Danke, dass du unser Hilfe-Center besuchst. Wir arbeiten gerade daran, alle Inhalte des Hilfe-Centers zu übersetzen, deshalb könntest du noch einige Artikel auf Englisch sehen. Vielen Dank für deine Geduld!

HIPAA-Konfiguration

In diesem Artikel

Dieser Artikel bietet Benutzer/-innen die erforderlichen Produktkonfigurationen, um ihren Notion-Workspace HIPAA-konform zu machen 🏥

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein 1996 erlassenes US-Bundesgesetz, das den Schutz und die vertrauliche Behandlung geschützter Gesundheitsinformationen durch betroffene Organisationen wie Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen sowie deren Geschäftspartner vorschreibt.

Dieser Artikel bietet Benutzer/-innen die erforderlichen Produktkonfigurationen, um ihren Notion-Workspace HIPAA-konform zu machen.

Hinweis: Das Business Associate Agreement (BAA) von Notion regelt den Schutz persönlicher Gesundheitsinformationen, die im Notion-Dienst gespeichert sind. Um zur Unterzeichnung des BAA von Notion berechtigt zu sein, musst du unseren Enterprise Plan abonnieren.

Notion Calendar und alle Notion-Calendar-Funktionen fallen nicht unter das BAA und dürfen daher nicht in einer Weise verwendet oder eingesetzt werden, bei der geschützte Gesundheitsinformationen verarbeitet werden.

Sollten die Formulierungen auf dieser Seite und die Formulierungen im BAA zu irgendeinem Zeitpunkt im Widerspruch zueinander stehen, ist das BAA maßgeblich.

