HIPAA-Compliance auf der Google Cloud Platform

In diesem Leitfaden wird die HIPAA-Compliance auf der Google Cloud Platform besprochen. Die HIPAA-Compliance für die G Suite wird separat behandelt.

Haftungsausschluss

Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde muss seine eigene konkrete Nutzung der Dienste jeweils eigenständig bestimmen, um die Einhaltung der gültigen Rechtsvorschriften zu gewährleisten.

Zielgruppe

Für Kunden, die das US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA, in der jeweils gültigen Fassung, inklusive Änderungen durch das HITECH-Gesetz, Health Information Technology for Economic and Clinical Health Act) erfüllen müssen, unterstützt die Google Cloud Platform die HIPAA-Compliance. Dieser Leitfaden richtet sich an Sicherheitsbeauftragte, Compliancemitarbeiter, IT-Administratoren und andere Mitarbeiter, die für die HIPAA-Implementierung und -Compliance auf der Google Cloud Platform zuständig sind. In diesem Leitfaden erfahren Sie, wie Google die HIPAA-Compliance unterstützt und wie Google Cloud-Projekte konfiguriert werden müssen, damit Sie Ihre Verpflichtungen gemäß HIPAA erfüllen können.

Definitionen

Alle Begriffe, die in diesem Dokument verwendet, aber nicht anderweitig definiert wurden, haben die gleiche Bedeutung wie unter HIPAA festgelegt. Im Zusammenhang mit diesem Dokument bezieht sich der Begriff "geschützte Gesundheitsdaten" (Protected Health Information, PHI) auf solche PHI, die Google von einer betroffenen Rechtspersönlichkeit empfängt.

Übersicht

Beachten Sie, dass es keine Zertifizierung vom Ministerium für Gesundheitspflege und Soziale Dienste in den USA (U.S. Department of Health and Human Services, HHS) für HIPAA-Compliance gibt und dass die Befolgung von HIPAA in der gemeinsamen Verantwortung des Kunden und Google liegt. HIPAA fordert insbesondere die Einhaltung der Sicherheitsregeln (Security Rule), der Datenschutzregeln (Privacy Rule) und der Regeln zur Benachrichtigung bei Sicherheitsverletzungen (Breach Notification Rule). Die Google Cloud Platform unterstützt die HIPAA-Compliance zwar im Rahmen einer Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA), letztendlich müssen die Kunden jedoch ihre HIPAA-Compliance selbstständig beurteilen.

Google schließt bei Bedarf BAAs mit Kunden gemäß HIPAA ab. Die Google Cloud Platform wurde unter der Leitung eines mehr als 700 Personen umfassenden Sicherheitstechnikteams entwickelt, das größer als die meisten lokalen Sicherheitsteams ist. Ausführliche Informationen zu unserem Sicherheits- und Datenschutzkonzept finden Sie im Whitepaper zur Sicherheit bei Google und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google. Dort erhalten Sie auch Informationen zu organisatorischen und technischen Kontrollen in Bezug auf den Schutz Ihrer Daten durch Google.

Neben der Dokumentation unseres Sicherheits- und Datenschutzansatzes unterzieht sich Google regelmäßig Prüfungen durch verschiedene unabhängige Drittanbieter, um Kunden eine externe Verifizierung zur Verfügung zu stellen. Die entsprechenden Berichte und Zertifikate sind nachfolgend verlinkt. Das heißt, dass die Sicherheitsvorkehrungen in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb durch einen unabhängigen Prüfer auditiert wurden. Google wird jährlich auf Grundlage der folgenden Standards geprüft:

  • SSAE16/ISAE 3402 Typ II: Hier finden Sie den zugehörigen öffentlichen SOC 3-Bericht. Der SOC 2-Bericht kann nach Unterzeichnung einer Vertraulichkeitsvereinbarung (Non Disclosure Agreement, NDA) bezogen werden.
  • ISO 27001: Sämtliche Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren von Google, die zur Bereitstellung der Google Cloud Platform eingesetzt werden, sind nach ISO 27001 zertifiziert. Das ISO 27001-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • ISO 27017 – Cloud Security: Dies ist ein speziell auf Clouddienste ausgerichteter internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit auf der Basis von ISO/IEC 27002. Das ISO 27017-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • ISO 27018 – Cloud Privacy: Dies ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen (Personally Identifiable Information, PII) in öffentlichen Clouddiensten. Das ISO 27018-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • FedRAMP ATO
  • PCI DSS v3.2

