HIPAA-Compliance auf der Google Cloud Platform

In diesem Leitfaden wird die HIPAA-Compliance auf der Google Cloud Platform erörtert. Die HIPAA-Compliance für Google Workspace wird separat behandelt.

Haftungsausschluss

Dieser Leitfaden dient nur zu Informationszwecken. Die von Google darin zur Verfügung gestellten Informationen und Empfehlungen stellen keine Rechtsberatung dar. Jeder Kunde muss seine eigene konkrete Nutzung der Dienste jeweils eigenständig bestimmen, um die Einhaltung der gültigen Rechtsvorschriften zu gewährleisten.

Zielgruppe

Für Kunden, die das US-Gesetz zur Übertragbarkeit von Krankenversicherungen und Verantwortlichkeit von Versicherern (Health Insurance Portability and Accountability Act, HIPAA, in der jeweils gültigen Fassung, inklusive Änderungen durch das HITECH-Gesetz, Health Information Technology for Economic and Clinical Health Act) erfüllen müssen, unterstützt die Google Cloud Platform die HIPAA-Compliance. Dieser Leitfaden richtet sich an Sicherheitsbeauftragte, Compliancebeauftragte, IT-Administratoren und andere Mitarbeiter, die für die HIPAA-Implementierung und -Compliance auf der Google Cloud Platform zuständig sind. In diesem Leitfaden erfahren Sie, wie Google die HIPAA-Compliance unterstützt und wie Google Cloud-Projekte konfiguriert werden müssen, damit Sie Ihre Verpflichtungen gemäß HIPAA erfüllen können.

Definitionen

Alle Begriffe, die in diesem Dokument verwendet, aber nicht anderweitig definiert wurden, haben die gleiche Bedeutung wie unter HIPAA festgelegt. Im Zusammenhang mit diesem Dokument bezieht sich der Begriff "geschützte Gesundheitsdaten" (Protected Health Information, PHI) auf solche PHI, die Google von einer betroffenen Rechtspersönlichkeit empfängt.

Übersicht

Beachten Sie, dass es keine Zertifizierung vom Ministerium für Gesundheitspflege und Soziale Dienste in den USA (U.S. Department of Health and Human Services, HHS) für HIPAA-Compliance gibt und dass die Befolgung von HIPAA in der gemeinsamen Verantwortung des Kunden und von Google liegt. HIPAA fordert insbesondere die Einhaltung der Sicherheitsregeln (Security Rule), der Datenschutzregeln (Privacy Rule) und der Regeln zur Benachrichtigung bei Sicherheitsverletzungen (Breach Notification Rule). Die Google Cloud Platform fördert die HIPAA-Compliance zwar im Rahmen einer Geschäftspartner-Vereinbarung (Business Associate Agreement, BAA), letztendlich müssen die Kunden jedoch ihre HIPAA-Compliance selbstständig beurteilen.

Google schließt bei Bedarf BAAs mit Kunden gemäß HIPAA ab. Die Google Cloud Platform wurde unter der Leitung eines mehr als 700 Personen umfassenden Sicherheitstechnikteams entwickelt, das somit größer als die meisten lokalen Sicherheitsteams ist. Ausführliche Informationen zu unserem Sicherheits- und Datenschutzkonzept finden Sie im Whitepaper zur Sicherheit bei Google und in der Übersicht über das Sicherheitsdesign der Infrastruktur von Google. Dort erhalten Sie auch Informationen zu organisatorischen und technischen Kontrollen in Bezug auf den Schutz Ihrer Daten durch Google.

Neben der Dokumentation unseres Sicherheits- und Datenschutzansatzes unterzieht sich Google regelmäßig Prüfungen durch verschiedene unabhängige Drittanbieter, um Kunden eine externe Verifizierung zur Verfügung zu stellen. Die entsprechenden Berichte und Zertifikate sind nachfolgend verlinkt. Das heißt, dass die Sicherheitsvorkehrungen in unseren Rechenzentren, unserer Infrastruktur und unserem laufenden Betrieb durch einen unabhängigen Prüfer auditiert wurden. Google wird jährlich auf Grundlage der folgenden Standards geprüft:

  • SSAE16/ISAE 3402 Typ II: Hier finden Sie den zugehörigen öffentlichen SOC 3-Bericht. Der SOC 2-Bericht kann nach Unterzeichnung einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) bezogen werden.
  • ISO 27001: Sämtliche Systeme, Anwendungen, Mitarbeiter, Technologien, Prozesse und Rechenzentren von Google, die zur Bereitstellung der Google Cloud Platform eingesetzt werden, sind nach ISO 27001 zertifiziert. Das ISO 27001-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • ISO 27017 – Cloud Security: Dies ist ein speziell auf Cloud-Dienste ausgerichteter internationaler Anwendungsstandard für Maßnahmen zur Informationssicherheit auf der Basis von ISO/IEC 27002. Das ISO 27017-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • ISO 27018 – Cloud Privacy: Dies ist ein internationaler Anwendungsstandard für den Schutz personenidentifizierbarer Informationen (Personally Identifiable Information, PII) in öffentlichen Cloud-Diensten. Das ISO 27018-Zertifikat finden Sie auf unserer Website im Abschnitt zur Compliance.
  • FedRAMP ATO
  • PCI DSS v3.2.1

