HIPAA-Compliance in Google Cloud

In diesem Leitfaden wird die HIPAA-Compliance auf der Google Cloud Platform erörtert. Die HIPAA-Compliance von Google Workspace wird separat behandelt.

Haftungsausschluss

Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde muss seine eigene konkrete Nutzung der Dienste jeweils eigenständig bestimmen, um die Einhaltung der gültigen Rechtsvorschriften zu gewährleisten.

Zielgruppe

Für Kunden, die das US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA, in der jeweils gültigen Fassung, inklusive Änderungen durch das HITECH-Gesetz, Health Information Technology for Economic and Clinical Health Act) erfüllen müssen, unterstützt die Google Cloud Platform die HIPAA-Compliance. Dieser Leitfaden richtet sich an Sicherheitsbeauftragte, Compliancebeauftragte, IT-Administratoren und andere Mitarbeiter, die für die HIPAA-Implementierung und -Compliance auf der Google Cloud Platform zuständig sind. In diesem Leitfaden erfahren Sie, wie Google die HIPAA-Compliance unterstützt und wie Google Cloud-Projekte konfiguriert werden müssen, damit Sie Ihre Verpflichtungen gemäß HIPAA erfüllen können.

Definitionen

Alle Begriffe, die in diesem Dokument verwendet, aber nicht anderweitig definiert wurden, haben die gleiche Bedeutung wie unter HIPAA festgelegt. Im Zusammenhang mit diesem Dokument bezieht sich der Begriff "geschützte Gesundheitsdaten" (Protected Health Information, PHI) auf solche PHI, die Google von einer betroffenen Rechtspersönlichkeit empfängt.

Übersicht

Beachten Sie, dass es keine Zertifizierung vom Ministerium für Gesundheitspflege und Soziale Dienste in den USA (U.S. Department of Health and Human Services, HHS) für HIPAA-Compliance gibt und dass die Befolgung von HIPAA in der gemeinsamen Verantwortung des Kunden und von Google liegt. HIPAA fordert insbesondere die Einhaltung der Sicherheitsregeln (Security Rule), der Datenschutzregeln (Privacy Rule) und der Regeln zur Benachrichtigung bei Sicherheitsverletzungen (Breach Notification Rule). Die Google Cloud Platform fördert die HIPAA-Compliance zwar im Rahmen einer Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA), letztendlich müssen die Kunden jedoch ihre HIPAA-Compliance selbstständig beurteilen.

Google schließt bei Bedarf BAAs mit Kunden gemäß HIPAA ab. Google Cloud wurde unter der Leitung eines mehr als 700 Personen umfassenden Sicherheitstechnikteams entwickelt, das größer als die meisten lokalen Sicherheitsteams ist. Ausführliche Informationen zu unserem Sicherheits- und Datenschutzkonzept finden Sie im Whitepaper zur Sicherheit bei Google und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google. Dort erhalten Sie auch Informationen zu organisatorischen und technischen Kontrollen in Bezug auf den Schutz Ihrer Daten durch Google.

Neben der Dokumentation unseres Sicherheits- und Datenschutzansatzes unterzieht sich Google regelmäßig Prüfungen durch verschiedene unabhängige Drittanbieter, um Kunden eine externe Verifizierung zur Verfügung zu stellen. Die entsprechenden Berichte und Zertifikate sind nachfolgend verlinkt. Das heißt, dass die Sicherheitsvorkehrungen in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb durch einen unabhängigen Prüfer auditiert wurden. Google wird jährlich auf Grundlage der folgenden Standards geprüft:

  • SSAE 16 / ISAE 3402 Typ II. Hier finden Sie den zugehörigen öffentlichen SOC 3-Bericht. Der SOC 2-Bericht kann nach Unterzeichnung einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) bezogen werden.
  • ISO 27001: Sämtliche Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren von Google, die zur Bereitstellung der Google Cloud Platform eingesetzt werden, sind nach ISO 27001 zertifiziert. Das ISO 27001-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • ISO 27017 – Cloud Security: Dies ist ein speziell auf Cloud-Dienste ausgerichteter internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit auf der Basis von ISO/IEC 27002. Das ISO 27017-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • ISO 27018 – Cloud Privacy: Dies ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen (Personally Identifiable Information, PII) in öffentlichen Cloud-Diensten. Das ISO 27018-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Die umfassenden Prüfungen durch unabhängige Drittanbieter belegen nicht nur die Vertraulichkeit, Integrität und Verfügbarkeit der Google-Umgebung, sondern auch unser Engagement in Bezug auf die Bereitstellung marktführender Informationssicherheit. Anhand dieser unabhängigen Prüfberichte können unsere Kunden einschätzen, inwieweit unsere Produkte ihren Anforderungen in Bezug auf die HIPAA-Compliance gerecht werden.

