Leistungen
HIPAA ist kein Kontrollkästchen — es ist eine Privacy Rule, eine Security Rule mit 50+ Implementierungsspezifikationen, eine Breach Notification Rule mit einer 60-Tage-Frist und HITECH-Strafen, die Business Associates direkt ins OCR-Visier nehmen. Wir erstellen die Risikoanalyse nach §164.308(a)(1)(ii)(A), die administrativen/physischen/technischen Safeguards nach §164.308–316, die verschlüsselten PHI-Pipelines auf HIPAA-geeigneten AWS/GCP/Azure-Diensten, den Business-Associate-Agreement-Workflow nach §164.504(e) und das Breach-Notification-Runbook nach §164.400–414. Technisch fundierte Kontrollen, juristisch lesbare Nachweise, OCR-belastbare Dokumentation. Ab 7.500 EUR für das Assessment.
OCRs Resolution-Agreement-Tracker enthält eine Liste siebenstelliger Vergleiche für Verstöße, die im Code vollständig vermeidbar sind: fehlende Risikoanalysen, unverschlüsselte Laptops, Audit-Logs, die niemand liest, und BAAs, die nie unterzeichnet wurden. Zivilrechtliche Strafen nach der HITECH-Staffelstruktur erreichen 2.067.813 USD pro Verstoßkategorie pro Jahr (2024 angepasst). Das richtige Ergebnis ist kein Richtlinienordner — es ist ein System, in dem jeder PHI-Berührungspunkt protokolliert wird, jedes Teammitglied eine eindeutige ID hat, jedes Backup unter einem kundenseitig rotierbaren KMS-Schlüssel verschlüsselt ist und jeder BAA aktuell ist. Wir bauen es von Anfang an richtig auf. Sehen Sie es in der Praxis in unserer Unilab-Fallstudie.
Das grundlegende Artefakt, nach dem OCR als Erstes fragt. Asset-Inventar, Bedrohungs-/Schwachstellenpaarung, Wahrscheinlichkeits-/Impact-Bewertung nach NIST SP 800-30, Restrisiko-Entscheidungen durch den Security Official unterzeichnet und ein verfolgter Sanierungsplan mindestens jährlich aktualisiert.
§164.312-Kontrollen im Code: eindeutige Benutzer-IDs, automatische Abmeldung, AES-256 at Rest, TLS 1.2+ in Transit, Integritätskontrollen, Personen-/Entitätsauthentifizierung mit MFA und Audit-Logs, die Manipulationen überstehen. KMS-Schlüssel kundenseitig rotierbar und mandantengetrennt.
§164.308-Programm: Benennung des Security Officials, Mitarbeiterfreigabe, Sanktionsrichtlinie, Notfallplan mit Backup/DR/Notfallbetrieb, regelmäßige Bewertung und ein Incident-Response-Runbook, das an den Breach-Notification-Workflow geknüpft ist.
§164.504(e) Business Associate Agreement-Vorlage, Sub-Contractor-BAA-Weitergabe, Anbieter-Due-Diligence-Fragebogen und ein Inventar, das Wirksamkeitsdatum, Scope und Verlängerung jedes BAA verfolgt. Cloud-Anbieter-BAAs (AWS/GCP/Azure) vor jeder PHI-Speicherung unterzeichnet.
§164.400–414-Runbook: Vier-Faktoren-Risikoanalyse-Vorlage, BA-zu-CE-Benachrichtigung innerhalb von 60 Tagen, CE-zu-Betroffenen-Benachrichtigung, HHS-OCR-Portal-Einreichung (500+ innerhalb von 60 Tagen; jährlich für kleinere) und Medienbenachrichtigungs-Trigger. Verschlüsseltes PHI-Safe-Harbour-Nachweis vorbereit.
§164.312(b)-Audit-Kontrollen: PHI-Zugriffsereignisse pro Datensatz, unveränderlicher Log-Store (S3 Object Lock oder äquivalent), 6-Jahre-Aufbewahrung entsprechend §164.530(j) und eine wöchentliche Log-Review-SOP mit Anomalie-Alarmen, die das Incident-Response-Verfahren auslösen.
Woche 1: Covered-Entity- vs. Business-Associate-Status bestätigen, jeden PHI-Berührungspunkt inventarisieren, Datenflüsse über Cloud-Accounts und Sub-Contractors abbilden und den BAA-Scope des Cloud-Anbieters identifizieren.