Die umfassenden Prüfungen durch unabhängige Drittanbieter belegen nicht nur die Vertraulichkeit, Integrität und Verfügbarkeit der Google-Umgebung, sondern auch unser Engagement in Bezug auf die Bereitstellung marktführender Informationssicherheit. Anhand dieser unabhängigen Prüfberichte können unsere Kunden einschätzen, inwieweit unsere Produkte ihren Anforderungen in Bezug auf die HIPAA-Compliance gerecht werden.

Pflichten der Kunden

Eine der Hauptaufgaben der Kunden ist es, festzustellen, ob sie eine betroffene Rechtspersönlichkeit oder ein Geschäftspartner einer betroffenen Rechtspersönlichkeit sind und ob sie in diesem Fall eine BAA mit Google benötigen, um interagieren zu können.

Obwohl Google, wie oben beschrieben, eine sichere und rechtskonforme Infrastruktur für das Speichern und Verarbeiten von PHI bietet, müssen sich Kunden selbst davon überzeugen, dass die Umgebung und Anwendungen, die sie über die Google Cloud Platform erstellen, ordnungsgemäß konfiguriert und gemäß den HIPAA-Anforderungen gesichert sind. Dies wird in der Cloud häufig als gemeinsames Sicherheitsmodell bezeichnet.

Nachfolgend finden Sie die wichtigsten Best Practices:

  • Unterzeichnen Sie eine BAA für die Google Cloud. Diese erhalten Sie direkt von Ihrem Account Manager.
  • Deaktivieren Sie Google Cloud-Produkte, die nicht ausdrücklich durch die BAA abgedeckt sind (siehe Abgedeckte Produkte), oder stellen Sie anderweitig sicher, dass Sie diese nicht nutzen, wenn Sie mit PHI arbeiten.

Nachfolgend finden Sie empfohlene technische Best Practices:

  • Gehen Sie nach den Best Practices für IAM vor, wenn Sie festlegen, wer Zugriff auf Ihr Projekt hat. Da mithilfe von Dienstkonten auf Ressourcen zugegriffen werden kann, sollten Sie vor allem dafür sorgen, dass der Zugriff auf diese Dienstkonten und Dienstkontoschlüssel streng kontrolliert wird.
  • Ermitteln Sie, ob Ihr Unternehmen Verschlüsselungsanforderungen hat, die über die HIPAA-Sicherheitsregeln hinausgehen. Auf der Google Cloud Platform werden alle Kundeninhalte im inaktiven Zustand verschlüsselt. Weitere Informationen und Ausnahmen davon finden Sie im Whitepaper zum Thema Verschlüsselung.
  • Wenn Sie Cloud Storage nutzen, sollten Sie die Aktivierung der Objektversionsverwaltung in Betracht ziehen, um ein Archiv für diese Daten zu haben und Daten wiederherstellen zu können, wenn sie versehentlich gelöscht wurden. Befolgen Sie außerdem die Anweisungen in den Hinweisen zu Sicherheit und Datenschutz, bevor Sie gsutil verwenden, um mit Cloud Storage zu interagieren.
  • Konfigurieren Sie die Exportziele für die Audit-Logs. Wir empfehlen Ihnen dringend, die Audit-Logs nach Cloud Storage zu exportieren, um sie langfristig zu archivieren. Außerdem sollten Sie sie nach BigQuery exportieren, damit sie analysiert, überwacht und/oder forensisch untersucht werden können. Vergessen Sie nicht, in Ihrem Unternehmen eine entsprechende Zugriffssteuerung für diese Ziele zu konfigurieren.
  • Konfigurieren Sie die Zugriffssteuerung für die Logs, die für Ihr Unternehmen relevant sind. Audit-Logs zu Administratoraktivitäten können von Nutzern mit der Rolle "Log-Betrachter" aufgerufen werden, Audit-Logs zum Datenzugriff von Nutzern mit der Rolle "Betrachter privater Logs".
  • Überprüfen Sie Audit-Logs regelmäßig, um dafür zu sorgen, dass sie sicher sind und die Anforderungen erfüllen. Wie oben erwähnt, ist BigQuery eine hervorragende Plattform für umfangreiche Loganalysen. Sie können auch die SIEM-Plattformen unserer Drittanbieterintegrationen nutzen, um die Compliance durch Loganalysen nachzuweisen.
  • Wenn Sie Indexe in Cloud Datastore erstellen oder konfigurieren, verschlüsseln Sie alle PHI, Sicherheitsanmeldedaten oder anderen sensiblen Daten, bevor Sie sie für den Index als Entitätsschlüssel bzw. Schlüssel oder Wert eines indexierten Attributs verwenden. Weitere Informationen zum Erstellen und Konfigurieren von Indexen finden Sie in der Cloud Datastore-Dokumentation.
  • Achten Sie beim Erstellen oder Aktualisieren von Dialogflow Enterprise-Agents darauf, keine PHI oder Sicherheitsanmeldedaten anzugeben. Dazu gehören auch Intents, Trainingsformulierungen und Entitäten.
  • Achten Sie beim Erstellen oder Aktualisieren von Ressourcen darauf, keine PHI oder Sicherheitsanmeldedaten anzugeben, wenn Sie die Metadaten einer Ressource festlegen, da diese in den Logs erfasst werden können. Audit-Logs enthalten niemals den Dateninhalt einer Ressource oder die Ergebnisse einer Abfrage, Ressourcen-Metadaten können jedoch erfasst werden.
  • Halten Sie sich an die Empfehlungen für Identity Platform, wenn Sie Identity Platform für Ihr Projekt nutzen.
  • Wenn Sie Cloud Build-Dienste für die kontinuierliche Integration oder Entwicklung verwenden, sollten Sie PHI nicht in Build-Konfigurationsdateien, Quellcodesteuerdateien oder andere Build-Artefakte einfügen oder in diesen speichern.
  • Wenn Sie Cloud CDN verwenden, dürfen Sie kein Caching geschützter PHI anfordern. Weitere Informationen dazu, wie Sie Caching verhindern, finden Sie in der Cloud CDN-Dokumentation.
  • Wenn Sie Cloud Speech-to-Text verwenden und im Einklang mit HIPAA mit Google eine BAA in Bezug auf Verpflichtungen beim Umgang mit geschützten Gesundheitsdaten abgeschlossen haben, sollten Sie nicht am Daten-Logging-Programm teilnehmen.
  • Wenn Sie Google Cloud VMware Engine verwenden, sind Sie dafür verantwortlich, die Zugriffslogs auf Anwendungsebene für einen geeigneten Zeitraum aufzubewahren, sofern dies erforderlich ist, um die HIPAA-Anforderungen zu erfüllen.

