Danke, dass du unser Hilfe-Center besuchst. Wir arbeiten gerade daran, alle Inhalte des Hilfe-Centers zu übersetzen, deshalb könntest du noch einige Artikel auf Englisch sehen. Vielen Dank für deine Geduld!

HIPAA-Konfiguration

HIPAA-Konfiguration
In diesem Artikel

Erfahre, wie du deinen Notion-Workspace HIPAA-konform machst und wie du die HIPAA-Einhaltung aktivieren kannst 🏥

Zu den FAQs

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein 1996 erlassenes US-Bundesgesetz, das den Schutz und die vertrauliche Behandlung geschützter Gesundheitsinformationen durch betroffene Organisationen wie Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen sowie deren Geschäftspartner vorschreibt.

Dieser Artikel bietet Benutzer/-innen die erforderlichen Produktkonfigurationen, um ihren Notion-Workspace HIPAA-konform zu machen.

Hinweis: Das Business Associate Agreement (BAA) von Notion regelt den Schutz persönlicher Gesundheitsinformationen, die im Notion-Dienst gespeichert sind. Um zur Unterzeichnung des BAA von Notion berechtigt zu sein, musst du unseren Enterprise Plan abonnieren.

Notion Calendar, alle Notion-Calendar-Funktionen und alle Beta-Dienste fallen nicht unter das BAA und dürfen daher nicht in einer Art und Weise verwendet oder eingesetzt werden, bei der geschützte Gesundheitsinformationen verarbeitet werden.

Sollten die Formulierungen auf dieser Seite und die Formulierungen im BAA zu irgendeinem Zeitpunkt im Widerspruch zueinander stehen, ist das BAA maßgeblich.

Konfiguration von Notion für HIPAA

Technische Sicherheitsanforderungen gemäß HIPAA

Unterstützende Konfigurationen von Notion

Zugangskontrolle

Implementiere technische Richtlinien und Verfahren für elektronische Informationssysteme, die elektronisch geschützte Gesundheitsinformationen verwalten. So erhalten nur die Personen oder Softwareprogramme Zugriff, denen auch Zugriffsrechte gewährt wurden.

Die SAML SSO von Notion basiert auf dem SAML-2.0-Standard und verbindet deinen Identitätsanbieter (Identity Provider, IDP) und deine(n) Workspace(s), um die Anmeldung einfacher und sicherer zu gestalten. Notion unterstützt offizielle Konfigurationen für SAML SSO mit Azure, Google, Gusto, Okta, OneLogin und Rippling.

Führe die folgenden Schritte aus, um SAML SSO in Notion zu verwenden:

Domain(s) verifizieren:Um erweiterte Sicherheitsfunktionen nutzen zu können, musst du den Besitz deiner E-Mail-Domain verifizieren. Dies ist ein automatisierter Prozess, bei dem ein TXT-Eintrag zum DNS deiner Domain hinzugefügt wird, um zu verifizieren, dass du die Domain besitzt.

SAML SSO aktivieren:Dadurch wird die Funktion aktiviert und die Konfiguration abgeschlossen. Weitere Informationen zum Abschluss der SAML-SSO-Konfiguration findest du in diesem Artikel.

Standard-Anmeldemethode ändern:Sobald SAML SSO zum ersten Mal aktiviert wird, wird die Standard-Anmeldemethode auf Jede Methode gesetzt, was bedeutet, dass Nutzer/-innen die Möglichkeit haben, sich über SAML oder ihre normale Anmeldemethode anzumelden. Indem du diese Einstellung auf Nur SAML SSO festlegst, wird SAML als Anmeldemethode für deinen Workspace für verwaltete Benutzer/-innen mit einer verifizierten geschäftlichen E-Mail-Adresse erzwungen.

Zusätzliche Workspaces verknüpfen:Wenn du mehr als einen Workspace hast, den du mit SSO konfigurieren möchtest, kannst du dich an [email protected] wenden.

Nach der ordnungsgemäßen Konfiguration müssen alle Mitglieder, die sich bei deinen Workspaces anmelden, die verifizierte Domain verwenden und über deinen Identitätsanbieter authentifiziert werden. Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativer Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt.

Eindeutige Benutzeridentifikation

Weise einen eindeutigen Namen und/oder eine eindeutige Nummer zu, um die Benutzeridentität zu identifizieren und zu tracken.