Wochen 2–3: vollständige §164.308(a)(1)(ii)(A) Risikoanalyse nach NIST SP 800-30-Methodik, Gap-Bewertung jeder Privacy- und Security-Rule-Implementierungsspezifikation und Erstellung eines vom Security Official unterzeichneten Sanierungsfahrplans.
Wochen 4–12: technische Safeguards in Code und IaC bauen, administrative Richtlinien und Mitarbeiterschulungen liefern, BAAs unterzeichnen, Audit-Logging mit 6-Jahre-Aufbewahrung einrichten und den Breach-Notification-Workflow trocken testen.
Monatlich: Log-Review, Anbieter-BAA-Verfolgung, Sanktionslog, vierteljährliches Risikoanalyse-Delta, jährliche vollständige Aktualisierung und ein OCR-ähnlicher Audit-Trockenlauf, der die §164.308-Dokumentationsanforderungsliste durchläuft.
Zwei bis drei Wochen, fester Scope. §164.308(a)(1)(ii)(A) Risikoanalyse, Gap-Analyse gegen Privacy und Security Rules, PHI-Datenflusskarte, BAA-Inventar und Sanierungsfahrplan mit Aufwands-/Kostenschätzungen. 7.500 EUR Festpreis.
Acht bis zwölf Wochen. Administrative/physische/technische Safeguards-Aufbau, Verschlüsselung und Audit-Logging, IAM-Härtung, BAA-Vorlagen und Sub-Contractor-Weitergabe, Schulungsmaterialien für Mitarbeiter, Incident-Response-Verfahren, Breach-Notification-Runbook. 22.000 EUR Festpreis.
Monatlicher Retainer. Vierteljährliche Risikoanalyse-Aktualisierung, wöchentliche Log-Review-SOP, Sanktionsverfolgung, BAA-Verlängerungen und Anbieter-Due-Diligence, jährlicher HHS-OCR-Audit-Trockenlauf und Incident Response auf Abruf. 4.000 EUR/Monat.
OCR-Ermittlungsverteidigung und Resolution-Agreement-Support werden separat auf Zeit-und-Material-Basis quotiert. Mindestlaufzeit drei Monate für laufende Compliance, danach monatlich kündbar mit 30 Tagen Vorlauf. NDA, DPA und BAA werden vor Projektstart unterzeichnet.
Eine Patienten-App und eine rollenbasierte Mitarbeiter-Suite, die mehrere Kliniken vereint — Termine, Akten und Dashboards, HIPAA-fähig für die USA & EU.
Patienten-App für ein Labornetzwerk mit 40 Städten — Terminbuchung, digitale Ergebnisse, 2.500+ Tests, Terminierungs- und Buchhaltungsintegrationen.
Tablet-first-Endoskopieaufzeichnung, Patientenakten und DICOM/HL7-Export — aufgebaut auf Laravel + React mit Browser-WebRTC-Capture für US- & EU-Kliniken.
DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · HITECH-berücksichtigt
Wir lesen das Repository, das Terraform, die IAM-Policy und die Audit-Log-Pipeline, bevor wir einen einzigen Richtlinienabsatz schreiben. Die Safeguards werden durch Code belegt, nicht durch ein PDF, das dem widerspricht, was die Produktion wirklich tut.
HIPAA, SOC 2 CC- und C-Serien, ISO-27001-Anhang A — die zugrundeliegenden Kontrollen überschneiden sich zu 70%+. Wir bauen eine Nachweisbibliothek, die alle drei abdeckt, damit Sie keine parallelen Audits durchführen müssen.
Jedes Artefakt ist für eine OCR-Datenanfrage ausgelegt. Versioniert in Ihrem Repository, durch den Security Official unterzeichnet, rückverfolgbar zu der §164.308-Implementierungsspezifikation, die es abdeckt.
Für HHS-OCR-Ermittlungen und Resolution-Agreement-Support arbeiten wir gemeinsam mit Ihrem Gesundheitsrechtsanwalt und erstellen die Nachweispakete, die dieser benötigt — keine Marketingpräsentationen, die ein Generalberater liefern würde.