Abgedeckte Produkte

Die BAA für Google Cloud deckt die gesamte Infrastruktur der GCP ab, d. h. alle Regionen, Zonen, Netzwerkpfade und alle Points of Presence sowie die folgenden Produkte:

  • Access Context Manager
  • Access Transparency
  • Apigee
  • Apigee Hybrid
  • AI Platform
  • AI Platform Training und Prediction
  • Anthos Config Management
  • Anthos Service Mesh
  • App Engine
  • Bare-Metal-Lösung
  • Binärautorisierung
  • Cloud AI Notebooks
  • Cloud Armor
  • Cloud Asset Inventory
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • Cloud Console App
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Debugger
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences (früher Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run (vollständig verwaltet)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Storage Transfer Service
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation API
  • Cloud Text-to-Speech
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • Error Reporting
  • Google Cloud VMware Engine (GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Managed Service for Microsoft Active Directory (AD)
  • Netzwerkdienststufen
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Service Directory
  • Traffic Director
  • Transfer Appliance Service
  • Virtual Private Cloud (VPC)
  • VPC Service Controls
  • Web Security Scanner

Eine aktuelle Liste der abgedeckten Produkte finden Sie auf der Compliance-Website von Google Cloud. Diese Liste wird aktualisiert, sobald neue Produkte ins HIPAA-Programm aufgenommen werden.

Besondere Funktionen

Dank der Sicherheitspraktiken der GCP verfügen wir über eine HIPAA-BAA, die die gesamte Infrastruktur der GCP abdeckt, nicht nur einen bestimmten Teil unserer Cloud. Daher sind Sie nicht auf eine bestimmte Region beschränkt, was Vorteile in Bezug auf die Skalierbarkeit, die Betriebsabläufe und die Architektur hat. Sie können außerdem von einer multiregionalen Dienstredundanz und der Nutzung von VMs auf Abruf zur Reduzierung der Kosten profitieren.

Die Sicherheits- und Compliance-Maßnahmen, mit denen wir die HIPAA-Compliance fördern, sind tief in unserer Infrastruktur, unserem Sicherheitsdesign und unseren Produkten verwurzelt. Somit können wir Kunden, die den HIPAA-Bestimmungen unterliegen, dieselben Produkte zum selben Preis wie allen anderen Kunden anbieten. Das schließt auch Rabatte für kontinuierliche Nutzung mit ein. Andere öffentliche Cloud-Anbieter berechnen für ihre HIPAA-Cloud einen höheren Preis. Wir nicht.

Fazit

Die Google Cloud Platform ist eine Cloud-Infrastruktur, in der Kunden Gesundheitsdaten sicher speichern, analysieren und auswerten können, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen.

Weitere Informationen