Notion verfügt über eine SCIM-API, die zum Bereitstellen, Verwalten und Aufheben der Bereitstellung von Mitgliedern und Gruppen verwendet werden kann. Workspace-Besitzer/-innen können den erforderlichen API-Schlüssel finden, indem sie zu EinstellungenSicherheit und IdentitätSCIM-Konfiguration gehen und klicken, um das Token anzuzeigen.

Die neuesten Informationen darüber, wie du mit der SCIM-API von Notion interagieren kannst, findest du in unserer SCIM-Dokumentation. Notion unterstützt offizielle Google-, Gusto-, Okta-, OneLogin- und Rippling-SCIM-Anwendungen.

Notfallzugangsverfahren

Lege Verfahren fest (und implementiere diese bei Bedarf), um im Notfall die erforderlichen geschützten digitalen Gesundheitsinformationen zu erhalten.

Die Inhaltssuche bietet Workspace-Besitzer/-innen im Enterprise Plan Einblicke in die Workspace-Inhalte, um die Steuerung des Workspace zu verbessern und Probleme beim Seitenzugriff zu lösen. Mit der Inhaltssuche kannst du:

• Anzeigen lassen, wer Zugriff auf eine Seite hat
• Berechtigungen einer Seite ändern
• Ungenutzte Seiten von ehemaligen Mitgliedern auffinden und erneut zuweisen

Du kannst eine Notion-Seite, eine Datenbank oder den gesamten Workspace jederzeit exportieren.

Aktiviere für Notion Mail die HIPAA-Konformität mit Google Workspace.

Automatische Abmeldung

Implementiere digitale Verfahren, die eine digitale Sitzung nach einer vorher festgelegten Zeit der Inaktivität beenden.

Individuelle Sitzungsdauer festlegen: Für verwaltete Nutzer/-innen mit Enterprise Plan gilt bei Notion eine Standard-Sitzungsdauer von 180 Tagen. Workspace-Besitzer/-innen können die Dauer ihrer Sitzungen jedoch individuell von 1 Stunde bis zu 180 Tagen festlegen.

Abmeldung für verwaltete Nutzer/-innen erzwingen: Erzwinge die Abmeldung einzelner Nutzer/-innen oder aller Workspace-Nutzer/-innen auf einmal.

Zurücksetzen des Passworts erzwingen: Erzwinge das Zurücksetzen des Passworts für einzelne Nutzer/-innen oder für alle Workspace-Nutzer/-innen gleichzeitig.

Wenn du die Bereitstellung eines/-r Nutzer/-in über SCIM aufhebst, wird er oder sie aus dem Workspace entfernt und die Sitzung beendet.

Auditkontrollen

Implementiere Hardware, Software und/oder Verfahrensmechanismen, die Aktivitäten in Informationssystemen aufzeichnen und untersuchen, welche geschützte digitale Gesundheitsinformationen enthalten oder verwenden.

Workspace-Besitzer/-innen haben über Einstellungen Zugriff auf ein Audit-Log. Es bietet einen Überblick über eine Vielzahl von Ereignissen, die im Workspace stattgefunden haben.

Dies kann besonders hilfreich sein, um potenzielle Sicherheitsprobleme zu identifizieren, verdächtiges Verhalten zu untersuchen und Zugriffsprobleme zu beheben. Das Workspace-Auditprotokolle lässt sich bequem im CSV-Format exportieren.

Unternehmenskund/-innen können auch unsere Data Loss Prevention (DLP)-Partnereinbindungen nutzen, um sensible Daten in Notion zu erkennen, zu klassifizieren und zu schützen.

Aktiviere für Notion Mail die HIPAA-Konformität mit Google Workspace.

Integritätskontrollen

Setze Richtlinien und Verfahren zum Schutz elektronisch geschützter Gesundheitsinformationen vor unsachgemäßer Änderung oder Vernichtung um.

Setze elektronische Mechanismen ein, um zu bestätigen, dass elektronisch geschützte Gesundheitsinformationen nicht auf unbefugte Weise geändert oder vernichtet wurden.

Setze Sicherheitsmaßnahmen ein, um sicherzustellen, dass elektronisch übertragene elektronisch geschützte Gesundheitsinformationen bis zu ihrer Löschung nicht unentdeckt unsachgemäß verändert werden.

