{"id":4793202,"date":"2023-02-20T08:00:00","date_gmt":"2023-02-20T07:00:00","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=4793202"},"modified":"2023-04-16T16:11:37","modified_gmt":"2023-04-16T14:11:37","slug":"hipaa","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/","title":{"rendered":"HIPAA in a nutshell"},"content":{"rendered":"\n<p>Der <strong>Health Insurance Portability and Accountability Act (HIPAA)<\/strong> ist ein US-amerikanisches Gesetz, das Anforderungen an den Umgang mit gesch\u00fctzten Gesundheitsdaten stellt. <\/p>\n\n\n\n<p>Institutionen, die in den USA diese Daten erheben oder verarbeiten, sowie deren Unterauftraggeber m\u00fcssen den HIPAA befolgen, um Sanktionen zu vermeiden. Besonders f\u00fcr europ\u00e4ische Firmen ist der HIPAA ein nur schwer verst\u00e4ndliches und kaum zu \u00fcberblickendes Regelwerk.<\/p>\n\n\n\n<p>Dieser Artikel gibt Ihnen einen \u00dcberblick und hilft, h\u00e4ufige Missverst\u00e4ndnisse und fehlerhafte Annahmen zu vermeiden und so den Einstieg in das Thema zu erleichtern.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">1. Was HIPAA ist<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) <strong>Ein Gesetz, das Gesetzeswerke \u00e4ndert<\/strong><\/h3>\n\n\n\n<p>Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das dem 45. Buch des Codes of Federal Regulations die Teile 160, 162 und 164 hinzuf\u00fcgte bzw. diese \u00e4nderte.<\/p>\n\n\n\n<p>Das ist vergleichbar mit dem <a href=\"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-versorgung-gesetz-dvg\/\">Digitale-Versorgung-Gesetz<\/a>, das viele Gesetz bzw. Gesetzb\u00fccher wie das SGB V \u00e4ndert.<\/p>\n\n\n\n<p>Die Texte des HIPAA sind schwer verst\u00e4ndlich. Das liegt <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>sowohl am Inhalt<\/li>\n\n\n\n<li>als auch an der abstrakten Formulierung<\/li>\n\n\n\n<li>der ungl\u00fccklichen Formatierung sowie <\/li>\n\n\n\n<li>an mehreren \u00c4nderungen, die nicht im Originaltext eingearbeitet sind.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\" data-rel=\"lightbox-image-0\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"521\" height=\"253\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\" alt=\"Ausschnitt aus dem 45 CFR part 160\" class=\"wp-image-4793521\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png 521w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160-300x146.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160-200x97.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160-400x194.png 400w\" sizes=\"auto, (max-width: 521px) 100vw, 521px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 1: Ausschnitt aus dem <a href=\"https:\/\/www.govinfo.gov\/content\/pkg\/CFR-2020-title45-vol2\/pdf\/CFR-2020-title45-vol2-part160.pdf\">45 CFR part 160<\/a><\/figcaption><\/figure>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M430.9,177.6c-0.3-96-78.1-174.1-174-174.9c-0.1,0-0.2,0-0.4,0c-0.2,0-0.4,0-0.5,0c-0.2,0-0.4,0-0.5,0 c-0.1,0-0.2,0-0.4,0c-95.9,0.8-173.7,78.9-174,174.9c-0.4,7.3-1.9,60.3,36.6,109.2c29.5,37.6,49.4,74.7,55,85.9v63.5 c0,0,0,0.1,0,0.1c0,0.5,0,0.9,0.1,1.4c0,0.3,0.1,0.6,0.1,0.9c0,0.1,0,0.2,0,0.2c0.4,2.7,1.4,5.2,3,7.4l33.7,55.1 c3.1,5.1,8.7,8.2,14.7,8.2h61.8c6,0,11.5-3.1,14.7-8.2l33.7-55.1c1.5-2.1,2.6-4.6,3-7.4c0-0.1,0-0.2,0-0.2c0-0.3,0.1-0.6,0.1-0.9 c0-0.5,0.1-0.9,0.1-1.4c0,0,0-0.1,0-0.1v-60.3c1.2-2.4,22.3-45.5,56.7-89.2C432.8,237.8,431.3,184.9,430.9,177.6z M303.3,418.8 h-96.2v-33.1h96.2V418.8z M276.4,475h-42.5l-13.3-21.6h69L276.4,475z M311.6,351.4H200.4c-8.6-16.3-28-50.6-55.7-85.9 c-32-40.6-29.3-85.7-29.3-86c0-0.4,0.1-0.9,0.1-1.3c0-77.6,63-140.8,140.5-141.1c77.5,0.3,140.5,63.5,140.5,141.1 c0,0.4,0,0.9,0.1,1.3c0,0.4,3.1,44.9-29.3,86C339.5,300.8,320.2,335.1,311.6,351.4z\"><\/path><path d=\"M257.8,64.4c-62,0-112.5,50.5-112.5,112.5c0,9.5,7.7,17.2,17.2,17.2s17.2-7.7,17.2-17.2 c0-43.1,35-78.1,78.1-78.1c9.5,0,17.2-7.7,17.2-17.2S267.3,64.4,257.8,64.4z\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Tipp<\/span><\/div>\n<p>Das US Department of Health &amp; Human Services stellt eine <a href=\"https:\/\/www.hhs.gov\/sites\/default\/files\/ocr\/privacy\/hipaa\/administrative\/combined\/hipaa-simplification-201303.pdf\">inoffizielle konsolidierte Version des Gesetzeswerks<\/a> bereit.<\/p>\n\n\n\n<p>Die erste Version des HIPAA stammt aus dem Jahr 1996. Seitdem gab es mehrere \u00dcberarbeitungen und Erg\u00e4nzungen.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Ein Gesetz, das aus mehreren Teilen besteht<\/h3>\n\n\n\n<p>HIPAA besteht aus drei Teilen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Part 160<\/strong> legt allgemeine administrative Anforderungen fest, die u. a. den beh\u00f6rdlichen Umgang und Strafzahlungen betreffen.<\/li>\n\n\n\n<li><strong>Part 162<\/strong> enth\u00e4lt auch administrative Anforderungen. Allerdings geht es hier auch um die Voraussetzungen f\u00fcr die Interoperabilit\u00e4t wie die Identifikation von Gesundheitsdienstleistern und den Datenaustausch.<\/li>\n\n\n\n<li><strong>Part 164<\/strong> ist der Teil, auf den sich die meisten beziehen, wenn Sie von HIPAA sprechen. Er regelt die \u201eSecurity and Privacy\u201c.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR.png\" data-rel=\"lightbox-image-1\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"242\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-300x242.png\" alt=\"Die Mindmap verschafft einen \u00dcberblick die \u201eParts\u201c und \u201eSubparts\u201c des HIPAA\" class=\"wp-image-4793537\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-300x242.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-1024x825.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-768x619.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-177x142.png 177w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-200x161.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-400x322.png 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-600x483.png 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-800x644.png 800w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-1200x967.png 1200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR.png 1399w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 2: Die Mindmap verschafft einen \u00dcberblick \u00fcber die \u201eParts\u201c und \u201eSubparts\u201c des HIPAA. (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<p>Der <strong>Part 164<\/strong> stellt Anforderungen an den Schutz von Gesundheitsinformationen, die elektronisch verarbeitet werden, und an das Vorgehen, wenn dieser Schutz gebrochen wurde.<\/p>\n\n\n\n<figure class=\"wp-block-image size-medium\"><a href=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1.png\" data-rel=\"lightbox-image-2\" data-rl_title=\"\" data-rl_caption=\"\" title=\"\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"99\" src=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-300x99.png\" alt=\"Die Mindmap zeigt einen Ausschnitt aus dem Teil 164 des HIPAA.\" class=\"wp-image-4793540\" srcset=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-300x99.png 300w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-1024x338.png 1024w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-768x254.png 768w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-1536x507.png 1536w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-200x66.png 200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-400x132.png 400w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-600x198.png 600w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-800x264.png 800w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1-1200x396.png 1200w, https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/HIPAA-45-CFR-part-164-1.png 1762w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><figcaption class=\"wp-element-caption\">Abb. 3: Die Mindmap zeigt einen Ausschnitt aus dem Teil 164 des HIPAA. (zum Vergr\u00f6\u00dfern klicken)<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">c) HIPAA ist ein Gesetz, das mehrere Rules festlegt<\/h3>\n\n\n\n<p>H\u00e4ufig spricht man auch von den HIPAA Rules. Doch das sind keine zus\u00e4tzlichen Anforderungen. Vielmehr entsprechen diese Regeln bestimmten Teilen des Gesetzeswerks:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Rule<\/strong><\/td><td><strong>HIPAA<\/strong><\/td><td><strong>Gegenstand<\/strong><\/td><\/tr><tr><td>Security Rule<\/td><td>Part 160 und Part 164: Subparts A und C<\/td><td>Datenschutz ist streng genommen ein Teil der n\u00e4chsten \u201eRule\u201c<\/td><\/tr><tr><td>Privacy Rule<\/td><td>Part 160 und Part 164: Subparts A und E<\/td><td>Datenschutz<\/td><\/tr><tr><td>Enforcement Rule<\/td><td>Part 160: Subparts C, D, E<\/td><td>Durchsetzungsrechte und -pflichten der Beh\u00f6rden<\/td><\/tr><tr><td>Breach Notification Rule<\/td><td>Part 164: \u00a7\u00a7 164.400-414<\/td><td>Meldepflichten bei Zwischenf\u00e4llen<\/td><\/tr><tr><td>Omnibus Rule<\/td><td>&nbsp;<\/td><td>Das ist eine weitere <a href=\"https:\/\/www.govinfo.gov\/content\/pkg\/FR-2013-01-25\/pdf\/2013-01073.pdf\">\u00c4nderung des HIPAA<\/a> als Teil des HITECH Acts im Jahr 2013. Hier geht es um die Vertr\u00e4ge mit den Gesch\u00e4ftspartnern wie z. B. Cloud-Anbieter<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>In diesen Teilen legt der HIPAA fest, welche<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Daten zu sch\u00fctzen sind,<\/li>\n\n\n\n<li>Ausnahmen es davon gibt, d. h. welche Daten weitergegeben werden d\u00fcrfen und m\u00fcssen,<\/li>\n\n\n\n<li>Anforderungen an den Schutz der Daten erf\u00fcllt sein m\u00fcssen,<\/li>\n\n\n\n<li>Ma\u00dfnahmen Organisationen beim Bruch der Vertraulichkeit ergreifen m\u00fcssen und<\/li>\n\n\n\n<li>Ma\u00dfnahmen die Beh\u00f6rden in diesem Fall ergreifen.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">2. Wen HIPAA betrifft<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Betroffene Organisationen<\/h3>\n\n\n\n<p>Health Information sind laut Definition nur solche Informationen, die von bestimmen Organisationen erstellt oder empfangen werden.<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition Health information<\/span><\/div>\n<p>health care provider, health plan, public health authority, employer, life insurer, school or university, or health care clearinghouse<\/p>\n\n\n\n<p class=\"has-text-align-right\">Quelle: 45 CFR part 160.103<\/p>\n<\/div>\n\n\n\n<p>Was es mit dem \u201ehealth plan\u201c auf sich hat, kl\u00e4rt die Definition:<\/p>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 512 512\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M256,507C117.6,507,5,394.4,5,256S117.6,5,256,5s251,112.6,251,251S394.4,507,256,507z M256,41.6 C137.8,41.6,41.6,137.8,41.6,256S137.8,470.4,256,470.4S470.4,374.2,470.4,256S374.2,41.6,256,41.6z\"><\/path><g><path d=\"M288.4,295.7h-64.7l-10-185.6h84.7L288.4,295.7z M214.4,364.4c0-11.9,3.5-21.2,10.6-27.8 c7.1-6.6,17.3-9.9,30.8-9.9c13.3,0,23.4,3.3,30.3,9.9c6.9,6.6,10.3,15.9,10.3,27.8c0,11.8-3.6,21-10.7,27.6 c-7.1,6.6-17.1,9.9-29.9,9.9c-12.9,0-23.1-3.3-30.4-9.9C218.1,385.3,214.4,376.1,214.4,364.4z\"><\/path><\/g><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Definition Health Plan<\/span><\/div>\n<p>an individual or group plan that provides, or pays the cost of, medical care (as defined in section 2791(a)(2) of the PHS Act, 42 U.S.C. 300gg-91(a)(2)) [\u2026]<\/p>\n\n\n\n<p class=\"has-text-align-right\">Quelle: 45 CFR part 160.103<\/p>\n<\/div>\n\n\n\n<p>Ein Software-Hersteller f\u00e4llt damit ebenso wenig unter diese Definition wie ein Cloud-Anbieter. Allerdings muss seine Software die o.g. Voraussetzungen schaffen, damit seine Software von den genannten Institutionen genutzt werden darf. <\/p>\n\n\n\n<p>Ein Dienstleister wie ein Cloud-Anbieter z\u00e4hlt zu den \u201ebusiness associates\u201c, f\u00fcr die die gleichen Anforderungen gelten wie f\u00fcr die o. g. Organisationen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Betroffene Daten<\/h3>\n\n\n\n<p>HIPAA bezieht sich auf gesch\u00fctzte Gesundheitsinformationen (<strong>Protected Health Information PHI<\/strong>). Diese entsprechen den personenbezogenen Daten gem\u00e4\u00df <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/eu-datenschutzgrundverordnung-dsgvo\/\">DSGVO<\/a>. Beispiele daf\u00fcr sind Namen, Kontaktdaten, identifizierende Nummern, medizinische Daten (die DSGVO nennt diese \u201eGesundheitsdaten\u201c), Fotos und Rechnungen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3. Was HIPAA fordert<\/h2>\n\n\n\n<p>\u00c4hnlich wie bei europ\u00e4ischen Gesetzen und Regelwerken wie der DSGVO und dem <a href=\"https:\/\/www.bsi.bund.de\/DE\/Themen\/Unternehmen-und-Organisationen\/Standards-und-Zertifizierung\/IT-Grundschutz\/BSI-Standards\/BSI-Standard-200-2-IT-Grundschutz-Methodik\/Leitfaden-Basis-Absicherung\/leitfaden-basis-absicherung_node.html\">BSI-Leitfaden<\/a> verlangt auch der HIPAA technische und organisatorische Ma\u00dfnahmen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">\u2026bez\u00fcglich Infrastruktur und Systeme<\/h3>\n\n\n\n<p>Ein Teil dieser Ma\u00dfnahmen f\u00fchrt zu Anforderungen an die Infrastruktur und IT-Systeme:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Physische Beschr\u00e4nkung des Zugangs und des Zugriffs auf die Infrastruktur. Das l\u00e4sst sich z. B. durch abschlie\u00dfbare R\u00e4ume und IT-Systeme erreichen. So wird nicht nur ein unautorisierter Zugriff, sondern auch Diebstahl verhindert.