Die umfassenden Prüfungen durch unabhängige Drittanbieter belegen nicht nur die Vertraulichkeit, Integrität und Verfügbarkeit der Google-Umgebung, sondern auch unser Engagement in Bezug auf die Bereitstellung marktführender Informationssicherheit. Anhand dieser unabhängigen Prüfberichte können unsere Kunden einschätzen, inwieweit unsere Produkte ihren Anforderungen in Bezug auf die HIPAA-Compliance gerecht werden.

Pflichten der Kunden

Eine der Hauptaufgaben der Kunden ist es, festzustellen, ob sie eine betroffene Rechtspersönlichkeit oder ein Geschäftspartner einer betroffenen Rechtspersönlichkeit sind und ob sie in diesem Fall eine BAA mit Google benötigen, um interagieren zu können.

Obwohl Google wie oben beschrieben eine sichere und rechtskonforme Infrastruktur für das Speichern und Verarbeiten von PHI bietet, müssen sich die Kunden selbst davon überzeugen, dass die Umgebung und Anwendungen, die sie über die Google Cloud Platform erstellen, ordnungsgemäß konfiguriert und gemäß den HIPAA-Anforderungen gesichert sind. Dies wird in der Cloud häufig als gemeinsames Sicherheitsmodell bezeichnet.

Nachfolgend finden Sie die wichtigsten Best Practices:

  • Unterzeichnen Sie eine BAA für die Google Cloud. Diese erhalten Sie direkt von Ihrem Account Manager.
  • Deaktivieren Sie Google Cloud-Produkte, die nicht ausdrücklich durch die BAA abgedeckt sind (siehe Abgedeckte Produkte), oder stellen Sie anderweitig sicher, dass Sie diese nicht nutzen, wenn Sie mit PHI arbeiten.

Nachfolgend finden Sie empfohlene technische Best Practices:

  • Gehen Sie nach den Best Practices für IAM vor, wenn Sie festlegen, wer Zugriff auf Ihr Projekt hat. Da mithilfe von Dienstkonten auf Ressourcen zugegriffen werden kann, sollten Sie vor allem dafür sorgen, dass der Zugriff auf diese Dienstkonten und Dienstkontoschlüssel streng kontrolliert wird.
  • Ermitteln Sie, ob Ihr Unternehmen Verschlüsselungsanforderungen hat, die über die HIPAA-Sicherheitsregeln hinausgehen. Auf der Google Cloud Platform werden alle Kundeninhalte im inaktiven Zustand verschlüsselt. Weitere Informationen und Ausnahmen davon finden Sie im Whitepaper zum Thema Verschlüsselung.
  • Wenn Sie Cloud Storage nutzen, sollten Sie die Aktivierung der Objektversionsverwaltung in Betracht ziehen, um ein Archiv für diese Daten zu haben und Daten wiederherstellen zu können, wenn sie versehentlich gelöscht wurden. Befolgen Sie außerdem die Anweisungen in den Hinweisen zu Sicherheit und Datenschutz, bevor Sie gsutil verwenden, um mit Cloud Storage zu interagieren.
  • Konfigurieren Sie die Exportziele für die Audit-Logs. Wir empfehlen Ihnen dringend, die Audit-Logs in Cloud Storage zu exportieren, um sie langfristig zu archivieren. Außerdem sollten Sie sie in BigQuery exportieren, damit sie analysiert, überwacht und/oder forensisch untersucht werden können. Vergessen Sie nicht, in Ihrem Unternehmen eine entsprechende Zugriffssteuerung für diese Ziele zu konfigurieren.
  • Konfigurieren Sie die Zugriffssteuerung für die Logs, die für Ihr Unternehmen relevant sind. Audit-Logs zu Administratoraktivitäten können von Nutzern mit der Rolle "Log-Betrachter" aufgerufen werden, Audit-Logs zum Datenzugriff von Nutzern mit der Rolle "Betrachter privater Logs".
  • Überprüfen Sie Audit-Logs regelmäßig, um dafür zu sorgen, dass sie sicher sind und die Anforderungen erfüllen. Wie oben erwähnt, ist BigQuery eine hervorragende Plattform für umfangreiche Loganalysen. Sie können auch die SIEM-Plattformen unserer Drittanbieterintegrationen nutzen, um die Compliance durch Loganalysen nachzuweisen.
  • Wenn Sie Indexe in Cloud Datastore erstellen oder konfigurieren, verschlüsseln Sie alle PHI, Sicherheitsanmeldedaten oder anderen sensiblen Daten, bevor Sie sie für den Index als Entitätsschlüssel bzw. Schlüssel oder Wert eines indexierten Attributs verwenden. Weitere Informationen zum Erstellen und Konfigurieren von Indexen finden Sie in der Cloud Datastore-Dokumentation.
  • Achten Sie beim Erstellen oder Aktualisieren von Dialogflow Enterprise-Agents darauf, keine PHI oder Sicherheitsanmeldedaten anzugeben. Dazu gehören auch Intents, Trainingsformulierungen und Entitäten.
  • Achten Sie beim Erstellen oder Aktualisieren von Ressourcen darauf, keine PHI oder Sicherheitsanmeldedaten anzugeben, wenn Sie die Metadaten einer Ressource festlegen, da diese in den Logs erfasst werden können. Audit-Logs enthalten niemals den Dateninhalt einer Ressource oder die Ergebnisse einer Abfrage, Ressourcen-Metadaten können jedoch erfasst werden.

Abgedeckte Produkte

Die BAA für die Google Cloud deckt die gesamte Infrastruktur der GCP ab, d. h. alle Regionen, Zonen, Netzwerkpfade und alle Points of Presence sowie die folgenden Produkte:

  • App Engine
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Console
  • Cloud Composer
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Quell-Repositories
  • Cloud Spanner
  • Cloud Speech API
  • Cloud SQL für MySQL
  • Cloud SQL für PostgreSQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Translation API
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow Enterprise Edition
  • Google Service Management
  • Kubernetes Engine
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Transfer Appliance Service
  • Virtual Private Cloud

Eine aktuelle Liste der abgedeckten Produkte finden Sie auf der Compliance-Website von Google Cloud. Diese Liste wird aktualisiert, sobald neue Produkte ins HIPAA-Programm aufgenommen werden.

Besondere Funktionen

Dank der Sicherheitspraktiken der GCP verfügen wir über eine HIPAA-BAA, die die gesamte Infrastruktur der GCP abdeckt, nicht nur einen bestimmten Teil unserer Cloud. Daher sind Sie nicht auf eine bestimmte Region beschränkt, was Vorteile in Bezug auf die Skalierbarkeit, die Betriebsabläufe und die Architektur hat. Sie können außerdem von einer multiregionalen Dienstredundanz und der Nutzung von VMs auf Abruf zur Reduzierung der Kosten profitieren.

Die Sicherheits- und Compliance-Maßnahmen, mit denen wir die HIPAA-Compliance fördern, sind tief in unserer Infrastruktur, unserem Sicherheitsdesign und unseren Produkten verwurzelt. Somit können wir Kunden, die den HIPAA-Bestimmungen unterliegen, dieselben Produkte zum selben Preis wie allen anderen Kunden anbieten. Das schließt auch Rabatte für die kontinuierliche Nutzung mit ein. Andere öffentliche Cloudanbieter berechnen für ihre HIPAA-Cloud einen höheren Preis. Wir nicht.

Fazit

Die Google Cloud Platform ist eine Cloudinfrastruktur, in der Kunden Gesundheitsdaten sicher speichern, analysieren und auswerten können, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit: