder)
13. Gerätekennungen und Seriennummern
14. Web-URLs
15. IP-Adressen
16. Biometrische Identifikatoren (Fingerabdrücke, Stimmabdrücke)
17. Vollgesichtsfotos und vergleichbare Bilder
18. Alle anderen eindeutigen Identifikationsnummern, Merkmale oder Codes

De-Identifizierung entfernt alle 18 Identifikatoren und erfordert die Feststellung eines Experten oder eine statistische Überprüfung, dass das Risiko einer erneuten Identifizierung sehr gering ist. Nicht identifizierte Daten sind keine PHI und fallen nicht in den Geltungsbereich von HIPAA – dies ist eine wichtige architektonische Überlegung für Gesundheitsanalyseplattformen.

---

Die HIPAA-Datenschutzregel

Die Datenschutzrichtlinie (45 CFR Part 164, Unterabschnitte A und E) regelt, wie PHI verwendet und offengelegt werden darf.

Erlaubte Verwendungen und Weitergaben ohne Genehmigung:

• Behandlungs-, Zahlungs- und Gesundheitsoperationen (TPO) – die Ausnahme für den Hauptzweck
• Aktivitäten im Bereich der öffentlichen Gesundheit (Meldung von Krankheiten an staatliche Gesundheitsämter)
• Anzeige von Opfern von Missbrauch, Vernachlässigung oder häuslicher Gewalt
• Gesundheitsaufsichtsaktivitäten (CMS-Audits, OCR-Untersuchungen)
• Gerichts- und Verwaltungsverfahren (mit entsprechendem Rechtsweg)
• Strafverfolgung (begrenzte Umstände)
• Ernsthafte Gefahr für Gesundheit oder Sicherheit
• Wesentliche Regierungsfunktionen

Einzelgenehmigungspflichtige Verwendungen und Weitergaben:

• Marketing mit PHI
• Verkauf von PHI
• Die meisten Forschungszwecke (es sei denn, es wurde eine IRB-Befreiung eingeholt)
• Jegliche Nutzung, die nicht unter die oben genannten zulässigen Kategorien fällt

Erforderlicher Mindeststandard: Wenn Sie PHI für andere Zwecke als die Behandlung offenlegen, müssen Sie angemessene Anstrengungen unternehmen, um die Offenlegung auf das für den Zweck erforderliche Minimum zu beschränken. Dies gilt auch für BAs – Ihre Plattform sollte nur die PHI-Elemente verarbeiten, die für Ihre spezifische Funktion erforderlich sind.

Rechte der Patienten gemäß der Datenschutzbestimmung:

• Recht auf Zugang zu ihren PHI (innerhalb von 30 Tagen; die Regelung von 2021 beseitigte viele Zugangsbarrieren und reduzierte Gebühren)
• Recht, PHI zu ändern, wenn sie der Meinung sind, dass sie ungenau sind
• Recht auf eine Offenlegungsrechnung (außerhalb von TPO, für die letzten 6 Jahre)
• Recht, Einschränkungen für bestimmte Nutzungen zu verlangen
• Recht auf vertrauliche Kommunikation
• Recht, sich von Einrichtungsverzeichnissen abzumelden

---

Die HIPAA-Sicherheitsregel

Die Sicherheitsregel (45 CFR Part 164, Unterabschnitte A und C) gilt speziell für elektronische PHI (ePHI) und verlangt, dass betroffene Unternehmen und BAs administrative, physische und technische Sicherheitsmaßnahmen implementieren.

Administrative Sicherheitsmaßnahmen

Sicherheitsbeauftragter: Benennen Sie eine Person, die für die Entwicklung und Umsetzung der HIPAA-Sicherheitsrichtlinien verantwortlich ist. Dokumentieren Sie diese Benennung.

Belegschaftsschulung: Schulen Sie alle Belegschaftsmitglieder in HIPAA-Richtlinien und -Verfahren. Führen Sie Schulungsunterlagen mit Abschlussdaten.