<\/li>\n\n\n\n<li>Logging der Aktivit\u00e4ten an den Systemen einschlie\u00dflich Nutzung und \u00c4nderungen der Systeme<\/li>\n\n\n\n<li>Eindeutige Identifikation der Anwender, Authentifizierung und Autorisierung<\/li>\n\n\n\n<li>M\u00f6glichkeit f\u00fcr einen Notfallzugriff auf Daten<\/li>\n\n\n\n<li>Automatisches Ausloggen der Anwender<\/li>\n\n\n\n<li>Verschl\u00fcsselung der Daten<\/li>\n\n\n\n<li>Schutz und \u00dcberpr\u00fcfung der Integrit\u00e4t der Daten (auch bei Daten\u00fcbertragung)<\/li>\n\n\n\n<li>u. v. m.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">\u2026bez\u00fcglich Organisationen \/ Hersteller<\/h3>\n\n\n\n<p>Viele Ma\u00dfnahmen sind organisatorischer Art wie beispielsweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Backup-Prozeduren m\u00fcssen festgelegt und \u00fcberpr\u00fcft werden.<\/li>\n\n\n\n<li>Zugriffe auf Daten f\u00fcr das Testen m\u00fcssen geregelt werden.<\/li>\n\n\n\n<li>Unterauftragnehmer m\u00fcssen zur Einhaltung des Datenschutzes verpflichtet werden.<\/li>\n\n\n\n<li>Es muss geregelt werden, wer unter welchen Umst\u00e4nden welche T\u00e4tigkeiten an den Systemen vornehmen darf. Das betrifft die Nutzung ebenso wie die \u00c4nderung und Wartung dieser Systeme.<\/li>\n\n\n\n<li>Es muss beschrieben sein, wie mit Wechseldatentr\u00e4gern umgegangen wird und wie diese zu entsorgen sind.<\/li>\n\n\n\n<li>Die Verantwortlichen m\u00fcssen Verfahren aufstellen, um Berechtigungen zu vergeben und zu entziehen.<\/li>\n\n\n\n<li>Es gibt bestimmte Anforderungen an die Wahl und Vergabe von Passw\u00f6rtern.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">4. Welche Irrt\u00fcmer es gibt<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Es gibt HIPAA-konforme oder gar zertifizierte Systeme<\/h3>\n\n\n\n<p>Genauso wenig wie eine Software ISO 13485-, IEC 62304- oder DSGVO-konform sein kann, kann sie in Anspruch nehmen, HIPAA-konform oder gar HIPAA-zertifiziert zu sein.<\/p>\n\n\n\n<p>Eine Software kann jedoch alle Voraussetzungen bieten, dass ein Hersteller damit HIPAA-Konformit\u00e4t erreicht. Wenn die Software z. B. keine Verschl\u00fcsselung der Daten erlaubt, w\u00e4re das nicht m\u00f6glich. Es gibt somit keine HIPAA-Zertifizierung f\u00fcr Produkte.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">b) Es gibt HIPAA-zertifizierte Organisationen<\/h3>\n\n\n\n<p>Streng genommen existiert so eine Zertifizierung nicht einmal f\u00fcr Organisationen. Allerdings gibt es Firmen\/Organisationen, die Audits durchf\u00fchren und dann ein Zertifikat verleihen. Aber das basiert nicht auf einer staatlichen Akkreditierungsorganisation.<\/p>\n\n\n\n<p>Manchmal wird der Begriff HIPAA-Zertifizierung auch im Kontext von Personenzertifizierungen verwendet. Das bedeutet, dass eine Person eine Pr\u00fcfung bestanden hat, in der sie ihre HIPAA-Kompetenz nachgewiesen hat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">c) Es geht nur um den Datenschutz<\/h3>\n\n\n\n<p>Nicht nur in Europa wird HIPAA als Synonym f\u00fcr die US-amerikanischen Anforderungen an den Datenschutz im Gesundheitswesen verstanden.<\/p>\n\n\n\n<p>Diese Vorstellung ist zwar nicht falsch, aber unvollst\u00e4ndig. Denn wie bereits der Name des Gesetzes impliziert, geht es auch um die \u201ePortability\u201c von Daten, sprich um die Interoperabilit\u00e4t.<\/p>\n\n\n\n<p>Allerdings sind diese Anforderungen so \u201ehigh level\u201c, dass damit noch keine Spezifikation f\u00fcr Schnittstellen abgeleitet werden kann. Immerhin nennt der HIPAA bereits semantische Standards wie den ICD-9-CM-Katalog f\u00fcr die Diagnosen und Behandlungen und die CPT-Code f\u00fcr Dienstleistungen wie Labor und Radiologie.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. FAQs<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">a) Wie unterscheidet sich der HIPAA von der DSGVO?<\/h3>\n\n\n\n<p>Sowohl der HIPAA als auch die DSGVO sind Gesetze im Kontext Datenschutz. Sie unterscheiden sich jedoch in vielerlei Hinsicht:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Im Gegensatz zur DSGVO geht es beim HIPAA \u201enur\u201c um Gesundheitsdaten. <\/li>\n\n\n\n<li>HIPAA regelt weit mehr als nur Datenschutzaspekte. Das Gesetz geht auf die Interoperabilit\u00e4t sowie auf die Rechte von Beh\u00f6rden ein.