Einhaltung des HIPAA

Genesys Cloud verpflichtet sich, die Privatsphäre Ihrer und der Daten Ihrer Kunden zu respektieren, einschließlich elektronisch geschützter Gesundheitsinformationen (ePHI). Als Teil dieser Verpflichtung sind viele Genesys Cloud-Services mit dem Health Insurance Portability and Accountability Act (HIPAA) konform und erfüllen insbesondere die vom Gesetz geforderten administrativen, physischen und technischen Sicherheitsvorkehrungen. Wenden Sie sich an einen Vertriebsmitarbeiter, wenn Sie Fragen zur Einhaltung spezifischer Vorschriften haben, z. B. zu Business Associate Agreements (BAAs) und zur Überprüfung der Einhaltung durch Dritte.

Was ist HIPAA?

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Bundesgesetz, das ursprünglich im Jahr 1996 verabschiedet wurde und in den Folgejahren weitere Ergänzungen enthält Denn HIPAA ist ein US-Gesetz. Bundesgesetz, es regelt nur Transaktionen oder Einrichtungen innerhalb der Vereinigten Staaten und ist kein internationales Gesetz oder Standard. 

Der HIPAA soll unter anderem sowohl die Krankenversicherungspläne (Titel I) als auch den Datenschutz und die Sicherheit von Gesundheitsinformationen (Titel II) regeln. Die Privacy Rule in Titel II regelt die Verwendung und Weitergabe geschützter Gesundheitsinformationen (PHI). Die Sicherheitsregel in Titel II ergänzt die Datenschutzregel und legt administrative, physische und technische Schutzmaßnahmen fest, die für die Einhaltung des HIPAA erforderlich sind.

Was ist ein Geschäftspartner und eine BAA?

Betroffene Einrichtungen, zu denen Leistungserbringer im Gesundheitswesen, Anbieter von Gesundheitsplänen und Clearingstellen für das Gesundheitswesengehören, können Genesys Cloud in der Rolle eines Geschäftspartners engagieren, um sie bei der Durchführung ihrer Aktivitäten und Funktionen im Gesundheitswesen zu unterstützen. Zu den Geschäftspartnern gehören Einrichtungen, die Funktionen oder Tätigkeiten im Namen von betroffenen Einrichtungen ausführen oder bestimmte Dienstleistungen für diese erbringen, wie z. B. die Erstellung, den Empfang, die Pflege und/oder die Übermittlung geschützter Gesundheitsinformationen. 

Im Allgemeinen müssen betroffene Einrichtungen, die die Dienste eines Geschäftspartners in Anspruch nehmen, eine schriftliche BAA mit jedem Geschäftspartner abschließen. Eine BAA sollte sicherstellen, dass die Geschäftspartner geschützte Gesundheitsdaten angemessen schützen, und sie sollte auch die zulässige Verwendung und Weitergabe geschützter Gesundheitsdaten durch den Geschäftspartner klarstellen und einschränken.

Ist Genesys Cloud HIPAA-zertifiziert?

Es gibt keine HIPAA-Zertifizierung für einen Anbieter von Cloud-Diensten wie Genesys Cloud. Genesys Cloud hat sich jedoch einem unabhängigen Audit unterzogen, das unsere administrativen, physischen und technischen Kontrollen überprüft hat.  

Als potenzieller Geschäftspartner von betroffenen Unternehmen ist Genesys Cloud verpflichtet, die für die Einhaltung des HIPAA erforderlichen administrativen, physischen und technischen Kontrollen zu implementieren. Details zu diesen Kontrollen, dem Genesys Cloud Sicherheitsprogramm, Netzwerksicherheit und mehr finden Sie unter Sicherheit und Compliance.

Ist Genesys Cloud HIPAA-konform?

Die Funktionen der Genesys Cloud sind bis auf die folgenden Ausnahmen HIPAA-konform:

  • ACD-E-Mails
  • SMS-Nachricht
Vorsicht! Die Nutzung von nicht HIPAA-konformen Diensten zur Übertragung von ePHI fällt nicht unter die Bedingungen des Genesys Cloud BAA.

Wie sieht es mit AppFoundry-Anwendungen, Integrationen von Drittanbietern und Anbietern von Bring Your Own Technology Services aus? 

Genesys Cloud kann nicht garantieren, dass Drittanbieter HIPAA-konform sind. Obwohl das Genesys Cloud BAA die Kommunikation mit und von Drittanbietern nicht ausschließt, geht unser BAA nicht über Genesys Cloud hinaus.