Konfiguration von Notion für HIPAA

Technische HIPAA-Sicherheitsanforderungen	Unterstützende Konfigurationen von Notion
Zugangskontrolle Implementiere technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronisch geschützte Gesundheitsinformationen verwalten. So erhalten nur die Personen oder Softwareprogramme Zugriff, denen auch Zugriffsrechte gewährt wurden.	Die SAML SSO von Notion basiert auf dem SAML-2.0-Standard und verbindet deinen Identitätsanbieter (Identity Provider, IDP) und deine(n) Workspace(s), um die Anmeldung einfacher und sicherer zu gestalten. Notion unterstützt offizielle Konfigurationen für SAML SSO mit Azure, Google, Gusto, Okta, OneLogin und Rippling.Führe die folgenden Schritte aus, um SAML SSO mit Notion zu verwenden: •Domain(s) verifizieren: Um erweiterte Sicherheitsfunktionen nutzen zu können, musst du verifizieren, dass du deine E-Mail-Domain besitzt. Dies ist ein automatisierter Prozess, bei dem ein TXT-Eintrag zum DNS deiner Domain hinzugefügt wird, um zu verifizieren, dass du die Domain besitzt. • SAML SSO aktivieren: Damit wird die Funktion aktiviert und die Konfiguration abgeschlossen. Weitere Informationen zum Abschließen der SAML-SSO-Konfiguration findest du in unseren Anleitungen zu den einzelnen Identitätsanbietern. • Standardanmeldemethode ändern: Mit der erstmaligen Aktivierung von SAML SSO wird die Standardanmeldemethode auf `Beliebige Methode` festgelegt, was bedeutet, dass Benutzer/-innen die Möglichkeit haben, sich über SAML oder ihre normale Anmeldemethode anzumelden. Indem du diese Einstellung auf `Nur SAML SSO` festlegst, wird SAML als Anmeldemethode für deinen Workspace für verwaltete Benutzer/-innen mit einer verifizierten geschäftlichen E-Mail-Adresse erzwungen. •Weitere Workspaces verknüpfen: Wenn du über mehr als einen Workspace verfügst, den du mit SSO konfigurieren möchtest, kannst du dies tun, indem du dich an [email protected] wendest. Nach der ordnungsgemäßen Konfiguration müssen alle Mitglieder, die sich bei deinen Workspaces anmelden, die verifizierte Domain verwenden und über deinen Identitätsanbieter authentifiziert werden. Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativer Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt.
Eindeutige Benutzeridentifikation Weise einen eindeutigen Namen und/oder eine eindeutige Nummer zu, um die Benutzeridentität zu identifizieren und zu verfolgen.	Notion verfügt über eine SCIM-API, die zum Bereitstellen, Verwalten und Aufheben der Bereitstellung von Mitgliedern und Gruppen verwendet werden kann. Workspace-Besitzer/-innen finden den erforderlichen API-Schlüssel, indem sie zu `Einstellungen` -> `Sicherheit und Identität` -> `SCIM-Konfiguration` wechseln und zum Anzeigen des Tokens klicken. In unserer SCIM-Dokumentation findest du aktuelle Informationen darüber, wie du mit der SCIM-API von Notion interagieren kannst. Notion unterstützt offizielle Google-, Gusto-, Okta-, OneLogin- und Rippling-SCIM-Anwendungen.
Notfallzugangsverfahren Lege Verfahren fest (und implementiere diese bei Bedarf), um im Notfall die erforderlichen geschützten digitalen Gesundheitsinformationen zu erhalten.	Die Inhaltssuche bietet Workspace-Besitzer/-innen im Enterprise Plan Einblicke in die Workspace-Inhalte, um die Steuerung des Workspaces zu verbessern und Probleme beim Seitenzugriff zu lösen: - Du kannst anzeigen, wer Zugriff auf eine Seite hat. - Du kannst die Berechtigungen für eine Seite ändern. - Du kannst verlassene Seiten ehemaliger Mitglieder anzeigen und neu zuweisen. Notion-Seiten, Datenbanken und ganze Workspaces können jederzeit exportiert werden.
Automatische Abmeldung Implementiere digitale Verfahren, die eine digitale Sitzung nach einer vorgegebenen Zeit der Inaktivität beenden.	Benutzerdefinierte Sitzungsdauer festlegen: Für verwaltete Nutzer/-innen im Enterprise Plan gilt in Notion eine Standardsitzungsdauer von 180 Tagen. Workspace-Besitzer/-innen können ihre Sitzungsdauer jedoch von 1 Stunde bis 180 Tage anpassen. Abmeldung verwalteter Nutzer/-innen erzwingen: Erzwinge die Abmeldung einzelner Nutzer/-innen oder aller Workspace-Nutzer/-innen gleichzeitig. Zurücksetzen des Passworts erzwingen: Erzwinge das Zurücksetzen des Passworts für einzelne Nutzer/-innen oder für alle Workspace-Nutzer/-innen gleichzeitig. Wenn du die Bereitstellung für Nutzer/-innen über SCIM aufhebst, werden diese aus dem Workspace entfernt und ihre Sitzung wird beendet.
Auditkontrollen Implementiere Hardware, Software und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, welche geschützte digitale Gesundheitsinformationen enthalten oder verwenden.	Workspace-Besitzer/-innen im Enterprise Plan haben Zugriff auf ein Auditprotokoll (unter `Einstellungen`), das einen Überblick über eine Vielzahl von Ereignissen bietet, die im Workspace aufgetreten sind. Dies kann besonders hilfreich sein, um potenzielle Sicherheitsprobleme zu identifizieren, verdächtiges Verhalten zu untersuchen und Zugriffsprobleme zu beheben. Das Workspace-Auditprotokolle lässt sich bequem im CSV-Format exportieren. Unternehmenskund/-innen können auch unsere Data Loss Prevention (DLP)-Partnereinbindungen nutzen, um sensible Daten in Notion zu erkennen, zu klassifizieren und zu schützen.