<\/li>\n\n\n\n<li>HIPAA unterscheidet und definiert genetische Informationen viel pr\u00e4ziser als die DSGVO.<\/li>\n\n\n\n<li>Die DSGVO spricht nur von technischen und organisatorischen Ma\u00dfnahmen. HIPAA stellt konkretere Anforderungen.<\/li>\n<\/ul>\n\n\n\n<div class=\"jig_defbox\"><div class=\"jig_defbox-definition\"><div class=\"jig_defbox-icon-wrapper\" style=\"fill:#919191\"><svg viewBox=\"0 0 48 48\" width=\"24\" height=\"24\" class=\"dashicons\" aria-hidden=\"true\"><g><path d=\"M20,19.5h16v-3H20V19.5z M20,25.5h16v-3H20V25.5z M20,31.5h10v-3H20V31.5z M14.1,20c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4s-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6c-0.4,0.4-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4C13,19.9,13.5,20,14.1,20z M14.1,26c0.6,0,1-0.2,1.4-0.6c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4 S14.6,22,14.1,22c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4c0,0.6,0.2,1,0.6,1.4S13.5,26,14.1,26z M14.1,32c0.6,0,1-0.2,1.4-0.6 c0.4-0.4,0.6-0.9,0.6-1.4c0-0.6-0.2-1-0.6-1.4c-0.4-0.4-0.9-0.6-1.4-0.6c-0.6,0-1,0.2-1.4,0.6s-0.6,0.9-0.6,1.4 c0,0.6,0.2,1,0.6,1.4S13.5,32,14.1,32z M7,40c-1.7,0-3-1.4-3-3V11c0-0.8,0.3-1.5,0.9-2.1C5.5,8.3,6.2,8,7,8h34 c0.8,0,1.5,0.3,2.1,0.9C43.7,9.5,44,10.2,44,11v26c0,0.8-0.3,1.5-0.9,2.1C42.5,39.7,41.8,40,41,40L7,40z M7,37h34V11H7V37z M7,11\"><\/path><\/g><\/svg><\/div><span class=\"jig_defbox-header\" style=\"color:#919191\">Weiterf\u00fchrende Informationen<\/span><\/div>\n<p>Beachten Sie auch unsere Artikel zur <a href=\"https:\/\/www.johner-institut.de\/blog\/medizinische-informatik\/it-sicherheit-im-gesundheitswesen\/#regularien\">IT-Sicherheit im Gesundheitswesen<\/a> und zu den <a href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/datensicherheit-und-datenschutz-fuer-diga\/\">Datenschutzanforderungen bei DiGA<\/a>.<\/p>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">b) Wo kann ich noch mehr zu dem Thema erfahren?<\/h3>\n\n\n\n<p>Mit dem Thema HIPAA l\u00e4sst sich Geld verdienen. Achten Sie daher darauf, von wo Sie Informationen beziehen. Ein guter Anlaufpunkt sind die offiziellen Seiten des amerikanischen Gesundheitsministeriums <a href=\"https:\/\/www.hhs.gov\/\">HHS (U.S. Department for Health &amp; Human Services)<\/a>.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ein <a href=\"https:\/\/www.hhs.gov\/hipaa\/for-professionals\/index.html\" target=\"_blank\" rel=\"noreferrer noopener\">erster Einstieg gelingt auf den Seiten des HHS  mit weiterf\u00fchrenden Links.<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.hhs.gov\/hipaa\/for-professionals\/privacy\/laws-regulations\/combined-regulation-text\/index.html\">Hier finden Sie den kombinierten Gesetzestext<\/a>, hier das <a href=\"https:\/\/www.hhs.gov\/sites\/default\/files\/ocr\/privacy\/hipaa\/administrative\/combined\/hipaa-simplification-201303.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">zugeh\u00f6rige PDF<\/a>.<\/li>\n\n\n\n<li>Das <a href=\"https:\/\/www.cdc.gov\/\">Center for Disease Control and Prevention<\/a> hat ein <a href=\"https:\/\/www.cdc.gov\/nhsn\/hipaa\/\" target=\"_blank\" rel=\"noreferrer noopener\">FAQ zum HIPAA<\/a> publiziert.<\/li>\n\n\n\n<li>Keine offizielle Seite, aber <a href=\"https:\/\/www.hipaaguide.net\/hipaa-for-dummies\/\">einen guten Einstieg (\u201efor Dummies\u201c) bietet die Seite<\/a> von Compliance Junction.<\/li>\n\n\n\n<li>Auf Deutsch bietet ein kommerzieller Anbieter ebenfalls <a href=\"https:\/\/www.proofpoint.com\/de\/threat-reference\/hipaa-compliance\">eine gute erste \u00dcbersicht<\/a>.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">6. Fazit und Zusammenfassung<\/h2>\n\n\n\n<p>Die Anforderungen des HIPAA sind sehr umfassend und gehen \u00fcber den Datenschutz hinaus. Wie sinnvoll die Vermengung solch unterschiedlicher Aspekte ist, steht auf einem anderen Blatt.<\/p>\n\n\n\n<p>Wer bereits eine Zertifizierung z. B. nach ISO 27001 oder BSI besitzt, hat bez\u00fcglich des Datenschutzes bzw. der IT-Sicherheit auch die Anforderungen des HIPAA (fast) vollst\u00e4ndig erf\u00fcllt. <\/p>\n\n\n\n<p>Konformit\u00e4t l\u00e4sst sich nur durch organisatorisch und technische Ma\u00dfnahmen erreichen, idealerweise durch ein IT-Sicherheitsmanagementsystem.