Zugriffsverwaltungsverfahren: Dokumentieren Sie, wie der Mitarbeiterzugriff auf ePHI autorisiert, eingerichtet, geändert und beendet wird.

Sicherheitsbewusstseinsschulung: Schulen Sie alle Benutzer in Sicherheitsthemen, die für ihre Rolle relevant sind: Phishing-Erkennung, Passworthygiene, Meldung von Vorfällen.

Notfallplanung: Entwickeln Sie einen dokumentierten Datensicherungsplan, einen Notfallwiederherstellungsplan, einen Notfallmodus-Betriebsplan sowie Test- und Revisionsverfahren.

Bewertung: Führen Sie regelmäßig technische und nichttechnische Bewertungen durch, um festzustellen, wie gut Ihre Sicherheitsmaßnahmen die Anforderungen der Sicherheitsregeln erfüllen.

Physische Schutzmaßnahmen

Zugangskontrollen für Einrichtungen: Implementieren Sie Richtlinien, die den physischen Zugang zu Einrichtungen und Systemen, die ePHI enthalten, auf autorisiertes Personal beschränken. Bei cloudbasierten Bereitstellungen geht diese Verpflichtung auf Ihren Cloud-Anbieter über (der eine BAA erfordert).

Workstation-Nutzung: Dokumentieren Sie geeignete Funktionen, die auf Workstations mit Zugriff auf ePHI ausgeführt werden, und physische Eigenschaften ihrer Umgebung.

Geräte- und Medienkontrollen: Dokumentieren Sie Verfahren für die Bewegung von Hardware und elektronischen Medien, die ePHI enthalten; Datensicherung vor Umzug; Datenlöschung/-vernichtung vor der Entsorgung.

Technische Sicherheitsmaßnahmen

Zugriffskontrollen: Implementieren Sie technische Mechanismen, um nur autorisierten Personen den Zugriff auf ePHI zu ermöglichen:

• Eindeutige Benutzeridentifikation für alle Benutzer des ePHI-Systems
• Verfahren für den Notfallzugang
• Automatische Abmeldung nach Leerlaufzeit
• Verschlüsselungs- und Entschlüsselungsfunktion

Prüfkontrollen: Implementieren Sie Hardware, Software und Verfahrensmechanismen, um Zugriffe und Aktivitäten in Systemen, die ePHI enthalten, aufzuzeichnen und zu untersuchen. Bewahren Sie Prüfprotokolle mindestens 6 Jahre lang auf.

Integritätskontrollen: Implementieren Sie Mechanismen, um sicherzustellen, dass ePHI nicht auf unbefugte Weise verändert oder zerstört wurde. Prüfsummen, digitale Signaturen oder Äquivalente.

Übertragungssicherheit: Implementieren Sie technische Sicherheitsmaßnahmen, um unbefugten Zugriff auf ePHI zu verhindern, die über ein Netzwerk übertragen werden. TLS 1.2+ für alle ePHI-Übertragungen.

Verschlüsselung: Obwohl technisch „adressierbar“ (nicht unbedingt erforderlich), gilt die Verschlüsselung von ePHI im Ruhezustand und bei der Übertragung als Standardpraxis und ist angesichts der alternativen Dokumentationslast de facto erforderlich. Verwenden Sie AES-256 für Daten im Ruhezustand, TLS 1.2+ für die Übertragung.

---

Geschäftspartnervereinbarungen

Eine BAA ist ein schriftlicher Vertrag, der vor der Weitergabe von PHI an einen Geschäftspartner erforderlich ist. Es muss enthalten:

• Festlegung zulässiger und erforderlicher Nutzungen und Offenlegungen von PHI durch die BA
• Anforderung, dass die BA PHI nicht verwendet oder offenlegt, es sei denn, dies ist im Vertrag gestattet oder erforderlich
• Anforderung, dass die BA geeignete Sicherheitsvorkehrungen trifft, um eine unbefugte Nutzung oder Offenlegung zu verhindern
• Verpflichtung, dem CE jeden Verstoß oder vermuteten Verstoß gegen PHI zu melden
• Anforderung, sicherzustellen, dass Subunternehmer denselben Einschränkungen zustimmen
• Zugriffs-, Änderungs- und Abrechnungsrechte für das CE
• Bei Beendigung, Rückgabe oder Zerstörung aller PHI (oder, falls undurchführbar, Fortsetzung des Schutzes)

