ActorDO, als Backend-System, das den intelligenten KI-Assistenten antreibt, ist HIPAA-konform.

Hier ist alles, was Sie wissen müssen über die HIPAA-Konformität von Actor.

Unser Ansatz zur HIPAA-Compliance

  • Richtlinien und Verfahren: Übersicht über Ihre internen Richtlinien zur Erfüllung der HIPAA-Standards.
  • Maßnahmen zum Datenschutz: Zusammenfassung technischer Schutzmaßnahmen (Verschlüsselung, Zugriffssteuerung, Prüfprotokolle).
  • Administrative Schutzmaßnahmen: Mitarbeiterschulungen, Risikobewertungen, Aufgaben des Compliance-Beauftragten.
  • Physische Schutzmaßnahmen: Sicherheit von Rechenzentren, Schutz der Hardware.

Wenn Sie E-Mail oder Kalender als eine der folgenden Entitäten verwenden, können Sie Actor sicher als Ihren HIPAA-konformen KI-Assistenten sowie als konforme E-Mail- und Kalenderlösung einsetzen.

  • Gesundheitsdienstleister
    • Ärzte 
    • Kliniken 
    • Psychologen 
    • Zahnärzte 
    • Chiropraktiker 
    • Pflegeheime 
    • Apotheken 
    • Gesundheitsplan  
  • Krankenversicherungen
    • HMO-Pläne 
    • Betriebliche Gesundheitspläne 
    • Staatliche Gesundheitspläne 

Actor-Richtlinien zur HIPAA-Compliance

Richtlinien & VerfahrenSiehe unten
DatenschutzmaßnahmenAlles unter Datensicherheit
Administrative Schutzmaßnahmen
Physische SchutzmaßnahmenJegliche physische Unterstützung der Daten, die wir verwalten, ist durch unsere Richtlinie zur Datensicherheit

Actor schützt alle der folgenden Daten, die potenziell als individuell identifizierbare Gesundheitsinformationen gelten könnten:

  • Namen und Geburtsdaten 
  • Daten im Zusammenhang mit Geburt, Tod, Behandlungsplänen oder mit ihrer Krankheit und medizinischen Versorgung 
  • Kontaktinformationen wie Telefonnummern, physische Anschriften und E-Mail-Adressen. 
  • Sozialversicherungsnummern 
  • Krankenaktennummern 
  • Fotografien und digitale Bilder 
  • Fingerabdrücke und Sprachaufnahmen 
  • Jede andere Form eindeutiger Identifikation oder Kontonummer 

Wenn auf diese Informationen innerhalb von E-Mail-Inhalten, die Actor liest, zugegriffen werden kann, sind die folgenden Prozesse implementiert.

ACTOR speichert keinerlei Daten auf unseren Servern oder in unseren Datenbanken. Wir lesen Daten, verarbeiten sie im Arbeitsspeicher und verwerfen sie sofort. Keine Daten zu speichern ist die sicherste Methode, um konform zu sein.
ACTOR verwendet Daten nicht zur Schulung von KI-/ML-Modellen. Daten werden nicht zur Schulung von ML-/KI-Modellen verwendet, weder intern noch von Drittanbietern.
ACTOR gewährt keinerlei Personen Zugriff auf Ihre E-Mail-Inhalte.. Es gibt keinerlei Möglichkeit, dass unser Entwicklungs-/Geschäftsteam Zugriff auf Ihre E-Mail-Inhalte hat.

Business-Associate-Vereinbarung (BAA)

Als HIPAA-konformer SaaS-Anbieter verstehen wir die entscheidende Rolle der Business-Associate-Vereinbarung (BAA) für die Einhaltung der HIPAA-Vorschriften.

Wenn dies für Ihr Unternehmen erforderlich ist, können wir eine Vereinbarung unterzeichnen, die unsere Verantwortlichkeiten beim Schutz Ihrer geschützten Gesundheitsinformationen (PHI) festlegt und sicherstellt, dass beide Parteien die HIPAA-Anforderungen einhalten.