Integritätskontrollen Implementiere Richtlinien und Verfahren, um geschützte digitale Gesundheitsinformationen vor unzulässiger Änderung oder Zerstörung zu schützen. Implementiere digitale Mechanismen, um zu bestätigen, dass geschützte digitale Gesundheitsinformationen nicht unbefugterweise verändert oder zerstört wurden. Implementiere Sicherheitsmaßnahmen, um zu gewährleisten, dass digital übermittelte geschützte digitale Gesundheitsdaten bis zu ihrer Löschung nicht heimlich auf unzulässige Weise verändert werden können.	Öffentliche Freigabe deaktivieren: Dadurch wird die Option „Im Web teilen“ im Freigabemenü auf allen Seiten in diesem Workspace deaktiviert. Gäste deaktivieren: Mit dieser Einstellung werden Mitglieder daran gehindert, Personen außerhalb des Workspaces auf eine Seite einzuladen. Du musst dieses Steuerelement nicht verwenden, wenn du Gäste nach Bedarf einladen möchtest, aber Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien und Arbeitgebern verwendet werden. Wenn du Gäste aktivieren möchtest, empfehlen wir, die Option Gästeanfragen zu aktivieren. Dadurch wird ein Genehmigungsverfahren implementiert, sodass Gäste in deinem Workspace zugelassen sind und gleichzeitig die Einhaltung des HIPAA gewährleistet ist. Verschieben von Seiten deaktivieren: Dies verhindert, dass jemand Seiten über die Aktion „Verschieben nach“ oder „Duplizieren“ in andere Workspaces verschieben oder duplizieren kann. Export deaktivieren: Hiermit wird unterbunden, dass jemand Seiten als Markdown, CSV oder PDF exportiert. Workspace-Erstellung deaktivieren: Dadurch wird verhindert, dass jemand ohne Genehmigung neue Workspaces erstellt. Erweiterungen von Drittanbietern deaktivieren oder in die genehmigte Liste aufnehmen: Dadurch wird verhindert, dass jemand deinem Notion-Workspace nicht genehmigte Erweiterungen von Drittanbietern hinzufügt. Zugriff auf externe Workspaces deaktivieren: Dadurch wird verhindert, dass verwaltete Benutzer/-innen externen Workspaces außerhalb deiner Organisation beitreten oder darauf zugreifen.
Authentifizierung von Personen oder Organisationen Implementiere Verfahren, um zu überprüfen, ob Personen oder Organisationen, die Zugang zu geschützten digitalen Gesundheitsinformationen beantragen, auch wirklich diejenigen sind, für die sich ausgeben.	Profiländerungen deaktivieren: Dadurch wird verhindert, dass verwaltete Benutzer/-innen ihre eigenen Profilinformationen ändern, um Identitätsfälschungen vorzubeugen. Domain-Management: Als Domain wird die E-Mail-Adresse bezeichnet, die mit einem Notion-Konto verknüpft ist. Per Domain-Verifizierung weisen sich Workspace-Besitzer/-innen als solche aus, wodurch die Einstellungen für die Domain-Verwaltung freigeschaltet werden. Gäste deaktivieren: Mit dieser Einstellung werden Mitglieder daran gehindert, Personen außerhalb des Workspace auf eine Seite einzuladen. Du musst dieses Steuerelement nicht verwenden, wenn du Gäste nach Bedarf einladen möchtest, aber Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien und Arbeitgebern verwendet werden. Wenn du Gäste aktivieren möchtest, empfehlen wir, die Option Gästeanfragen zu aktivieren. Dadurch wird ein Genehmigungsverfahren implementiert, sodass Gäste in deinem Workspace zugelassen sind und gleichzeitig die Einhaltung des HIPAA gewährleistet ist. Verwaltetes Benutzerkonto sperren und löschen: Dadurch können verwaltete Benutzerkonten über das Dashboard für die Benutzerverwaltung gesperrt oder gelöscht werden. Löschen verwalteter Benutzerkonten deaktivieren: Dadurch wird verhindert, dass verwaltete Benutzer/-innen ihre Konten selbst löschen.
Datenaufbewahrung und -entsorgung Implementiere Richtlinien und Verfahren zur Regelung der endgültigen Entsorgung geschützter digitaler Gesundheitsinformationen und/oder der Hardware oder den digitalen Medien, auf denen sie gespeichert sind.	Der Papierkorb kann nicht auf einmal komplett geleert werden. Einzelne Seiten kannst du aber im Papierkorb durchaus dauerhaft entfernen. Nachdem du die Seite aus dem Papierkorb gelöscht hast, wird sie nach 30 Tagen von den Servern von Notion gelöscht. In unserer Datenbank legen wir Sicherheitskopien ab. So können wir bei Bedarf Snapshots deiner Inhalte aus den letzten 30 Tage wiederherstellen.
Übertragungssicherheit Implementiere technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf geschützte digitale Gesundheitsinformationen, die über ein digitales Kommunikationsnetzwerk übertragen werden. Implementiere einen Mechanismus zur Verschlüsselung geschützter digitaler Gesundheitsinformationen, wann immer dies für angemessen erachtet wird.	Verschlüsselung im Ruhezustand: Daten von Kund/-innen werden im Ruhezustand mit AES-256 verschlüsselt. Die Daten werden verschlüsselt, wenn sie sich in den internen Netzwerken von Notion befinden, sowie im Ruhezustand in Cloud-Speichern, Datenbanktabellen und Backups. Verschlüsselung während der Übertragung: Während der Übertragung gesendete Daten werden mit TLS 1.2 oder höher verschlüsselt.