Covered Entities nach 45 CFR §160.103 sind Krankenversicherungen, Clearingstellen im Gesundheitswesen und Leistungserbringer, die PHI elektronisch übermitteln. Business Associates sind Anbieter, die PHI im Auftrag einer Covered Entity erstellen, empfangen, pflegen oder übermitteln — die meisten SaaS-Produkte fallen darunter. HITECH 2009 machte Business Associates direkt der OCR-Durchsetzung unterstellt. Wir klassifizieren Ihre Rolle, erstellen oder prüfen den BAA nach §164.504(e) und dokumentieren die Sub-Contractor-Weitergabe.
Die Security Rule (45 CFR §164.308–316) verlangt administrative, physische und technische Safeguards. Technisch: Zugriffskontrolle mit eindeutigen Benutzer-IDs, automatische Abmeldung, AES-256 at Rest, TLS 1.2+ in Transit, Audit-Logs (§164.312(b)), Integritätskontrollen (§164.312(c)) und MFA-Authentifizierung (§164.312(d)). Administrativ: Mitarbeiterfreigabe, Sanktionsrichtlinie, Notfallplan und Risikoanalyse nach §164.308(a)(1)(ii)(A) mindestens jährlich aktualisiert. Physisch: Zugangskontrollen, Workstation-Sicherheit, Geräteentsorgung (§164.310). Wir implementieren dies in Ihrem AWS/GCP/Azure-Account.
AWS listet ca. 150 HIPAA-geeignete Dienste unter seinem BAA; GCP und Azure veröffentlichen äquivalente Listen. PHI darf nur auf geeigneten Diensten mit dem ausgeführten BAA gespeichert werden. Wir konfigurieren dedizierte VPCs ohne öffentliche PHI-Oberfläche, KMS-gestützte Verschlüsselung, CloudTrail+VPC Flow Logs an einen unveränderlichen Log-Store, IAM mit Least-Privilege-Rollen und SCP-Guardrails sowie S3-Bucket-Policies, die Nicht-TLS-Zugriff verweigern. Die Protokollierungsaufbewahrung beträgt 6 Jahre entsprechend §164.530(j).
Nach 45 CFR §164.400–414 ist ein Breach eine unzulässige Verwendung oder Offenlegung von ungesichertem PHI, es sei denn eine Vier-Faktoren-Risikoanalyse zeigt geringe Wahrscheinlichkeit. Covered Entities müssen Betroffene spätestens 60 Tage nach dem Breach benachrichtigen; HHS OCR innerhalb von 60 Tagen bei 500+ Betroffenen; Medienbenachrichtigung bei 500+ in einem Bundesstaat. Business Associates müssen die Covered Entity innerhalb von 60 Tagen informieren. Verschlüsselung nach NIST SP 800-111 und FIPS-140-2-validierten Modulen bietet Safe Harbour. Wir integrieren das Runbook vor dem Launch.
HIPAA ist ein Mindeststandard, keine Obergrenze. Landesgesetze fügen oft hinzu: California CMIA deckt eine breitere Definition ab; Texas HB 300 erweitert den Covered-Entity-Status. CCPA/CPRA gilt für HIPAA-angrenzende Daten. 42 CFR Part 2 schreibt strengere Einwilligungsregeln für Substanzmissbrauchsaufzeichnungen vor. Für EU-Patienten gilt DSGVO Art. 9 parallel und verlangt Rechtsgrundlage, DSFA und EU-Vertreter. Wir erstellen eine einzige PHI/PII-Datenkarte, die alle Regelwerke erfüllt.
Drei Pakete. HIPAA Assessment für 7.500 EUR Festpreis (zwei bis drei Wochen): Risikoanalyse, Gap-Analyse, PHI-Datenflusskarte, BAA-Inventar und Sanierungsfahrplan. Implementierung für 22.000 EUR Festpreis (acht bis zwölf Wochen): technische/administrative/physische Safeguards, Verschlüsselung und Audit-Logging, IAM-Härtung, BAA-Vorlagen, Schulungsmaterialien, Incident-Response-Runbook, Breach-Notification-Workflow. Laufende Compliance für 4.000 EUR/Monat: vierteljährliche Risikoanalyse-Aktualisierung, Log-Review, Sanktionsverfolgung, BAA-Verlängerungen, Anbieter-Due-Diligence, jährlicher Audit-Trockenlauf. OCR-Ermittlungsverteidigung separat quotiert.