Unser Engagement

  • Wir einen BAA unterzeichnen mit allen abgedeckten Stellen und Geschäftspartnern, die unsere SaaS-Lösung nutzen und PHI verarbeiten.
  • Unser BAA enthält alle erforderlichen HIPAA-Klauseln und entspricht den neuesten regulatorischen Standards.
  • Wir setzen die im BAA beschriebenen Richtlinien und Kontrollen strikt durch, um Ihre Daten zu schützen.
  • Wir stellen sicher, dass alle Subunternehmer und Dritte, die Zugriff auf PHI haben könnten, durch ähnliche Vereinbarungen ebenfalls HIPAA-konform sind.

So beantragen Sie eine BAA

  • Kontaktieren Sie einfach unser Support- oder Compliance-Team unter alex@actordo.com
  • Wir stellen Ihnen eine BAA-Vorlage zur Prüfung und Unterschrift zur Verfügung.
  • BAAs sind für die Business-Pläne von Actor verfügbar.
  • Nach Unterzeichnung wird das BAA in Ihre Kundenvereinbarung aufgenommen und gewährleistet den rechtlichen Schutz beider Parteien.

Überblick zur HIPAA-Compliance 

HIPAA-Compliance-Prüfungen können herausfordernd sein und den normalen Arbeitsalltag stören. Hier sind einige Fragen, die Sie im Vorfeld beantworten können und die Ihnen helfen, besser einzuschätzen, was Sie während einer HIPAA-Compliance-Prüfung erwarten könnte: 

  • Wer hat Zugriff auf PHI/ePHI? 
    • Niemand. Es werden keine Daten aus Ihrer E‑Mail oder Ihrem Kalender in unseren Systemen gespeichert.
  • Prüfen Sie regelmäßig Berechtigungen, damit sie aktuell und auf dem neuesten Stand sind? 
    • Ja
  • Sind Sie sich zu 100 % sicher, dass keine ePHI gespeichert ist, von der Sie nichts wissen? 
    • Ja. Keine Daten zu speichern ist die erste und beste Methode, um konform zu sein.
  • Können Sie alle Dateiaktivitäten, die an ePHI stattfinden, problemlos identifizieren? 
    • Wir protokollieren alle Benutzeraktionen, die möglicherweise Zugriff auf ePHI ermöglichen.
  • Befolgen Sie die üblichen Sicherheitspraktiken?

Interne Richtlinien und Verfahren

Wir pflegen umfassende Richtlinien und Verfahren, die die fortlaufende Einhaltung der HIPAA-Vorschriften sicherstellen, darunter:

  • Risikobewertungen: Regelmäßige Bewertungen zur Identifizierung und Abschwächung potenzieller Schwachstellen, die geschützte Gesundheitsinformationen (PHI) betreffen.
  • Zugriffskontrollen: Strikte Protokolle, die festlegen, wer basierend auf Aufgaben und Verantwortlichkeiten auf PHI zugreifen darf.
  • Vorfallmanagement: Definierte Prozesse zum Erkennen, Melden und Reagieren auf Sicherheitsvorfälle oder -verletzungen.
  • Mitarbeiterschulung: Verpflichtende HIPAA-Schulungen für alle Mitarbeiter zur Stärkung des Bewusstseins für Datenschutz und Sicherheit.
  • Standards für den Umgang mit Daten: Klare Richtlinien zum sicheren Erfassen, Speichern, Übermitteln und Entsorgen von PHI über den gesamten Lebenszyklus hinweg.

Unsere Richtlinien werden regelmäßig überprüft und aktualisiert, um regulatorische Änderungen und bewährte Branchenpraktiken zu berücksichtigen.

Administrative Schutzmaßnahmen

Unsere administrativen Schutzmaßnahmen sorgen dafür, dass HIPAA-Compliance im täglichen Betrieb verankert ist durch:

  • Zuständiger Compliance-Beauftragter: Verantwortlich für die Überwachung der HIPAA-Einhaltung und die Koordination von Compliance-Aktivitäten. Siehe Kontaktinformationen.
  • Mitarbeiterschulung und Sensibilisierung: Regelmäßige Schulungsprogramme, um alle Mitarbeitenden über HIPAA-Anforderungen und bewährte Datenschutzpraktiken aufzuklären.
  • Zugriffsverwaltung: Verfahren zur Zuweisung, Überprüfung und Entziehung von Benutzerzugängen basierend auf Rollen und Aufgaben.
  • Risikomanagement: Kontinuierliche Risikobewertungen und Minderungspläne zur Behebung von Schwachstellen im Zusammenhang mit geschützten Gesundheitsdaten (PHI).
  • Vorfallreaktionsplan: Es gibt etablierte Protokolle zur zeitnahen Handhabung und Meldung von Sicherheitsvorfällen oder Datenschutzverletzungen.
  • Management von Geschäftspartnern: Prozesse zur Bewertung und Überwachung von Drittanbietern auf HIPAA-Konformität, einschließlich formaler Vereinbarungen wie Business Associate Agreements (BAAs).