Pflichten der Kunden

Eine der Hauptaufgaben der Kunden ist es, festzustellen, ob sie eine betroffene Rechtspersönlichkeit oder ein Geschäftspartner einer betroffenen Rechtspersönlichkeit sind und ob sie in diesem Fall eine BAA mit Google benötigen, um interagieren zu können.

Obwohl Google, wie oben beschrieben, eine sichere und rechtskonforme Infrastruktur für das Speichern und Verarbeiten von PHI bietet, müssen sich Kunden selbst davon überzeugen, dass die Umgebung und Anwendungen, die sie über die Google Cloud Platform erstellen, ordnungsgemäß konfiguriert und gemäß den HIPAA-Anforderungen gesichert sind. Dies wird in der Cloud häufig als gemeinsames Sicherheitsmodell bezeichnet.

Nachfolgend finden Sie die wichtigsten Best Practices:

  • Unterzeichnen Sie eine BAA für die Google Cloud. Diese erhalten Sie direkt von Ihrem Account Manager.
  • Deaktivieren Sie Google Cloud-Produkte, die nicht ausdrücklich durch die BAA abgedeckt sind (siehe Abgedeckte Produkte), oder stellen Sie anderweitig sicher, dass Sie diese nicht nutzen, wenn Sie mit PHI arbeiten.
  • Verwenden Sie Pre-GA-Angebote (Produkte oder Dienste, die im Rahmen des Google Cloud Pre-General Availability Program angeboten werden oder andere Pre-GA-Angebote wie in den dienstspezifischen Nutzungsbedingungen von Google definiert) nicht in Verbindung mit PHI, es sei denn, in einem Hinweis oder anderen Bedingungen des Angebots ist ausdrücklich etwas anderes angegeben.

Nachfolgend finden Sie empfohlene technische Best Practices:

  • Gehen Sie nach den Best Practices für IAM vor, wenn Sie festlegen, wer Zugriff auf Ihr Projekt hat. Da mithilfe von Dienstkonten auf Ressourcen zugegriffen werden kann, sollten Sie vor allem dafür sorgen, dass der Zugriff auf diese Dienstkonten und Dienstkontoschlüssel streng kontrolliert wird.
  • Ermitteln Sie, ob Ihr Unternehmen Verschlüsselungsanforderungen hat, die über die HIPAA-Sicherheitsregeln hinausgehen. Alle Kundeninhalte werden im inaktiven Zustand in Google Cloud verschlüsselt. Weitere Informationen und Ausnahmen finden Sie in unserem Whitepaper zur Verschlüsselung.
  • Wenn Sie Cloud Storage nutzen, sollten Sie die Aktivierung der Objektversionsverwaltung in Betracht ziehen, um ein Archiv für diese Daten zu haben und Daten wiederherstellen zu können, wenn sie versehentlich gelöscht wurden.
  • Konfigurieren Sie die Exportziele für die Audit-Logs. Wir empfehlen Ihnen dringend, die Audit-Logs nach Cloud Storage zu exportieren, um sie langfristig zu archivieren. Außerdem sollten Sie sie nach BigQuery exportieren, damit sie analysiert, überwacht und/oder forensisch untersucht werden können. Vergessen Sie nicht, in Ihrem Unternehmen eine entsprechende Zugriffssteuerung für diese Ziele zu konfigurieren.
  • Konfigurieren Sie die Zugriffssteuerung für die Logs, die für Ihr Unternehmen relevant sind. Audit-Logs zu Administratoraktivitäten können von Nutzern mit der Rolle "Log-Betrachter" aufgerufen werden, Audit-Logs zum Datenzugriff von Nutzern mit der Rolle "Betrachter privater Logs".
  • Überprüfen Sie Audit-Logs regelmäßig, um dafür zu sorgen, dass sie sicher sind und die Anforderungen erfüllen. Wie oben erwähnt, ist BigQuery eine hervorragende Plattform für umfangreiche Loganalysen. Sie können auch die SIEM-Plattformen unserer Drittanbieterintegrationen nutzen, um die Compliance durch Loganalysen nachzuweisen.
  • Wenn Sie Indexe in Cloud Datastore erstellen oder konfigurieren, verschlüsseln Sie alle PHI, Sicherheitsanmeldedaten oder anderen sensiblen Daten, bevor Sie sie für den Index als Entitätsschlüssel bzw. Schlüssel oder Wert eines indexierten Attributs verwenden. Weitere Informationen zum Erstellen und Konfigurieren von Indexen finden Sie in der Cloud Datastore-Dokumentation.
  • Achten Sie beim Erstellen oder Aktualisieren von Dialogflow-Agents darauf, keine PHI oder Sicherheitsanmeldedaten anzugeben. Dazu gehören auch Intents, Trainingsformulierungen und Entitäten.
  • Achten Sie beim Erstellen oder Aktualisieren von Ressourcen darauf, keine PHI oder Sicherheitsanmeldedaten anzugeben, wenn Sie die Metadaten einer Ressource festlegen, da diese in den Logs erfasst werden können. Audit-Logs enthalten niemals den Dateninhalt einer Ressource oder die Ergebnisse einer Abfrage, Ressourcen-Metadaten können jedoch erfasst werden.
  • Halten Sie sich an die Empfehlungen für Identity Platform, wenn Sie Identity Platform für Ihr Projekt nutzen.
  • Wenn Sie Cloud Build-Dienste für die kontinuierliche Integration oder Entwicklung verwenden, sollten Sie PHI nicht in Build-Konfigurationsdateien, Quellcodesteuerdateien oder andere Build-Artefakte einfügen oder in diesen speichern.
  • Wenn Sie Looker (Google Cloud Core) verwenden, sollten Personen, die vom Kunden mit der Verwaltung der Instanzen oder Ressourcen beauftragt wurden, die Sicherheitskonfigurationen für Anwendungen und Integrationen von Drittanbietern sowie alle entsprechenden Sicherheits- und Datenschutzdokumentationen, die von der Drittanbieteranwendung bereitgestellt werden, prüfen.
  • Wenn Sie Looker (Google Cloud Core) zum Strukturieren von Abfragen verwenden, sollten Sie PHI nicht in die Geschäftslogik aufnehmen oder speichern, die zur Konfiguration solcher Abfragen verwendet wird. Informationen zum Strukturieren von Abfragen finden Sie in der Dokumentation.
