HIPAA-Konfiguration
Erfahre, wie du deinen Notion-Workspace HIPAA-konform machst und wie du die HIPAA-Einhaltung aktivieren kannst 🏥
Zu den FAQsDer Health Insurance Portability and Accountability Act (HIPAA) ist ein 1996 erlassenes US-Bundesgesetz, das den Schutz und die vertrauliche Behandlung geschützter Gesundheitsinformationen durch betroffene Organisationen wie Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen sowie deren Geschäftspartner vorschreibt.
Dieser Artikel bietet Benutzer/-innen die erforderlichen Produktkonfigurationen, um ihren Notion-Workspace HIPAA-konform zu machen.
Hinweis: Das Business Associate Agreement (BAA) von Notion regelt den Schutz persönlicher Gesundheitsinformationen, die im Notion-Dienst gespeichert sind. Um zur Unterzeichnung des BAA von Notion berechtigt zu sein, musst du unseren Enterprise Plan abonnieren.
Notion Calendar, alle Notion-Calendar-Funktionen und alle Beta-Dienste fallen nicht unter das BAA und dürfen daher nicht in einer Art und Weise verwendet oder eingesetzt werden, bei der geschützte Gesundheitsinformationen verarbeitet werden.
Sollten die Formulierungen auf dieser Seite und die Formulierungen im BAA zu irgendeinem Zeitpunkt im Widerspruch zueinander stehen, ist das BAA maßgeblich.
Unterstützende Konfigurationen von Notion | |
---|---|
Zugangskontrolle Implementiere technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronisch geschützte Gesundheitsinformationen verwalten. So erhalten nur die Personen oder Softwareprogramme Zugriff, denen auch Zugriffsrechte gewährt wurden. | Die SAML SSO von Notion basiert auf dem SAML-2.0-Standard und verbindet deinen Identitätsanbieter (Identity Provider, IDP) und deine(n) Workspace(s), um die Anmeldung einfacher und sicherer zu machen. Notion unterstützt offizielle Konfigurationen für SAML SSO mit Azure, Google, Gusto, Okta, OneLogin und Rippling. Führe die folgenden Schritte aus, um SAML SSO mit Notion zu verwenden: Domain(s) verifizieren: Um erweiterte Sicherheitsfunktionen nutzen zu können, musst du verifizieren, dass du deine E-Mail-Domain besitzt. Dies ist ein automatisierter Prozess, bei dem ein TXT-Eintrag zum DNS deiner Domain hinzugefügt wird, um zu verifizieren, dass du die Domain besitzt. SAML SSO aktivieren: Damit wird die Funktion aktiviert und die Konfiguration abgeschlossen. Weitere Informationen zum Abschluss der SAML-SSO-Konfiguration findest du in diesem Artikel. Standard-Anmeldemethode ändern: Mit der erstmaligen Aktivierung von SAML SSO wird die Standard-Anmeldemethode auf Weitere Workspaces verknüpfen: Wenn du über mehr als einen Workspace verfügst, den du mit SSO konfigurieren möchtest, kannst du dies tun, indem du dich an [email protected] wendest. Nach der ordnungsgemäßen Konfiguration müssen alle Mitglieder, die sich bei deinen Workspaces anmelden, die verifizierte Domain verwenden und über deinen Identitätsanbieter authentifiziert werden. Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativer Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt. |
Eindeutige Benutzeridentifikation Weise einen eindeutigen Namen und/oder eine eindeutige Nummer zu, um die Benutzeridentität zu identifizieren und zu tracken. | Notion verfügt über eine SCIM-API, die zum Bereitstellen, Verwalten und Aufheben der Bereitstellung von Mitgliedern und Gruppen verwendet werden kann. Workspace-Besitzer/-innen finden den erforderlichen API-Schlüssel, indem sie zu |
Notfallzugangsverfahren Lege Verfahren fest (und implementiere diese bei Bedarf), um im Notfall die erforderlichen geschützten digitalen Gesundheitsinformationen zu erhalten. | Die Inhaltssuche bietet Workspace-Besitzer/-innen im Enterprise Plan Einblicke in die Workspace-Inhalte, um die Steuerung des Workspace zu verbessern und Probleme beim Seitenzugriff zu lösen. Mit der Inhaltssuche kannst du: |
Automatische Abmeldung Implementiere digitale Verfahren, die eine digitale Sitzung nach einer vorher festgelegten Zeit der Inaktivität beenden. | Benutzerdefinierte Sitzungsdauer festlegen: Für verwaltete Nutzer/-innen im Enterprise Plan gilt in Notion eine Standardsitzungsdauer von 180 Tagen. Workspace-Besitzer/-innen können ihre Sitzungsdauer jedoch von 1 Stunde bis 180 Tage anpassen. |
Auditkontrollen Implementiere Hardware, Software und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, welche geschützte digitale Gesundheitsinformationen enthalten oder verwenden. | Workspace-Besitzer/-innen haben über Dies kann besonders hilfreich sein, um potenzielle Sicherheitsprobleme zu identifizieren, verdächtiges Verhalten zu untersuchen und Zugriffsprobleme zu beheben. Das Workspace-Auditprotokolle lässt sich bequem im CSV-Format exportieren. Unternehmenskund/-innen können auch unsere Data Loss Prevention (DLP)-Partnereinbindungen nutzen, um sensible Daten in Notion zu erkennen, zu klassifizieren und zu schützen. |
