Krankenversicherer implementiert Risikomanagementlösung zur Einhaltung der HIPAA-Vorschriften

Montag, 4. April 2016

Der Kunde

Das im Jahr 1995 gegründete Unternehmen mit knapp 230.000 Krankenversicherungskunden tritt als regionaler Anbieter in den Mittelatlantikstaaten im Nordosten der USA auf. Das Netzwerk aus Vertragskrankenhäusern und -praxen umfasst Tausende von Ärzten in 76 Krankenhäusern, verteilt über das gesamte Versorgungsgebiet. Neben verschiedenen Krankenversicherungen mit unterschiedlichem Leistungsumfang bietet das Unternehmen auch andere Produkte und Dienstleistungen, wie Arbeitsunfall-, Immobilien- und Haftpflichtversicherungen und Vermögensmanagement.

Die Situation

Das HIPAA-Gesetz (Health Insurance Portability and Accountability Act) enthält Vorschriften, die die Sicherheit elektronisch gespeicherter Patientendaten gewährleisten sollen. Den HIPAA-Vorschriften entsprechend wollte der grosse regionale Krankenversicherer als Nachweis der Sicherheit sensibler Daten einen Prüfpfad für Kunden bereitstellen. Zur Identifizierung kritischer Schwachstellen und sonstiger Sicherheitsrisiken im Unternehmensnetzwerk benötigte das Unternehmen Unterstützung. Auch in einem anderen Punkt bestand Unterstützungsbedarf: Eine Single-Sign-on-Lösung wurde dringend benötigt, doch der Krankenversicherer war sich der Vorgehensweise unschlüssig. Er wandte sich deshalb an NTT Security, um eine Bedarfsanalyse erstellen zu lassen und sich sowohl bei der Definition der konkreten Anforderungen als auch bei der Auswahl des für die Umgebung am besten geeigneten Produkts für Single Sign-on Unterstützung zu holen.

Spezifische Probleme

Das Unternehmen kennt sich bestens aus, wenn es um die neuesten Produkte und Dienstleistungen in der Versicherungsbranche geht. Mit der Entwicklung einer Risikomanagementstrategie, die sensible Krankenakten schützt und einen Prüfpfad bereitstellt, der die Einhaltung der HIPAA-Vorschriften gegenüber Krankenhäusern, Ärzten und Aufsichtsbehörden belegt, war es jedoch überfordert.

Der Lösungsansatz

NTT Security arbeitete eng mit dem Krankenversicherer zusammen, um sich ein genaues Bild der geschäftlichen Anforderungen und bestehenden Risiken zu machen. Mithilfe der Beratungsdienste wurde ein Penetrationstest durchgeführt, um Risiken für die Datensicherheit zu ermitteln und Prioritäten für den Ressourceneinsatz zur Behebung der Sicherheitslücken zuzuweisen. Auf diese Weise wurde ein Audit-Leitfaden für das Unternehmen erstellt, der Aufsichtbehörden, Bestandskunden und Interessenten vorgelegt werden kann.

Die Unterstützung durch NTT Security beschränkte sich jedoch nicht auf Beratungsdienste. Das Team führte auch gemeinsam mit dem Krankenversicherer eine Bewertung mehrerer Single-Sign-on-Lösungen durch. Auf dieser Grundlage gab NTT Security eine technische Empfehlung für eine umfassende Lösung ab und überwachte deren Implementierung.

„Wir haben uns für NTT Security entschieden, weil uns die Sicherheitsfunktionen überzeugt haben, besonders was die Einhaltung der HIPAA-Vorschriften für das Versicherungs- und Gesundheitswesen angeht. In enger Zusammenarbeit mit meinem Team hat NTT Security unsere Anforderungen und unsere Gefährdung analysiert und uns schliesslich umfassende Lösungen bereitgestellt, die genau auf unsere Geschäftsziele abgestimmt sind.“ (IT-Vorstand des Krankenversicherers)

Vorteile und Ergebnis

Das Team von NTT Security arbeitete mit dem Krankenversicherer zusammen, um gemeinsam Risiken für elektronische Krankenakten zu ermitteln und in die richtige Technik zum Schutz der Daten und zur Minderung der Risiken zu investieren. Da NTT Security mindestens alle zwei Jahre eine Sicherheitsanalyse für den Krankenversicherer durchführt, haben die Teams die Gewissheit, dass der Audit-Leitfaden die Einhaltung aller rechtlichen Anforderungen dokumentiert. Obwohl die internen Ressourcen beschränkt waren, konnte NTT Security den Mitarbeitern des Krankenversicherers während der Beratungsphase des Projekts sehr viel Wissen und Know-how vermitteln. Durch diesen Ideenfluss zwischen den Teams konnte das Risikomanagement an die geschäftlichen Ziele des Krankenversicherers angepasst werden, mit dem Ergebnis, dass die Risiken im gesamten Unternehmen besser erkannt und sensible Kundendaten geschützt werden können.

Warum NTT Security?

Die Wahl fiel auf NTT Security, weil der Sicherheitsdienstleister Wert darauf legte, zunächst in Gesprächen mit dem Krankenversicherer die Anforderungen hinsichtlich der Einhaltung der HIPAA-Vorschriften zu verstehen, bevor gemeinsam eine gesamtheitliche Lösung und nicht nur eine Teillösung erarbeitet wurde. Der Krankenversicherer bezog die wichtigsten Interessenvertreter und interne Experten in den Auswahlprozess ein. Sie alle erkannten, dass NTT Security über die nötige Erfahrung im Bereich Sicherheit und Risikomanagement verfügt und in der Lage ist, die Sicherheitsmassnahmen auf die geschäftlichen Anforderungen abzustimmen.