Diese administrativen Kontrollen bilden das Rückgrat unseres Engagements zum Schutz Ihrer sensiblen Gesundheitsdaten.

Nutzerrechte und Datenverarbeitung

Wir nehmen Ihre Rechte nach HIPAA sehr ernst und haben strikte Richtlinien und Verfahren eingeführt, um sicherzustellen, dass Ihre geschützten Gesundheitsinformationen (PHI) mit höchster Sorgfalt und in Übereinstimmung mit den Vorschriften behandelt werden.

Zugriff, Änderung und Portabilität

  • Recht auf Zugang: Autorisierte Nutzer haben das Recht, jederzeit auf ihre in unserem System gespeicherten PHI zuzugreifen, um Transparenz und Kontrolle über ihre persönlichen Gesundheitsdaten zu gewährleisten.
  • Recht auf Berichtigung: Nutzer können Korrekturen oder Aktualisierungen ihrer PHI anfordern, wenn sie die Informationen für ungenau oder unvollständig halten, um die Datenintegrität zu sichern.
  • Datenportabilität: Auf Anfrage stellen wir Nutzern eine sichere, maschinenlesbare Kopie ihrer PHI zur Verfügung, die den einfachen Transfer zu anderen HIPAA-konformen Systemen oder Anbietern ermöglicht.

Datenaufbewahrung und -entsorgung

  • PHI-Daten, die wir speichern, dürfen nur zu einem bestimmten Zweck abgelegt werden in:
    • benutzerdefinierte Actor-Aufforderungen
    • benutzerdefinierte Daten, Wissen und Kontext, die Sie bereitstellen
  • Wir bewahren PHI nur so lange auf, wie es nach HIPAA und geltendem Recht oder gemäß unseren Servicevereinbarungen erforderlich ist.
    • Wir senden Benachrichtigungen und Hinweise, um sicherzustellen, dass die von Ihnen eingefügten Daten keine PHI-Daten sind.
  • Wenn PHI nicht mehr benötigt wird, löschen oder anonymisieren wir die Daten sicher, um unbefugten Zugriff oder Offenlegung zu verhindern.
  • Unsere Datenvernichtungsprozesse entsprechen den HIPAA-Standards und bewährten Branchenverfahren, um die vollständige Vernichtung sensibler Informationen sicherzustellen.

Meldung von Sicherheitsvorfällen und Vorfallsreaktion

  • Für den unwahrscheinlichen Fall einer Datenschutzverletzung mit PHI haben wir einen umfassenden Incident-Response-Plan, um die Verletzung unverzüglich zu untersuchen und einzudämmen.
  • Wir informieren betroffene Kunden und die zuständigen Behörden gemäß den HIPAA-Meldepflichten innerhalb der vorgeschriebenen Fristen.
  • Unser Sicherheitsteam führt Ursachenanalysen durch und ergreift Korrekturmaßnahmen, um künftige Vorfälle zu verhindern.

Schulungen zu Vertraulichkeit und Sicherheit

  • Alle Mitarbeiter und Auftragnehmer mit Zugriff auf PHI erhalten verpflichtende HIPAA-Schulungen zu Vertraulichkeit, Sicherheitsmaßnahmen und Verhinderung von Datenschutzverletzungen.
  • Fortlaufende Schulungen stellen sicher, dass unser Team über regulatorische Änderungen und neue Bedrohungen informiert bleibt.

Actor speichert keine E-Mail-Inhalte auf seinen Servern.

Ihre Privatsphäre, unsere Priorität

Wenn Sie der ActorDO-Plattform vertrauen, übergeben Sie uns sensible Gesundheitsinformationen. Wir verpflichten uns uneingeschränkt, Ihre Datenschutzrechte zu schützen und alle HIPAA-Vorgaben einzuhalten.

Kontakt & Support

Unsere Kontaktdaten für HIPAA-bezogene Anfragen (E-Mail, Telefon)

  • alex@actordo.com
  • +41 76 465 67 65