Wenn Sie eine Dritttechnologie verwenden, um geschützte Gesundheitsinformationen an Genesys Cloud zu übermitteln oder von Genesys Cloud zu beziehen, müssen Sie im Allgemeinen eine BAA sowohl mit Genesys Cloud als auch mit dem Dritttechnologieanbieter abschließen.  Wenn Sie beispielsweise eine Drittanbieter-Messaging-Plattform mit einem Drittanbieter-Kanal wie Facebook, Twitter oder WhatsAppverwenden, sollten Sie sowohl eine BAA mit Genesys als auch eine BAA mit der Drittanbieter-Messaging-Plattform haben.  Wenn Sie eine Anwendung von AppFoundry wie z. B. Google Dialogflow oder Amazon Lex verwenden, um ePHI an oder von Genesys Cloud zu übermitteln, sollten Sie eine BAA sowohl mit Genesys als auch mit dem Drittanbieter, Google Dialogflow oder Amazon Lex abschließen.

Wo unterstützt Genesys Cloud die Einhaltung des HIPAA?

Die HIPAA-Konformität ist in den Amazon Web Services (AWS)-Regionen USA Ost und USA West verfügbar.

Hat Genesys Cloud ein Business Associate Agreement mit Amazon Web Services (AWS)?

Ja. Die BAA zwischen Genesys Cloud und AWS umfasst Informationen, die Genesys Cloud in AWS speichert.  Diese Vereinbarung trägt dazu bei, dass die Daten Ihrer Kunden vollständig geschützt sind.

Was ist anders in Genesys Cloud mit aktivierter HIPAA Compliance?

Genesys Cloud bietet HIPAA-konformen Organisationen eine ähnliche Benutzeroberfläche und Benutzererfahrung wie nicht HIPAA-konformen Organisationen. Allerdings funktionieren einige Genesys Cloud-Funktionen für HIPAA-konforme Organisationen anders.

Wenn die HIPAA-Konformität für Ihr Unternehmen aktiviert ist, setzt Genesys Cloud außerdem eine Leerlaufzeit von 15 Minuten durch. Diese Leerlaufzeit gilt auch für OAuth-Clients. Diese Leerlaufzeit wird jedoch jedes Mal zurückgesetzt, wenn eine Anwendung wie die Genesys Cloud-Benutzeroberfläche eine Anforderung im Namen des Benutzers stellt, z. B. das Abrufen von Daten, um die Anwendung auf dem neuesten Stand zu halten oder Anwendungsprotokolle zu speichern. Jede Anfrage setzt den Timeout für den Leerlauf zurück. Dementsprechend müssen HIPAA-konforme Organisationen eine Zeitüberschreitung bei Inaktivität auf den Arbeitsstationen der Benutzer durchsetzen, um die Unternehmensrichtlinien einzuhalten. Informationen zum Anpassen der Leerlaufzeit einer Organisation finden Sie unter Einstellen einer automatischen Inaktivitätszeitüberschreitung

Notizen:
  • Genesys Cloud bietet allen Organisationen das gleiche hohe Sicherheitsniveau. HIPAA-konforme Organisationen und nicht HIPAA-konforme Organisationen sind gleichermaßen sicher.
  • SMS-Nachrichten sind nicht HIPAA-konform und sollten nicht zur Übermittlung von ePHI verwendet werden.
  • PII in E-Mail-Benachrichtigungen zulassen Und Voicemail-Transkription Optionen sind nicht verfügbar, wenn HIPAA aktiviert ist.

Wie melde ich mich für Genesys Cloud mit HIPAA-Konformität an?

Alle HIPAA Genesys Cloud Organisationen benötigen eine gültige Geschäftspartnervereinbarung mit Genesys Cloud.  Wenn ein Business Associate Agreement von allen Parteien unterzeichnet wurde, setzt Genesys Cloud einen HIPAA-Toggle für Ihre Organisation.

Wenn Sie ein Administrator sind, können Sie den Status der HIPAA-Konformität Ihrer Organisation überprüfen, indem Sie die HIPAA-Einstellung auf der Seite Organisation verwalten:Registerkarte Einstellungenüberprüfen. 

Wie richte ich einusiness associate agreement mit Genesys Cloud ein?

Um eine BAA von Genesys Cloud zu erhalten, kontaktieren Sie dataprivacy@genesys.com. Wenn Sie ein BAA haben und HIPAA aktivieren müssen, kontaktieren Sie Genesys Cloud Customer Care.

Kann ich die HIPAA-Konformität in einer bestehenden Genesys Cloud Organisation aktivieren?