Öffentliches Teilen von Seiten deaktivieren: Dadurch wird die Option „Im Web teilen“ im Menü „Teilen“ auf jeder Seite in diesem Workspace deaktiviert.

Gäste deaktivieren: Dadurch wird verhindert, dass Personen außerhalb des Workspaces zu einer Seite eingeladen werden können. Du musst dieses Steuerelement nicht verwenden, wenn du Gäste nach Bedarf einladen möchtest, aber Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien und Arbeitgebern verwendet werden. Wenn du Gäste aktivieren möchtest, empfehlen wir, die Option Gästeanfragen zu aktivieren. Hiermit wird ein Genehmigungsprozess implementiert, sodass du Gäste in deinem Workspace haben kannst, während die Einhaltung der HIPAA-Vorschriften gewährleistet ist.

Verschieben oder Duplizieren von Seiten in andere Workspaces deaktivieren: Hierdurch wird verhindert, dass jemand Seiten über die Aktion „Verschieben nach“ oder „Duplizieren“ in andere Workspaces verschiebt oder dupliziert.

Export deaktivieren: Dies verhindert, dass jemand Seiten als Markdown, CSV oder PDF exportiert.

Erstellung von Workspaces deaktivieren: Dies verhindert, dass jemand ohne Genehmigung neue Workspaces erstellt.

Erweiterungen von Drittanbietern deaktivieren oder zulassen: Dies verhindert, dass jemand nicht genehmigte Erweiterungen von Drittanbietern zu deinem Notion-Workspace hinzufügt.

Zugriff auf externe Workspaces deaktivieren: Dies verhindert, dass verwaltete Nutzer/-innen externen Workspaces außerhalb deiner Organisation beitreten oder darauf zugreifen.

Aktiviere für Notion Mail die HIPAA-Konformität mit Google Workspace.

Authentifizierung von Personen oder Organisationen

Implementiere Verfahren, um zu überprüfen, ob Personen oder Organisationen, die Zugang zu geschützten digitalen Gesundheitsinformationen beantragen, auch wirklich diejenigen sind, für die sich ausgeben.

Profiländerungen deaktivieren: Dies verhindert, dass verwaltete Nutzer/-innen ihre eigenen Profilinformationen ändern, um Identitätswechsel zu vermeiden.

Domain-Verwaltung: Domain bezieht sich auf die Domain deiner E-Mail-Adresse, die mit einem Notion-Konto verknüpft ist. Die Domain-Überprüfung ermöglicht es Workspace-Besitzer/-innen, den Besitz einer Domain zu beanspruchen, wodurch die Domain-Verwaltungseinstellungen freigeschaltet werden.

Gäste deaktivieren: Dadurch wird verhindert, dass Personen außerhalb des Workspace zu einer Seite eingeladen werden können. Du musst dieses Steuerelement nicht verwenden, wenn du Gäste nach Bedarf einladen möchtest, aber Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien und Arbeitgebern verwendet werden. Wenn du Gäste aktivieren möchtest, empfehlen wir, die Option Gästeanfragen zu aktivieren. Hiermit wird ein Genehmigungsprozess implementiert, sodass du Gäste in deinem Workspace einladen kannst und gleichzeitig die Einhaltung der HIPAA-Vorschriften gewährleistet ist.

Ausgesetzte oder gelöschte verwaltete Nutzerkonten: Setze verwaltete Nutzerkonten aus oder lösche sie über das Dashboard für die Nutzerverwaltung.

Deaktiviere das Löschen verwalteter Nutzerkonten: Verhindere, dass verwaltete Nutzer/-innen ihre Konten selbst löschen.

Datenaufbewahrung und -entsorgung

Implementiere Richtlinien und Verfahren zur Regelung der endgültigen Entsorgung geschützter digitaler Gesundheitsinformationen und/oder der Hardware oder der digitalen Medien, auf denen sie gespeichert sind.

Mit den individuellen Einstellungen zur Datenspeicherung können Besitzer/-innen von Enterprise-Workspaces kontrollieren, wann die Seiten von Benutzer/-innen aus dem Papierkorb gelöscht werden und wie lange sie danach aufbewahrt werden können.

In unserer Datenbank legen wir Sicherheitskopien ab. So können wir bei Bedarf Snapshots deiner Inhalte aus den letzten 30 Tage wiederherstellen.

Aktiviere für Notion Mail die HIPAA-Konformität mit Google Workspace.