Kritische BAA-Lücken, die es zu vermeiden gilt:

• Keine Erwähnung der Subunternehmerkette (Ihr BA nutzt AWS – AWS muss eine eigene BAA mit Ihnen oder Ihrem BA haben)
• BAA beschränkt sich auf bestimmte Dienstleistungen und nicht auf alle im Rahmen der Beziehung erhaltenen PHI – Es wurde kein Zeitrahmen für die Meldung von Verstößen angegeben
• Keine explizite Angabe erlaubter Nutzungen
• Keine Vernichtungs-/Rückgabepflicht bei Kündigung

Große Cloud-Anbieter (AWS, Azure, Google Cloud) bieten BAAs für ihre Kunden im Gesundheitswesen an – die BAA von AWS deckt eine bestimmte Liste HIPAA-fähiger Dienste ab. Stellen Sie sicher, dass jeder Service in Ihrem Stack, der ePHI berührt, durch eine BAA abgedeckt ist.

---

Regel zur Benachrichtigung bei Verstößen

Gemäß der von HITECH geänderten Breach Notification Rule (45 CFR Part 164, Subpart D) müssen betroffene Unternehmen Folgendes benachrichtigen:

1. Betroffene Personen: Ohne unangemessene Verzögerung, innerhalb von 60 Kalendertagen nach Entdeckung des Verstoßes. Erstklassige Post (oder E-Mail, wenn die Person sich dafür entschieden hat). Muss eine Beschreibung des Geschehens, die beteiligten PHI-Arten, die Schritte, die Einzelpersonen unternehmen sollten, und Kontaktinformationen enthalten.

2. HHS (OCR): Wenn der Verstoß mehr als 500 Personen betrifft, benachrichtigen Sie diese gleichzeitig (innerhalb von 60 Tagen) über das HHS-Webportal. Wenn weniger als 500, führen Sie ein Protokoll und reichen Sie es jährlich bis zum 1. März des folgenden Jahres ein.

3. Medien: Wenn der Verstoß mehr als 500 Einwohner eines Staates oder einer Gerichtsbarkeit betrifft, benachrichtigen Sie prominente Medienunternehmen, die diesen Bereich bedienen (neben der individuellen Benachrichtigung).

BAs müssen das betroffene Unternehmen unverzüglich und spätestens 60 Tage nach Entdeckung benachrichtigen.

Vermutung eines Verstoßes: Gemäß HITECH gilt jeder unzulässige Zugriff, jede unzulässige Verwendung oder Offenlegung von PHI als Verstoß, es sei denn, das CE oder BA weist eine geringe Wahrscheinlichkeit nach, dass PHI kompromittiert wurden, und zwar anhand einer Risikobewertung mit vier Faktoren: (1) Art und Ausmaß des PHI, (2) wer es verwendet oder darauf zugegriffen hat, (3) ob PHI tatsächlich erworben oder eingesehen wurde, (4) Ausmaß, in dem das Risiko gemindert wurde.

Sicherer Hafen für Verschlüsselung: Verstöße gegen verschlüsselte ePHI, bei denen der Entschlüsselungsschlüssel nicht ebenfalls kompromittiert wurde, sind von den Anforderungen zur Meldung von Verstößen ausgenommen – was die Verschlüsselung ruhender ePHI zu einer besonders wirksamen Strategie zur Risikominderung macht.

