Atlassian gab vor Kurzem die sog. HIPAA (Health Insurance Portability and Accountability Act ) Compliance (Konformität) für Jira Software Cloud Enterprise and Confluence Cloud Enterprise bekannt. Bereits im letzten Jahr stellte sich Atlassian den strengen EBA- und/oder BaFin-Compliance Verordnungen. Mit der Bereitstellung des sog. EU FSA für Europäische Finanzdienstleistungsinstitute* konnte Atlassian Kunden, die in die Cloud migrieren wollen, eine DSGVO-konforme Nutzung seiner Cloud-Produkte sicherstellen. Nun geht Atlassian einen Schritt weiter und führt die HIPAA-konforme Nutzung von Jira Software Cloud Enterprise und Confluence Cloud Enterprise ein.
Laut Atlassian ist die HIPAA-Compliance ist ein weiterer wichtiger Meilenstein in seinem Bestreben, ein Cloud-first-Unternehmen aufzubauen, das die Datensicherheits- und Compliance-Anforderungen von Unternehmen erfüllt – besonders in stark regulierten Branchen wie dem Gesundheitssektor. Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-Bundesgesetz, das vom U.S. Department of Health and Human Services entwickelt wurde, um die Privatsphäre und die Sicherheit der geschützten Gesundheitsinformationen (Protected Health Information, PHI) einer Person zu schützen. Mit der Einführung der Compliance (HIPAA Security Rule) gewährleistet Atlassian Kunden nun auch die Sicherheit, Integrität und Vertraulichkeit von Daten, für Kunden, die Zugang zu PHI haben und die die Atlassian Cloud zur Speicherung und Verwaltung dieser Daten nutzen. Laut Atlassian gibt es eine Reihe von Kunden im Gesundheitswesen, aber auch in anderen Branchen, die eine HIPAA-Compliance benötigen und auf diese Funktionen sehnsüchtig gewartet haben.
Ohne diese Compliance können Unternehmen, die PHI verwalten, diese Daten nicht in der Atlassian Cloud bereitstellen oder speichern. Im Gegensatz zu anderen branchenspezifischen Vorschriften hängt die Einhaltung des HIPAA nicht von der Branche ab, in der Unternehmen tätig, sondern von der Art der Daten, die das Unternehmen verwaltet.
Damit die Atlassian Cloud für Kunden, die Atlassian-Produkte zum Speichern und zum Verarbeiten von PHI verwenden möchten, eine praktikable Option darstellt, ist es laut Atlassian enorm wichtig, diese integrierte Sicherheitskontrollen und Prozesse anzubieten (HIPAA Konformität). Mit der Einführung des sogenannten Business Associate Agreement (BAA) kann Atlassian nun neue oder umziehende Kunden freischalten und damit auch die Reichweite bei bestehenden Kunden erweitern.
Konkret heißt das: Bevor Atlassian einen Zugang zu PHI gewährt und diesen offenlegen kann, muss das Unternehmen ein BAA mit Atlassian abschließen. In diesem beschreibt Atlassian die zulässigen Verwendungszwecke von PHI. Außerdem verpflichtet sich Atlassian:
- Die PHI nur so zu verwenden oder weiterzugeben, wie es der Vertrag erlaubt oder wie es gesetzlich vorgeschrieben ist.
- Angemessene Sicherheitsvorkehrungen zu treffen, um eine unangemessene Nutzung oder Weitergabe von PHI zu verhindern.
Voraussetzungen: Kunden, die einer HIPAA-Compliance unterliegen und eine Partnerschaft mit Atlassian eingehen möchten, müssen einen Enterprise Plan erwerben und das BAA (Business Associate Agreement) abschließen, welches die entsprechenden Produkte und Dienstleistungen (Confluence Cloud, Jira Software Cloud) abdeckt. Nicht von der BAA betroffen sind Kunden, die über Editionen eines anderen Cloud-Produkts als Confluence Cloud oder Jira Software Cloud verfügen bzw. die Standard- oder Premium-Editionen eines der Produkte von Atlassian betreffen.
Diese Änderungen treten zum 15. Februar 2022 in Kraft.
Weitere Informationen zu dem Compliance-Programm von Atlassian finden Sie hier.
Eine Übersichtsseite, aufgeteilt in Region, Kategoerie und Branche bietet Atlassian auf dieser Seite: Compliance-Ressourcen.