Integritätskontrollen Implementiere Richtlinien und Verfahren, um geschützte digitale Gesundheitsinformationen vor unzulässiger Änderung oder Zerstörung zu schützen. | Öffentliche Freigabe deaktivieren: Dadurch wird die Option „Im Web teilen“ im Freigabemenü auf allen Seiten in diesem Workspace deaktiviert. |
Authentifizierung von Personen oder Organisationen Implementiere Verfahren, um zu überprüfen, ob Personen oder Organisationen, die Zugang zu geschützten digitalen Gesundheitsinformationen beantragen, auch wirklich diejenigen sind, für die sich ausgeben. | Profiländerungen deaktivieren: Dadurch wird verhindert, dass verwaltete Benutzer/-innen ihre eigenen Profilinformationen ändern, um Identitätsfälschungen vorzubeugen. |
Datenaufbewahrung und -entsorgung Implementiere Richtlinien und Verfahren zur Regelung der endgültigen Entsorgung geschützter digitaler Gesundheitsinformationen und/oder der Hardware oder der digitalen Medien, auf denen sie gespeichert sind. | Mit den individuellen Einstellungen zur Datenspeicherung können Besitzer/-innen von Enterprise-Workspaces kontrollieren, wann die Seiten von Benutzer/-innen aus dem Papierkorb gelöscht werden und wie lange sie danach aufbewahrt werden können. In unserer Datenbank legen wir Sicherheitskopien ab. So können wir bei Bedarf Snapshots deiner Inhalte aus den letzten 30 Tage wiederherstellen. |
Übertragungssicherheit Implementiere technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem | Verschlüsselung im Ruhezustand: Daten von Kund/-innen werden im Ruhezustand mit AES-256 verschlüsselt. Die Daten werden verschlüsselt, wenn sie sich in den internen Netzwerken von Notion befinden, sowie im Ruhezustand in Cloud-Speichern, Datenbanktabellen und Backups. |
Hinweis: Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativen Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt.
So aktivierst du die HIPAA-Einhaltung für deinen Workspace:
Gehe in deiner Seitenleiste zu
Einstellungen
→Workspace-Einstellungen
→HIPAA-Einhaltung
→Aktivieren
.Es wird ein Fenster angezeigt, in dem du die vollständig unterzeichnete BAA-Vereinbarung lesen kannst, bevor du
Akzeptieren
auswählst.Sobald du sie akzeptiert hast, erhältst du eine Bestätigung, dass die HIPAA-Einhaltung aktiviert wurde. Du erhältst außerdem eine E-Mail, in der bestätigt wird, das dein Workspace die HIPAA BAA akzeptiert hat.
Wenn du die HIPAA-Einhaltung für deinen Workspace deaktivieren möchtest:
Gehe in deiner Seitenleiste zu
Einstellungen
→Workspace-Einstellungen
→HIPAA-Einhaltung
→Deaktivieren
.Wähle im angezeigten Fenster
Ausschalten
.Sobald du akzeptiert hast, erhältst du eine Bestätigung, dass die HIPAA-Einhaltung deaktiviert wurde. Das bedeutet, dass du keine geschützten Gesundheitsinformationen (PHI) in deinem Notion-Workspace mehr speichern kannst. Du erhältst auch eine Bestätigungs-E-Mail.
FAQs
Wie hoch sind die Kosten für die Aktivierung der HIPAA-Compliance?
Wie hoch sind die Kosten für die Aktivierung der HIPAA-Compliance?
Die HIPAA-Einhaltung ist für Kund/-innen mit Enterprise Plan kostenlos verfügbar.
Die Kund/-innen müssen dem Business Associate Agreement von Notion zustimmen und Notion in einer Weise nutzen, die dem HIPAA, dem BAA und dem HIPAA Product Configuration Guide entspricht.
Welche Produkteinschränkungen gibt es bei der Aktivierung der HIPAA-Compliance?
Welche Produkteinschränkungen gibt es bei der Aktivierung der HIPAA-Compliance?
Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien oder Arbeitgebern verwendet werden.
Die Benutzer/-innen dürfen ihre Gesundheitsinformationen in keinem der folgenden Felder oder Funktionen angeben:
Workspace- oder Organisationsnamen
Teamspace-Namen
Dateinamen
Konto/Benutzerprofil
Name der Benutzergruppen
Supportanfragen und die zugehörigen Anlagen dürfen keine Gesundheitsinformationen enthalten.
Notion Calendar, alle Notion-Calendar-Funktionen und alle Beta-Dienste fallen nicht unter das BAA und dürfen daher nicht in einer Art und Weise verwendet oder eingesetzt werden, bei der geschützte Gesundheitsinformationen verarbeitet werden.
Wird es weiterhin Einbindungen geben?
Wird es weiterhin Einbindungen geben?
Ja, zuvor aktivierte Apps bleiben aktiviert. Die Admins sollten die vorhandenen Einbindungen überprüfen, um sicherzustellen, dass sie den Vorschriften entsprechen. Die Admins können das Hinzufügen neuer Einbindungen, die nicht auf der Zulassungsliste stehen, deaktivieren.