---

HIPAA-Checkliste für die technische Implementierung

• PHI-Bestandsaufnahme abgeschlossen – alle Datenelemente, Systeme und Abläufe dokumentiert
• Anonymisierungsanalyse abgeschlossen – PHI minimiert, wo eine Anonymisierung angebracht ist
• HIPAA-Sicherheitsbeauftragter benannt und dokumentiert
• Risikoanalyse abgeschlossen und dokumentiert (erforderlich gemäß §164.308(a)(1))
• Risikomanagementplan umgesetzt
• BAAs unterzeichnet mit allen Anbietern, die ePHI verarbeiten (Cloud-Anbieter, Analysetools, E-Mail-Dienste)
• Zugriffskontrolle mit eindeutigen Benutzer-IDs für alle Benutzer des ePHI-Systems implementiert
• MFA wird für den gesamten ePHI-Systemzugriff erzwungen
• Audit-Protokollierung auf allen ePHI-Systemen aktiviert (6 Jahre lang aufbewahrt)
• Automatisches Sitzungs-Timeout konfiguriert (maximal 15 Minuten)
• ePHI verschlüsselt im Ruhezustand (AES-256) und während der Übertragung (TLS 1.2+)
• Backup- und Disaster-Recovery-Verfahren dokumentiert und getestet
• HIPAA-Schulung der Belegschaft abgeschlossen und dokumentiert
• Verfahren zur Reaktion auf Vorfälle/Meldung von Verstößen dokumentiert
• Datenschutzhinweise (NPPs) veröffentlicht und den Patienten zur Verfügung gestellt
• Patientenrechteverfahren implementiert (Zugriff, Änderung, Abrechnung)
• Subunternehmerverträge kaskadieren die HIPAA-Verpflichtungen angemessen

---

Häufig gestellte Fragen

Muss unsere Telemedizin-App HIPAA-konform sein?

Wenn Ihre Telemedizin-App die Kommunikation zwischen Patienten und HIPAA-abgedeckten Einrichtungen (Ärzten, Krankenhäusern, Krankenkassen) erleichtert und Sie dabei PHI verwalten, sind Sie mit ziemlicher Sicherheit ein Geschäftspartner, der dem HIPAA unterliegt. Die Analyse hängt davon ab, ob Sie PHI im Namen eines abgedeckten Unternehmens erstellen, empfangen, pflegen oder übermitteln. Wenn Benutzer Ihrer App nur miteinander interagieren (Consumer-Wellness-App ohne CE-Beteiligung), gilt HIPAA möglicherweise nicht, die FTC Health Breach Notification Rule jedoch wahrscheinlich.

Wie hoch ist die Strafe für HIPAA-Verstöße?

Die zivilrechtlichen Geldstrafen im Rahmen des HIPAA sind nach Verschulden gestaffelt: unbekannter Verstoß (100–50.000 US-Dollar pro Verstoß, jährliche Höchstgrenze 25.000 US-Dollar); Angemessener Grund (1.000–50.000 US-Dollar pro Verstoß, jährliche Obergrenze 100.000 US-Dollar); vorsätzliche Vernachlässigung korrigiert (10.000–50.000 US-Dollar, jährliche Obergrenze 250.000 US-Dollar); Vorsätzliche Fahrlässigkeit, nicht korrigiert (50.000 US-Dollar pro Verstoß, 1,5 Millionen US-Dollar jährliche Obergrenze pro identischer Verstoßkategorie). Zu den strafrechtlichen Sanktionen (über das DOJ) können bis zu 10 Jahre Haft für die wissentliche Offenlegung mit der Absicht gehören, PHI zu verkaufen.

Können wir ePHI in AWS oder Azure speichern?

Ja, mit vorhandener BAA. Sowohl AWS als auch Azure bieten BAAs für bestimmte HIPAA-fähige Dienste an. Stellen Sie für AWS sicher, dass jeder Service in Ihrer Architektur im AWS BAA-Plan der HIPAA-berechtigten Services aufgeführt ist – einige Services (wie bestimmte Lambda-Schichten, einige S3-Funktionen) werden möglicherweise nicht abgedeckt. Ihr Team ist weiterhin für die sichere Konfiguration dieser Dienste verantwortlich; Die BAA verschiebt einen Teil der rechtlichen Verantwortung, macht Ihre Implementierung jedoch nicht automatisch konform.

Was ist der erforderliche Mindeststandard und wie wirkt er sich auf das App-Design aus?

Der erforderliche Mindeststandard erfordert, dass Sie nur auf die PHI-Elemente zugreifen, diese nutzen oder offenlegen, die für den jeweiligen Zweck erforderlich sind. In der Praxis bedeutet dies: Wenn Ihre Analysefunktion nur anonymisierte aggregierte Daten benötigt, rufen Sie keine vollständigen Patientenakten ab. Wenn Ihre Abrechnungsfunktion Anspruchsdaten benötigt, sollte sie keinen Zugriff auf klinische Notizen haben. Gestalten Sie Ihr System so, dass die Datenminimierung nach Rolle und Funktion und nicht nur nach Richtlinien erzwungen wird. Rollenbasierte Zugriffskontrolle und Datensegmentierung nach Funktion sind die wichtigsten technischen Implementierungen.

Wie interagiert HIPAA mit der DSGVO für globale digitale Gesundheitsplattformen?

Sie arbeiten parallel. HIPAA gilt für US-Gesundheitsdaten, unabhängig davon, wo sie verarbeitet werden. Die DSGVO gilt für personenbezogene Daten von EU-Bürgern, unabhängig davon, wo der Verantwortliche oder Auftragsverarbeiter seinen Sitz hat. Wenn Sie EU-Patientendaten haben, können beide gleichzeitig gelten. Die Rechtsgrundlagen und Rechte der betroffenen Personen der DSGVO sind getrennte Pflichten von den Mindestanforderungen und Patientenrechten der HIPAA. Die praktische Auswirkung: Möglicherweise müssen Sie sowohl einem HIPAA-Patientenzugriffsantrag als auch einem DSGVO-Subjektzugriffsantrag für denselben Patienten nachkommen und dabei Prozesse verwenden, die beiden Rahmenwerken entsprechen.

Ist unser Marketinganalysetool ein HIPAA Business Associate?

Möglicherweise ja, wenn es ePHI erhält. Viele digitale Gesundheitsunternehmen geben PHI versehentlich über URL-Parameter, Ereignismetadaten oder Benutzereigenschafts-Tags, die PHI enthalten, an Analysetools (Google Analytics, Mixpanel, Amplitude) weiter. Dies führte in den Jahren 2022–2023 zu erheblichen OCR-Durchsetzungsmaßnahmen gegen Krankenhäuser, die Tracking-Pixel verwendeten, die PHI an Meta und Google übermittelten. Überprüfen Sie alle Analyseintegrationen, stellen Sie sicher, dass ohne BAA keine PHI-Daten an Analysetools weitergegeben werden, und erwägen Sie den Einsatz datenschutzrechtlicher Analysen, die nur auf aggregierten oder nicht identifizierten Daten basieren.

---

Nächste Schritte

Der Aufbau HIPAA-konformer digitaler Gesundheitsplattformen erfordert von Anfang an sorgfältige Architekturentscheidungen – das Nachrüsten von Sicherheits- und Datenschutzkontrollen in ein bestehendes System ist deutlich teurer als der Einbau. Das Team von ECOSIRE kann Ihnen beim Entwurf, der Implementierung und der Dokumentation einer HIPAA-konformen technischen Architektur für Ihre digitale Gesundheitsplattform helfen.

Unsere Erfahrung umfasst die Entwicklung von Patientenportalen, EHR-Integrationsarchitektur, Telemedizin-Backend-Systeme und Gesundheitsanalyseplattformen – alle implementiert mit HIPAA-Konformität als grundlegende Designvorgabe.

Weitere Informationen: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. HIPAA-Anforderungen sind komplex und faktenspezifisch. Beauftragen Sie einen qualifizierten Rechtsberater im Gesundheitswesen und einen HIPAA-Compliance-Beauftragten mit spezifischen Ratschlägen für Ihr Unternehmen.