<\/p>\n\n\n\n<p>F\u00fcr BSI- oder ISO 27001-zertifizierte Organisationen verliert der HIPAA den Schrecken. Allerdings greifen amerikanische Beh\u00f6rden bei Verst\u00f6\u00dfen konsequent durch.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p><em>Das Johner Institut unterst\u00fctzt Firmen beim Aufbau integrierter Qualit\u00e4ts- und IT-Sicherheitsmanagementsysteme (QMS und ISMS). So erreichen die Firmen schnell, ohne Redundanzen und unn\u00f6tigen Overhead eine ISO 13485- und ISO 27001-Konformit\u00e4t und damit die Voraussetzungen f\u00fcr die Entwicklung und den Betrieb von IT-L\u00f6sungen im Gesundheitswesen.<\/em><\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p>\u00c4nderungshistorie<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>2023-12-20: Links auf Artikel zur Datensicherheit und zum Datenschutz erg\u00e4nzt<\/li>\n\n\n\n<li>2022-04-05: Erste Version<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das Anforderungen an den Umgang mit gesch\u00fctzten Gesundheitsdaten stellt. Institutionen, die in den USA diese Daten erheben oder verarbeiten, sowie deren Unterauftraggeber m\u00fcssen den HIPAA befolgen, um Sanktionen zu vermeiden. Besonders f\u00fcr europ\u00e4ische Firmen ist der HIPAA ein nur schwer verst\u00e4ndliches und kaum&hellip;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[1108],"tags":[1126,269,680,1194],"ppma_author":[1210],"class_list":["post-4793202","post","type-post","status-publish","format-standard","hentry","category-regulatory-affairs","tag-it-security","tag-medizinische-software","tag-standalone-software","tag-management","category-1108","description-off"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.2 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>HIPAA in a nutshell<\/title>\n<meta name=\"description\" content=\"Der HIPAA ist ein US-amerikanisches Gesetz, das bestehende Gesetze im Bereich Datenschutz und Interoperabilit\u00e4t im Gesundheitswesen erweitert.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"HIPAA in a nutshell\" \/>\n<meta property=\"og:description\" content=\"Der HIPAA ist ein US-amerikanisches Gesetz, das bestehende Gesetze im Bereich Datenschutz und Interoperabilit\u00e4t im Gesundheitswesen erweitert.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\" \/>\n<meta property=\"og:site_name\" content=\"Regulatorisches Wissen f\u00fcr Medizinprodukte\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/JohnerInstitut\/\" \/>\n<meta property=\"article:published_time\" content=\"2023-02-20T07:00:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2023-04-16T14:11:37+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\" \/>\n<meta name=\"author\" content=\"Prof. Dr. Christian Johner\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Prof. Dr. Christian Johner\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"9\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\"},\"author\":{\"name\":\"Prof. Dr. Christian Johner\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/77ee54cd54e987c0b5738d4cb4c80441\"},\"headline\":\"HIPAA in a nutshell\",\"datePublished\":\"2023-02-20T07:00:00+00:00\",\"dateModified\":\"2023-04-16T14:11:37+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\"},\"wordCount\":1585,\"commentCount\":2,\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\",\"keywords\":[\"IT Security\",\"Medizinische Software \/ Medical Device Software\",\"Standalone-Software\",\"Unterst\u00fctzung f\u00fcr Management und F\u00fchrungskr\u00e4fte\"],\"articleSection\":[\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\"],\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\",\"name\":\"HIPAA in a nutshell\",\"isPartOf\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\",\"datePublished\":\"2023-02-20T07:00:00+00:00\",\"dateModified\":\"2023-04-16T14:11:37+00:00\",\"description\":\"Der HIPAA ist ein US-amerikanisches Gesetz, das bestehende Gesetze im Bereich Datenschutz und Interoperabilit\u00e4t im Gesundheitswesen erweitert.