  • Wenn Sie Cloud CDN verwenden, dürfen Sie kein Caching geschützter PHI anfordern. Weitere Informationen dazu, wie Sie Caching verhindern, finden Sie in der Cloud CDN-Dokumentation.
  • Wenn Sie Cloud Speech-to-Text verwenden und im Einklang mit HIPAA mit Google eine BAA in Bezug auf Verpflichtungen beim Umgang mit geschützten Gesundheitsdaten abgeschlossen haben, sollten Sie nicht am Daten-Logging-Programm teilnehmen.
  • Wenn Sie die Google Cloud VMware Engine verwenden, liegt es in Ihrer Verantwortung, die Zugriffslogs auf Anwendungsebene für einen angemessenen Zeitraum aufzubewahren, um die HIPAA-Anforderungen zu erfüllen.
  • Achten Sie beim Konfigurieren von Sensitive Data Protection-Jobs darauf, dass alle Ausgabedaten in Speicherziele geschrieben werden, die als Teil Ihrer sicheren Umgebung konfiguriert sind.
  • Lesen und befolgen Sie die Best Practices für Secret Manager, wenn Sie Secrets in Secret Manager speichern.
  • Artifact Registry verschlüsselt Daten in Repositories entweder mit der Standardverschlüsselung von Google oder mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK). Metadaten wie Artefaktnamen werden mit der Standardverschlüsselung von Google verschlüsselt. Diese Metadaten können in Logs enthalten sein und sind für jeden Nutzer mit Berechtigungen der Rollen „Artifact Registry-Leser“ oder „-Betrachter“ sichtbar. Folgen Sie der Anleitung unter Artefakte sichern, um den unbefugten Zugriff auf PHI zu verhindern.
  • Container Registry verschlüsselt Daten in den Speicher-Buckets Ihrer Registrys entweder mit der Google-Standardverschlüsselung oder mit einem CMEK. Folgen Sie den Best Practices für Container, um den unbefugten Zugriff auf PHI zu verhindern.
  • Wenn Sie Filestore verwenden, nutzen Sie die IP-basierte Zugriffssteuerung, um einzuschränken, welche Compute Engine-VMs und GKE-Cluster auf die Filestore-Instanz zugreifen können. Erwägen Sie die Verwendung von Sicherungen, um die Datenwiederherstellung im Fall eines versehentlichen Löschens von Daten zu ermöglichen.
  • Wenn Sie Cloud Monitoring verwenden, speichern Sie PHI nicht in Metadaten in Google Cloud, einschließlich Messwertlabels, VM-Labels, GKE-Ressourcen-Annotationen oder Dashboard-Titeln/-Inhalten. Jeder, der über IAM zum Aufrufen Ihrer Monitoring-Konsole oder zur Verwendung der Cloud Monitoring API autorisiert ist, kann diese Daten sehen. Fügen Sie PHI nicht in Benachrichtigungskonfigurationen (z.B. Anzeigename oder Dokumentation) ein, die an Empfänger der Benachrichtigung gesendet werden könnten.
  • Verwenden Sie bei der Verwendung von reCAPTCHA Enterprise keine PHI in URIs oder Aktionen.
  • Wenn Sie API Gateway verwenden, sollten Header keine PHI oder personenidentifizierbare Informationen enthalten.
  • Verwenden Sie für Database Migration Service eine private IP-Verbindungsmethode, um zu vermeiden, dass eine Datenbank mit PHI im Internet verfügbar gemacht werden muss.
  • Wenn Sie Dataplex verwenden, sollten die Werte der Felder google.cloud.datacatalog.lineage.v1.Process.attributes und google.cloud.datacatalog.lineage.v1.Run.attributes keine PHI oder personenidentifizierbare Informationen enthalten.
  • Verwenden Sie bei Verwendung von Vertex AI Search regionale APIs und Ressourcenstandorte für PHI.
  • Wenn Sie Application Integration und Integration Connectors verwenden, geben Sie keine personenidentifizierbaren Informationen, PHI oder andere vertrauliche Informationen in den Integrationsparameter, den Verbindungsnamen oder die Verbindungskonfiguration an, da diese Informationen protokolliert werden können. Konfigurieren Sie die Zugriffssteuerung für Logs, wenn die angeforderte Nutzlast sensible Daten enthält. Bei einigen dateibasierten Connectors und Webhook-basierten Ereignissen, die von Integration Connectors angeboten werden, werden die Daten vorübergehend gespeichert. Kunden haben die Kontrolle über die Verschlüsselung dieser Daten mit einem Schlüssel ihrer Wahl mithilfe von CMEK.

