Leitfaden für die HIPAA-konforme Nutzung von Looker Studio

Gemäß dem US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA) gelten bestimmte Informationen zur Gesundheit einer Person oder zu Gesundheitsdienstleistungen als „Geschützte Gesundheitsdaten“ (Protected Health Information, PHI).

Google legt großen Wert auf den Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten. Looker Studio ist im Rahmen der Geschäftspartner-Vereinbarung ( Google Cloud Platform Business Associate Agreement, BAA) für die HIPAA-Compliance konform. Letztlich sind Kunden jedoch selbst für ihre HIPAA-Compliance verantwortlich.

Diese Seite soll Sicherheits- und Compliance-Beauftragten, IT-Administratoren und anderen Mitarbeitern, die in ihrer Organisation für die HIPAA-Compliance verantwortlich sind, dabei helfen, Looker Studio HIPAA-konform zu verwenden.

Haftungsausschluss

Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde ist selbst dafür verantwortlich, dass seine eigene Nutzung von Looker Studio den geltenden Rechtsvorschriften entspricht.

Pflichten der Kunden

Looker Studio-Kunden müssen selbst in Erfahrung bringen, ob sie HIPAA unterliegen und ob sie Looker Studio in Verbindung mit PHI verwenden oder dies beabsichtigen. Kunden, die dem HIPAA unterliegen und Looker Studio mit PHI nutzen möchten, müssen eine BAA für die Google Cloud -Plattform mit Google unterzeichnen, bevor sie fortfahren. Kunden, die keine entsprechende BAA mit Google unterzeichnet haben, dürfen Looker Studio nicht mit PHI verwenden.  Die bisherige BAA für Looker Studio kann von Neukunden nicht mehr akzeptiert werden.

Weitere Informationen zur HIPAA-Compliance auf der Google Cloud -Plattform

Looker Studio mit PHI verwenden

Kunden, die dem HIPAA unterliegen, können Looker Studio gemäß der BAA mit PHI verwenden, sofern sie Looker Studio HIPAA-konform konfiguriert haben.

Google Workspace- und Cloud Identity-Kunden

In der Admin-Konsole können bestimmte Einstellungen vorgenommen werden, um dafür zu sorgen, dass Daten möglichst sicher sind und nur gemäß Ihren Anforderungen verwendet und abgerufen werden. Mit den folgenden praktischen Tipps lassen sich bestimmte Probleme vermeiden.

Kontoaktivitäten beobachten

Die Berichte und Protokolle der Admin-Konsole bieten viele Möglichkeiten. So können Sie beispielsweise leicht nach potenziellen Sicherheitsrisiken suchen, die Zusammenarbeit von Nutzern messen, Anmeldeaktivitäten erfassen und Administratoraktivitäten analysieren. Damit Administratoren immer direkt über Warnungen und verdächtige Ereignisse in Protokollen informiert werden, lassen sich entsprechende Benachrichtigungen konfigurieren. Administratoren können auch selbst regelmäßig Berichte und Protokolle auf potenzielle Sicherheitsrisiken überprüfen. Im Bericht der Admin-Konsole in Looker Studio ist beispielsweise zu sehen, welche Dateien für externe Nutzer freigegeben wurden. Administratoren sollten diese Berichte regelmäßig für Mitarbeiter erstellen lassen, die PHI verwalten, damit diese Daten nicht versehentlich freigegeben werden.

Freigabeoptionen

Looker Studio-Nutzer können die Bearbeitungs- und Freigabeberechtigungen von Mitbearbeitern festlegen, wenn sie Looker Studio-Assets freigeben. Der Name solcher Assets sollte nicht „PHI“ enthalten.

Administratoren können die Berechtigungen für die Dateifreigabe an die Sichtbarkeitseinstellungen des Workspace- oder Cloud Identity-Kontos anpassen. Außerdem können sie Nutzern untersagen oder erlauben, Dokumente außerhalb der Domain freizugeben. Wir empfehlen Ihnen, die Berechtigungen für die Dateifreigabe so zu konfigurieren, dass es Nutzern, die mit PHI arbeiten, nicht möglich ist, Looker Studio-Assets außerhalb Ihrer Organisation freizugeben.

Technische Supportdienste

Sie dürfen keine PHI an Google senden, wenn Sie die technischen Supportdienste von Looker Studio nutzen.

Weitere Informationen

Der Schutz, die Sicherheit und die ständige Verfügbarkeit der Kundendaten haben bei Google höchste Priorität. Zusätzlich zur Implementierung der Google Cloud -Geschäftspartnervereinbarung können wir die Einhaltung branchenüblicher Sicherheitsstandards mit mehreren Zertifizierungen für Looker Studio belegen.