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png\",\"width\":521,\"height\":253},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Blog\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte\",\"item\":\"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"HIPAA in a nutshell\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#website\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"name\":\"Regulatorisches Wissen f\u00fcr Medizinprodukte\",\"description\":\"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen\",\"publisher\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#organization\",\"name\":\"Johner Institut GmbH\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png\",\"width\":1213,\"height\":286,\"caption\":\"Johner Institut GmbH\"},\"image\":{\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/JohnerInstitut\/\",\"https:\/\/x.com\/christianjohner\",\"https:\/\/www.youtube.com\/user\/JohnerInstitut\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/77ee54cd54e987c0b5738d4cb4c80441\",\"name\":\"Prof. Dr. Christian Johner\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpgab057afc2debeb41aaf55cce7e79e618\",\"url\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg\",\"contentUrl\":\"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg\",\"caption\":\"Prof. Dr. Christian Johner\"},\"description\":\"Professor Johner ist Experte f\u00fcr die Entwicklung und Zulassung von Medizinprodukten, die Software enthalten oder Software sind. Als Auditor, als Mitglied eines Normen-Komitees, als Ausbilder benannter Stellen sowie als Autor mehrerer B\u00fccher und Leitf\u00e4den tr\u00e4gt der promovierte Physiker zur Weiterentwicklung der regulatorischen Landschaft bei. Davon zeugen auch Leitf\u00e4den, die er f\u00fcr die WHO und die Benannten Stellen entwickelt hat. Sein Unternehmen, das Johner Institut, unterst\u00fctzt Medizinproduktehersteller weltweit beim Aufbau von QM-Systemen, bei der Zulassung und Pr\u00fcfung ihrer Produkte sowie bei der digitalen Transformation regulatorischer Prozesse. Es bietet Weiterbildungen wie E-Learning und Seminare an und \u00fcbernimmt f\u00fcr Hersteller Prozesse wie die \u00dcberwachung der Regularien und der Produkte im Markt. Christian Johner lehrte an mehreren Universit\u00e4ten u.a. an der Hochschule Konstanz, der Universit\u00e4t St. Gallen, der Universit\u00e4t W\u00fcrzburg sowie der Stanford University v.a. Software-Architektur, Software-Qualit\u00e4tssicherung und medizinische Informatik.\",\"sameAs\":[\"https:\/\/www.linkedin.com\/in\/christianjohner\/\",\"https:\/\/x.com\/christianjohner\"],\"url\":\"https:\/\/www.johner-institut.de\/blog\/author\/christian\/\"}]}<\/script>\n<meta name=\"copyright\" content=\"Johner Institut GmbH\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"HIPAA in a nutshell","description":"Der HIPAA ist ein US-amerikanisches Gesetz, das bestehende Gesetze im Bereich Datenschutz und Interoperabilit\u00e4t im Gesundheitswesen erweitert.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/","og_locale":"de_DE","og_type":"article","og_title":"HIPAA in a nutshell","og_description":"Der HIPAA ist ein US-amerikanisches Gesetz, das bestehende Gesetze im Bereich Datenschutz und Interoperabilit\u00e4t im Gesundheitswesen erweitert.","og_url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/","og_site_name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","article_publisher":"https:\/\/www.facebook.com\/JohnerInstitut\/","article_published_time":"2023-02-20T07:00:00+00:00","article_modified_time":"2023-04-16T14:11:37+00:00","og_image":[{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png","type":"","width":"","height":""}],"author":"Prof. Dr. Christian Johner","twitter_misc":{"Verfasst von":"Prof. Dr. Christian Johner","Gesch\u00e4tzte Lesezeit":"9\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#article","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/"},"author":{"name":"Prof. Dr. Christian Johner","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/77ee54cd54e987c0b5738d4cb4c80441"},"headline":"HIPAA in a nutshell","datePublished":"2023-02-20T07:00:00+00:00","dateModified":"2023-04-16T14:11:37+00:00","mainEntityOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/"},"wordCount":1585,"commentCount":2,"publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png","keywords":["IT Security","Medizinische Software \/ Medical Device Software","Standalone-Software","Unterst\u00fctzung f\u00fcr Management und F\u00fchrungskr\u00e4fte"],"articleSection":["Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte"],"inLanguage":"de","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/","url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/","name":"HIPAA in a nutshell","isPartOf":{"@id":"https:\/\/www.johner-institut.