Hinweis: Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativen Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt.

FAQs

Wie hoch sind die Kosten für die Aktivierung der HIPAA-Compliance?

Die HIPAA-Compliance ist für Kund/-innen mit einem Enterprise Plan und mehr als 100 Mitgliedern kostenlos verfügbar.

Die Kund/-innen müssen dem Business Associate Agreement von Notion zustimmen und Notion in einer Weise nutzen, die dem HIPAA, dem BAA und dem HIPAA Product Configuration Guide entspricht.

Wende dich für weitere Informationen an unser Team unter [email protected].

Welche Produkteinschränkungen gibt es bei der Aktivierung der HIPAA-Compliance?

Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien oder Arbeitgebern verwendet werden.
Die Benutzer/-innen dürfen ihre Gesundheitsinformationen in keinem der folgenden Felder oder Funktionen angeben:
- Workspace- oder Organisationsnamen
- Teamspace-Namen
- Dateinamen
- Konto/Benutzerprofil
- Name der Benutzergruppen
Supportanfragen und die zugehörigen Anlagen dürfen keine Gesundheitsinformationen enthalten.
Das KI-Add-On von Notion und alle KI-Funktionen von Notion dürfen nicht in einem Workspace verwendet/eingesetzt werden, für den ein BAA unterzeichnet wurde. Diese Funktionen unterliegen nicht den Verpflichtungen von Notion im BAA.
Cron und alle Cron-Funktionen fallen nicht unter das BAA und sollten daher nicht in einer Weise genutzt/eingesetzt werden, die geschützte Gesundheitsdaten erfasst oder verarbeitet.

Wird es weiterhin Einbindungen geben?

Ja, zuvor aktivierte Apps bleiben aktiviert. Die Admins sollten die vorhandenen Einbindungen überprüfen, um sicherzustellen, dass sie den Vorschriften entsprechen. Die Admins können das Hinzufügen neuer Einbindungen, die nicht auf der Zulassungsliste stehen, deaktivieren.

Feedback geben

War diese Ressource hilfreich?

Als nächstes

Teamspaces verwalten

Workspace-Besitzer/-innen können sich einen Überblick über alle Teamspaces innerhalb des Workspaces verschaffen, deren Einstellungen ändern und weitere Verwaltungstools nutzen 🪂