HIPAA-Konfiguration
Dieser Artikel bietet Benutzer/-innen die erforderlichen Produktkonfigurationen, um ihren Notion-Workspace HIPAA-konform zu machen 🏥
Zu den FAQsDer Health Insurance Portability and Accountability Act (HIPAA) ist ein 1996 erlassenes US-Bundesgesetz, das den Schutz und die vertrauliche Behandlung geschützter Gesundheitsinformationen durch betroffene Organisationen wie Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen sowie deren Geschäftspartner vorschreibt.
Dieser Artikel bietet Benutzer/-innen die erforderlichen Produktkonfigurationen, um ihren Notion-Workspace HIPAA-konform zu machen.
Hinweis: Das Business Associate Agreement (BAA) von Notion regelt den Schutz persönlicher Gesundheitsinformationen, die im Notion-Dienst gespeichert sind. Um zur Unterzeichnung des BAA von Notion berechtigt zu sein, musst du unseren Enterprise Plan abonnieren.
Notion Calendar und alle Notion-Calendar-Funktionen fallen nicht unter das BAA und dürfen daher nicht in einer Weise verwendet oder eingesetzt werden, bei der geschützte Gesundheitsinformationen verarbeitet werden.
Sollten die Formulierungen auf dieser Seite und die Formulierungen im BAA zu irgendeinem Zeitpunkt im Widerspruch zueinander stehen, ist das BAA maßgeblich.
Unterstützende Konfigurationen von Notion | |
---|---|
Zugangskontrolle Implementiere technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronisch geschützte Gesundheitsinformationen verwalten. So erhalten nur die Personen oder Softwareprogramme Zugriff, denen auch Zugriffsrechte gewährt wurden. | Die SAML SSO von Notion basiert auf dem SAML-2.0-Standard und verbindet deinen Identitätsanbieter (Identity Provider, IDP) und deine(n) Workspace(s), um die Anmeldung einfacher und sicherer zu gestalten. Notion unterstützt offizielle Konfigurationen für SAML SSO mit Azure, Google, Gusto, Okta, OneLogin und Rippling.Führe die folgenden Schritte aus, um SAML SSO mit Notion zu verwenden:
•Weitere Workspaces verknüpfen: Wenn du über mehr als einen Workspace verfügst, den du mit SSO konfigurieren möchtest, kannst du dies tun, indem du dich an team@makenotion.com wendest. Nach der ordnungsgemäßen Konfiguration müssen alle Mitglieder, die sich bei deinen Workspaces anmelden, die verifizierte Domain verwenden und über deinen Identitätsanbieter authentifiziert werden. Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativer Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt. |
Eindeutige Benutzeridentifikation Weise einen eindeutigen Namen und/oder eine eindeutige Nummer zu, um die Benutzeridentität zu identifizieren und zu verfolgen. | Notion verfügt über eine SCIM-API, die zum Bereitstellen, Verwalten und Aufheben der Bereitstellung von Mitgliedern und Gruppen verwendet werden kann. Workspace-Besitzer/-innen finden den erforderlichen API-Schlüssel, indem sie zu |
Notfallzugangsverfahren Lege Verfahren fest (und implementiere diese bei Bedarf), um im Notfall die erforderlichen geschützten digitalen Gesundheitsinformationen zu erhalten. | Die Inhaltssuche bietet Workspace-Besitzer/-innen im Enterprise Plan Einblicke in die Workspace-Inhalte, um die Steuerung des Workspaces zu verbessern und Probleme beim Seitenzugriff zu lösen: |
Automatische Abmeldung Implementiere digitale Verfahren, die eine digitale Sitzung nach einer vorgegebenen Zeit der Inaktivität beenden. | Benutzerdefinierte Sitzungsdauer festlegen: Für verwaltete Nutzer/-innen im Enterprise Plan gilt in Notion eine Standardsitzungsdauer von 180 Tagen. Workspace-Besitzer/-innen können ihre Sitzungsdauer jedoch von 1 Stunde bis 180 Tage anpassen. |