Abgedeckte Produkte

Die BAA für Google Cloud deckt die gesamte Infrastruktur von Google Cloud (alle Regionen, Zonen, Netzwerkpfade, alle Points of Presence) sowie die folgenden Produkte ab:

  • Zugriffsgenehmigung
  • Access Context Manager
  • Access Transparency
  • AI Platform Data Labeling
  • AI Platform Training und Prediction
  • AlloyDB for PostgreSQL
  • API Gateway
  • Apigee
  • App Engine
  • Application Integration
  • Artifact Registry
  • Assured Workloads
  • AutoML Natural Language
  • AutoML Tables
  • AutoML Translation
  • AutoML Video
  • AutoML Vision
  • Bare-Metal-Lösung
  • Batch
  • BigQuery
  • BigQuery Data Transfer Service
  • BigQuery Omni
  • Bigtable
  • Binärautorisierung
  • Cloud Asset Inventory
  • Cloud-Sicherung und -Notfallwiederherstellung
  • Cloud Build
  • Cloud CDN
  • Cloud Composer
  • Cloud Console
  • Cloud Data Fusion
  • Cloud Deploy
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Functions
  • Cloud Healthcare API
  • Cloud HSM
  • Cloud Identity
  • Cloud IDS
  • Cloud Interconnect
  • Cloud Key Management Service
  • Cloud Life Sciences (früher Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Monitoring
  • Cloud NAT – Network Address Translation
  • Cloud Natural Language API
  • Cloud Profiler
  • Cloud Router
  • Cloud Run (vollständig verwaltet)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation
  • Cloud Vision
  • Cloud VPN
  • Colab Enterprise
  • Compute Engine
  • Config Management
  • Verbinden
  • Contact Center AI
  • Contact Center AI Insights
  • Contact Center AI Agent Assist
  • Container Registry
  • Database Migration Service
  • Data Catalog
  • Dataflow
  • Dataform
  • Datalab
  • Dataplex
  • Dataproc
  • Datastore
  • Datastream
  • Dialogflow
  • Document AI
  • Document AI Warehouse
  • Eventarc
  • Firestore
  • Generative AI in Vertex AI
  • GKE Hub
  • Google Cloud App
  • Google Cloud Armor
  • Google Cloud Identity-Aware Proxy
  • Google Cloud VMware Engine (GCVE)
  • Google Kubernetes Engine
  • Healthcare Data Engine
  • Looker (Google Cloud Core)
  • Looker Studio*
  • Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM)
  • Identity Platform
  • Integration Connectors
  • IoT Core
  • Key Access Justifications (KAJ)
  • Managed Service for Microsoft Active Directory (AD)
  • Memorystore
  • Netzwerkdienststufen
  • Persistent Disk
  • Pub/Sub
  • Risk Manager
  • reCAPTCHA Enterprise
  • Resource Manager API
  • Secret Manager
  • Security Command Center
  • Schutz sensibler Daten
  • Dienstnutzerverwaltung
  • Service Control
  • Service Directory
  • Dienstverwaltung
  • Service Mesh
  • Spanner
  • Speech-to-Text
  • Storage Transfer Service
  • Text-to-Speech
  • Traffic Director
  • Transfer Appliance
  • Vertex AI Platform (früher Vertex AI)
  • Vertex AI Search
  • Video Intelligence API
  • Virtual Private Cloud
  • VPC Service Controls
  • Web Security Scanner
  • Vertex AI Workbench-Instanzen
  • Workflows

* Vorausgesetzt, der Kunde hat sich dafür entschieden, dass Looker Studio seiner Google Cloud-Vereinbarung unterliegen soll.

Diese Liste wird aktualisiert, sobald neue Produkte ins HIPAA-Programm aufgenommen werden.

Besondere Funktionen

Durch die Sicherheitspraktiken von Google Cloud haben wir eine HIPAA-BAA, die die gesamte Infrastruktur von Google Cloud abdeckt, nicht nur einen bestimmten Teil unserer Cloud. Daher sind Sie nicht auf eine bestimmte Region beschränkt, was Vorteile in Bezug auf die Skalierbarkeit, die Betriebsabläufe und die Architektur hat. Sie können außerdem von einer multiregionalen Dienstredundanz und der Nutzung von VMs auf Abruf zur Reduzierung der Kosten profitieren.

Die Sicherheits- und Compliance-Maßnahmen, mit denen wir die HIPAA-Compliance fördern, sind tief in unserer Infrastruktur, unserem Sicherheitsdesign und unseren Produkten verwurzelt. Somit können wir Kunden, die den HIPAA-Bestimmungen unterliegen, dieselben Produkte zum selben Preis wie allen anderen Kunden anbieten. Das schließt auch Rabatte für kontinuierliche Nutzung mit ein. Andere öffentliche Cloud-Anbieter berechnen für ihre HIPAA-Cloud einen höheren Preis. Wir nicht.

Fazit

Die Google Cloud Platform ist eine Cloud-Infrastruktur, in der Kunden Gesundheitsdaten sicher speichern, analysieren und auswerten können, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen.

Zusätzliche Ressourcen