Übertragungssicherheit

Implementiere technische Sicherheitsmaßnahmen zum Schutz vor unbefugtem
Zugriff auf geschützte digitale Gesundheitsinformationen, die über ein digitales Kommunikationsnetzwerk übertragen werden.

Implementiere einen Mechanismus zur Verschlüsselung geschützter digitaler Gesundheitsinformationen, wann immer dies für angemessen erachtet wird.

Verschlüsselung im Ruhezustand: Kundendaten werden im Ruhezustand mit AES-256 verschlüsselt. Daten von Kund/-innen werden verschlüsselt, wenn sie sich in den internen Netzwerken von Notion, im Cloud-Speicher, in Datenbanktabellen und in Backups befinden.

Verschlüsselung während der Übertragung: Daten, die während der Übertragung gesendet werden, werden mit TLS 1.2 oder höher verschlüsselt.

Hinweis: Workspace-Besitzer/-innen im Enterprise Plan können dies mit einer alternativen Anmeldemethode umgehen, falls ein IDP-/SAML-SSO-Fehler auftritt.

HIPAA-Einhaltung aktivieren

So aktivierst du die HIPAA-Einhaltung für deinen Workspace:

  1. Gehe in deiner Seitenleiste zu EinstellungenWorkspace-EinstellungenHIPAA-EinhaltungAktivieren.

  2. Es wird ein Fenster angezeigt, in dem du die vollständig unterzeichnete BAA-Vereinbarung lesen kannst, bevor du Akzeptieren auswählst.

  3. Sobald du sie akzeptiert hast, erhältst du eine Bestätigung, dass die HIPAA-Einhaltung aktiviert wurde. Du erhältst außerdem eine E-Mail, in der bestätigt wird, das dein Workspace die HIPAA BAA akzeptiert hat.

hc: HIPAA-Einhaltung aktivieren

HIPAA-Einhaltung deaktivieren

Wenn du die HIPAA-Einhaltung für deinen Workspace deaktivieren möchtest:

  1. Gehe in deiner Seitenleiste zu EinstellungenWorkspace-EinstellungenHIPAA-EinhaltungDeaktivieren.

  2. Wähle im angezeigten Fenster Ausschalten.

  3. Sobald du akzeptiert hast, erhältst du eine Bestätigung, dass die HIPAA-Einhaltung deaktiviert wurde. Das bedeutet, dass du keine geschützten Gesundheitsinformationen (PHI) in deinem Notion-Workspace mehr speichern kannst. Du erhältst auch eine Bestätigungs-E-Mail.

FAQs

Wie hoch sind die Kosten für die Aktivierung der HIPAA-Compliance?

Die HIPAA-Einhaltung ist für Kund/-innen mit Enterprise Plan kostenlos verfügbar.

Kund/-innen müssen dem Business Associate Agreement von Notion zustimmen und Notion in einer Weise nutzen, die dem HIPAA, dem BAA und dem HIPAA Product Configuration Guide entspricht.

Welche Produkteinschränkungen gibt es bei der Aktivierung der HIPAA-Compliance?

  • Notion darf nicht zur Kommunikation mit Patient/-innen, Versicherten oder deren Familien oder Arbeitgebern verwendet werden.

  • Die Benutzer/-innen dürfen ihre Gesundheitsinformationen in  keinem der folgenden Felder oder Funktionen angeben:

    • Workspace- oder Organisationsnamen

    • Teamspace-Namen

    • Dateinamen

    • Konto/Benutzerprofil

    • Name der Benutzergruppen

  • Supportanfragen und die zugehörigen Anlagen dürfen keine Gesundheitsinformationen enthalten.

  • Notion Calendar, alle Notion-Calendar-Funktionen und alle Beta-Dienste fallen nicht unter das BAA und dürfen daher nicht in einer Art und Weise verwendet oder eingesetzt werden, bei der geschützte Gesundheitsinformationen verarbeitet werden.

Wird es weiterhin Einbindungen geben?

Ja, zuvor aktivierte Apps bleiben aktiviert. Die Admins sollten die vorhandenen Einbindungen überprüfen, um sicherzustellen, dass sie den Vorschriften entsprechen. Die Admins können das Hinzufügen neuer Einbindungen, die nicht auf der Zulassungsliste stehen, deaktivieren.

Hast du noch Fragen? Sende eine Nachricht an den Support
Feedback geben

War diese Ressource hilfreich?