Auditkontrollen Implementiere Hardware, Software und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, welche geschützte digitale Gesundheitsinformationen enthalten oder verwenden. | Workspace-Besitzer/-innen im Enterprise Plan haben Zugriff auf ein Auditprotokoll (unter Dies kann besonders hilfreich sein, um potenzielle Sicherheitsprobleme zu identifizieren, verdächtiges Verhalten zu untersuchen und Zugriffsprobleme zu beheben. Das Workspace-Auditprotokolle lässt sich bequem im CSV-Format exportieren. Unternehmenskund/-innen können auch unsere Data Loss Prevention (DLP)-Partnereinbindungen nutzen, um sensible Daten in Notion zu erkennen, zu klassifizieren und zu schützen. |
Integritätskontrollen Implementiere Richtlinien und Verfahren, um geschützte digitale Gesundheitsinformationen vor unzulässiger Änderung oder Zerstörung zu schützen. | Öffentliche Freigabe deaktivieren: Dadurch wird die Option „Im Web teilen“ im Freigabemenü auf allen Seiten in diesem Workspace deaktiviert. |
Authentifizierung von Personen oder Organisationen Implementiere Verfahren, um zu überprüfen, ob Personen oder Organisationen, die Zugang zu geschützten digitalen Gesundheitsinformationen beantragen, auch wirklich diejenigen sind, für die sich ausgeben. | Profiländerungen deaktivieren: Dadurch wird verhindert, dass verwaltete Benutzer/-innen ihre eigenen Profilinformationen ändern, um Identitätsfälschungen vorzubeugen. |
Datenaufbewahrung und -entsorgung Implementiere Richtlinien und Verfahren zur Regelung der endgültigen Entsorgung geschützter digitaler Gesundheitsinformationen und/oder der Hardware oder den digitalen Medien, auf denen sie gespeichert sind. | Der Papierkorb kann nicht auf einmal komplett geleert werden. Einzelne Seiten kannst du aber im Papierkorb durchaus dauerhaft entfernen. Nachdem du die Seite aus dem Papierkorb gelöscht hast, wird sie nach 30 Tagen von den Servern von Notion gelöscht. In unserer Datenbank legen wir Sicherheitskopien ab. So können wir bei Bedarf Snapshots deiner Inhalte aus den letzten 30 Tage wiederherstellen. |
Übertragungssicherheit Implementiere technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem | Verschlüsselung im Ruhezustand: Daten von Kund/-innen werden im Ruhezustand mit AES-256 verschlüsselt. Die Daten werden verschlüsselt, wenn sie sich in den internen Netzwerken von Notion befinden, sowie im Ruhezustand in Cloud-Speichern, Datenbanktabellen und Backups. |
Hinweis: Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativen Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt.
FAQs
Wie hoch sind die Kosten für die Aktivierung der HIPAA-Compliance?
Die HIPAA-Compliance ist für Kund/-innen mit einem Enterprise Plan und mehr als 100 Mitgliedern kostenlos verfügbar.
Die Kund/-innen müssen dem Business Associate Agreement von Notion zustimmen und Notion in einer Weise nutzen, die dem HIPAA, dem BAA und dem HIPAA Product Configuration Guide entspricht.
Wende dich für weitere Informationen an unser Team unter team@makenotion.com.
Welche Produkteinschränkungen gibt es bei der Aktivierung der HIPAA-Compliance?
Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien oder Arbeitgebern verwendet werden.
Die Benutzer/-innen dürfen ihre Gesundheitsinformationen in keinem der folgenden Felder oder Funktionen angeben:
Workspace- oder Organisationsnamen
Teamspace-Namen
Dateinamen
Konto/Benutzerprofil
Name der Benutzergruppen
Supportanfragen und die zugehörigen Anlagen dürfen keine Gesundheitsinformationen enthalten.
Das KI-Add-On von Notion und alle KI-Funktionen von Notion dürfen nicht in einem Workspace verwendet/eingesetzt werden, für den ein BAA unterzeichnet wurde. Diese Funktionen unterliegen nicht den Verpflichtungen von Notion im BAA.
Cron und alle Cron-Funktionen fallen nicht unter das BAA und sollten daher nicht in einer Weise genutzt/eingesetzt werden, die geschützte Gesundheitsdaten erfasst oder verarbeitet.
Wird es weiterhin Einbindungen geben?
Ja, zuvor aktivierte Apps bleiben aktiviert. Die Admins sollten die vorhandenen Einbindungen überprüfen, um sicherzustellen, dass sie den Vorschriften entsprechen. Die Admins können das Hinzufügen neuer Einbindungen, die nicht auf der Zulassungsliste stehen, deaktivieren.