HIPAA-konformes Hosting & BAA-Infrastruktur

Nein. AWS bietet HIPAA-eligible Services an und unterzeichnet eine BAA, aber Compliance ist eine gemeinsame Verantwortung. Sie müssen selbst Verschlüsselung, Zugriffskontrolle, Audit-Logging und Netzwerkisolation korrekt konfigurieren. Das Ausführen auf AWS macht Ihre Anwendung nicht HIPAA-konform — die Konfiguration und Ihre operativen Verfahren sind das, was tatsächlich zählt.

Eine BAA ist ein rechtlich erforderlicher Vertrag zwischen einer Covered Entity und jedem Anbieter, der PHI in ihrem Namen verarbeitet. AWS, Azure und Google Cloud bieten alle BAAs an, aber jede deckt nur spezifische Services innerhalb ihrer Plattform ab. Die Verwendung eines Services, der nicht durch eine BAA gedeckt ist, um PHI zu verarbeiten, ist eine Compliance-Verletzung — egal was sonst noch vorhanden ist.

Vercel und Netlify unterzeichnen derzeit keine BAAs, daher können sie Anwendungen, die PHI verarbeiten oder speichern, nicht hosten. Das heißt, Sie können sie für statische Frontend-Assets ohne PHI verwenden, während Sie Ihr Backend und Ihre Datenbank auf BAA-covered AWS-, Azure- oder Google Cloud-Services ausführen. Das ist praktikabel, solange die Grenze sauber ist.

Monatliche Infrastrukturkosten liegen typischerweise zwischen 500 und 5.000 Euro, je nach Compute, Storage und Datenübertragung. Die höhere Summe ist normalerweise die anfängliche Architektur- und Konfigurationsarbeit. Ecken bei der Einrichtung zu sparen, um monatliche Kosten zu senken, ist genau wie Breaches passieren. Unser pauschal verechneter Setup stellt sicher, dass die Grundlage audit-ready ist, bevor etwas live geht.

Wenn Ihre Daten alle 18 Safe Harbor-De-Identifizierungskriterien unter 45 CFR 164.514 erfüllen, ist es keine PHI mehr und HIPAAs technische Safeguards gelten nicht. Teilweise De-Identifizierung funktioniert nicht — ein verbleibendes Identifier und Sie sind zurück zur vollständigen PHI-Behandlung. Wir helfen Ihnen, Ihre De-Identifizierungsmethodik zu überprüfen, bevor Sie diese Annahme treffen.

Das Office for Civil Rights fragt nach Risk Assessments, Dokumentation technischer Safeguards, BAAs, Zugriffslogs, Breach Response Procedures und Schulungsunterlagen der letzten sechs Jahre. Unser Compliance-Dokumentationspaket ist strukturiert, um diese Anfragen zu beantworten, ohne Last-Minute-Hektik. Und weil alles Infrastructure-as-Code ist, ist jede Konfigurationsentscheidung nachverfolgbar und verteidigbar.