Wenn Sie ein Administrator sind, können Sie den Status der HIPAA-Konformität Ihrer Organisation überprüfen, indem Sie die HIPAA-Einstellung auf der Seite Organisation verwalten:Registerkarte Einstellungenüberprüfen. Wenn Siebenötigen, um die Einhaltung des HIPAA zu ermöglichen, kontaktieren Sie uns .

Kann ich nicht konforme Dienste mit aktivierter HIPAA-Konformität nutzen?

Ja. Die Verwendung von nicht HIPAA-konformen Diensten zur Übertragung elektronischer geschützter Gesundheitsdaten fällt jedoch nicht unter das Genesys Cloud BAA und kann einen Verstoß gegen die HIPAA-Vorschriften darstellen. Weitere Informationen erhalten Sie unter und.

Habe ich eine Verantwortung für die HIPAA-konforme Nutzung von Genesys Cloud?

Genesys Cloud Kunden:

  • Sie sollten die vollständige Festplattenverschlüsselung verwenden.
  • Muss über eine schriftliche BAA mit allen Drittanbietern verfügen, die Kunden für die Übermittlung geschützter Gesundheitsdaten an Genesys Cloud nutzen werden.
  • Muss eine Zeitüberschreitung bei Inaktivität auf den Arbeitsstationen der Benutzer erzwingen, um die Unternehmensrichtlinien zu erfüllen. 

Die Genesys Cloud API verfügt über ein HIPAA-Idle-Timeout. Aber Anwendungen, einschließlich der Genesys Cloud-Benutzeroberfläche, können im Namen des Benutzers Anfragen stellen, während der Benutzer im Leerlauf ist. Zu diesen Anforderungen gehören das Abrufen von Daten, um die Anwendung auf dem neuesten Stand zu halten, oder das Speichern von Anwendungsprotokollen. Eine Anfrage setzt die HIPAA-API-Zeitüberschreitung zurück.

Wenn der Benutzer bei der Verwendung der Genesys Cloud Web- oder Desktop-Anwendungen länger als die API-Zeitüberschreitung inaktiv ist, wird die folgende Meldung angezeigt, in der der Benutzer aufgefordert wird, sich erneut zu authentifizieren.

Vorsicht! Die einzige Möglichkeit, die vom HIPAA geforderte Inaktivitätszeit zu gewährleisten, ist eine Sperre auf Betriebssystemebene auf der Workstation des Benutzers. Genesys Cloud empfiehlt ein 15-minütiges Inaktivitäts-Timeout auf den Benutzerarbeitsplätzen.  

Genesys Cloud kann ein Sitzungs-Token im lokalen Speicher der Client-Geräte speichern, so dass Genesys Cloud-Sitzungen in Browsern, die häufig geschlossen und wieder geöffnet werden, überleben können.

Weitere Informationen erhalten Sie unter und.

Weitere Informationen zum Inaktivitäts-Timeout

Die HIPAA-Vorschriften zu technischen Sicherheitsvorkehrungen (45 CFR 164.312) besagen, dass ein betroffenes Unternehmen oder Unternehmen gemäß 164.306 technische Richtlinien und Verfahren für elektronische Informationssysteme (die ePHI pflegen) implementieren muss, die unter anderem nur diesen Personen Zugriff gewähren oder Softwareprogramme, denen Zugriffsrechte gemäß 164.308(a)(4) gewährt wurden. In den Implementierungsspezifikationen heißt es in 164.312(a)(2)(iii): „Implementieren Sie elektronische Verfahren, die eine elektronische Sitzung nach einer vorbestimmten Zeit der Inaktivität beenden.“ Weder Gesetze, Verordnungen noch das HHS haben eine spezifische Zeitmessung für die „vorher festgelegte Zeit der Inaktivität“ oder was „Inaktivität“ ausmacht, festgelegt. Genesys Cloud ermittelt Inaktivität während einer elektronischen Sitzung unter anderem anhand der Zeitspanne zwischen bestimmten API-Aufrufen, da die Benutzeroberflächen innerhalb des Systems auf API-Aufrufe angewiesen sind, um Daten zu empfangen und zu senden. Daher spiegeln diese API-Aufrufe im Allgemeinen die Aktivität des Agenten oder, in diesem Kontext, die Inaktivität bezüglich der Benutzeroberfläche wider. Genesys Cloud verwendet derzeit eine Standard-Timeout-Zeit von 15 Minuten als angemessene „vorbestimmte Zeit der Inaktivität“ zwischen diesen API-Aufrufen, um eine elektronische Sitzung zu beenden, das heißt, den Agenten abzumelden, um ePHI in unserem System vor unbefugtem Zugriff zu schützen. Die Zeitüberschreitung kann vom Kunden auf mindestens 5 Minuten konfiguriert werden.