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage"},"thumbnailUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png","datePublished":"2023-02-20T07:00:00+00:00","dateModified":"2023-04-16T14:11:37+00:00","description":"Der HIPAA ist ein US-amerikanisches Gesetz, das bestehende Gesetze im Bereich Datenschutz und Interoperabilit\u00e4t im Gesundheitswesen erweitert.","breadcrumb":{"@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#primaryimage","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2022\/04\/CFR-45-part-160.png","width":521,"height":253},{"@type":"BreadcrumbList","@id":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/hipaa\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Blog","item":"https:\/\/www.johner-institut.de\/blog\/"},{"@type":"ListItem","position":2,"name":"Regulatory Affairs: Regulatorische Anforderungen an Medizinprodukte","item":"https:\/\/www.johner-institut.de\/blog\/category\/regulatory-affairs\/"},{"@type":"ListItem","position":3,"name":"HIPAA in a nutshell"}]},{"@type":"WebSite","@id":"https:\/\/www.johner-institut.de\/blog\/#website","url":"https:\/\/www.johner-institut.de\/blog\/","name":"Regulatorisches Wissen f\u00fcr Medizinprodukte","description":"Fachartikel zur Entwicklung und Zulassung von Medizinprodukten und weiteren regulatorischen Themen","publisher":{"@id":"https:\/\/www.johner-institut.de\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.johner-institut.de\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/www.johner-institut.de\/blog\/#organization","name":"Johner Institut GmbH","url":"https:\/\/www.johner-institut.de\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2015\/07\/Johner-Institut.png","width":1213,"height":286,"caption":"Johner Institut GmbH"},"image":{"@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/JohnerInstitut\/","https:\/\/x.com\/christianjohner","https:\/\/www.youtube.com\/user\/JohnerInstitut"]},{"@type":"Person","@id":"https:\/\/www.johner-institut.de\/blog\/#\/schema\/person\/77ee54cd54e987c0b5738d4cb4c80441","name":"Prof. Dr. Christian Johner","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpgab057afc2debeb41aaf55cce7e79e618","url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg","contentUrl":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg","caption":"Prof. Dr. Christian Johner"},"description":"Professor Johner ist Experte f\u00fcr die Entwicklung und Zulassung von Medizinprodukten, die Software enthalten oder Software sind. Als Auditor, als Mitglied eines Normen-Komitees, als Ausbilder benannter Stellen sowie als Autor mehrerer B\u00fccher und Leitf\u00e4den tr\u00e4gt der promovierte Physiker zur Weiterentwicklung der regulatorischen Landschaft bei. Davon zeugen auch Leitf\u00e4den, die er f\u00fcr die WHO und die Benannten Stellen entwickelt hat. Sein Unternehmen, das Johner Institut, unterst\u00fctzt Medizinproduktehersteller weltweit beim Aufbau von QM-Systemen, bei der Zulassung und Pr\u00fcfung ihrer Produkte sowie bei der digitalen Transformation regulatorischer Prozesse. Es bietet Weiterbildungen wie E-Learning und Seminare an und \u00fcbernimmt f\u00fcr Hersteller Prozesse wie die \u00dcberwachung der Regularien und der Produkte im Markt. Christian Johner lehrte an mehreren Universit\u00e4ten u.a. an der Hochschule Konstanz, der Universit\u00e4t St. Gallen, der Universit\u00e4t W\u00fcrzburg sowie der Stanford University v.a. Software-Architektur, Software-Qualit\u00e4tssicherung und medizinische Informatik.","sameAs":["https:\/\/www.linkedin.com\/in\/christianjohner\/","https:\/\/x.com\/christianjohner"],"url":"https:\/\/www.johner-institut.de\/blog\/author\/christian\/"}]}},"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[{"id":5378493,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/pdms\/","url_meta":{"origin":4793202,"position":0},"title":"PDMS (Patientendatenmanagementsystem): Was Sie regulatorisch beachten sollten","author":"Christian Rosenzweig","date":"30. April 2024","format":false,"excerpt":"PDMS steht f\u00fcr Patientendatenmanagementsystem. Diese klinischen Informationssysteme finden sich typischerweise in Krankenh\u00e4usern, v. a. in den Abteilungen, die Patienten intensivmedizinisch behandeln. Durch die F\u00f6rderungen des Krankenhaus-Zukunftsgesetzes (KHZG) erleben die PMDS einen neuen Boom. Dieser Artikel verschafft einen \u00dcberblick \u00fcber PDMS, nimmt eine regulatorische Einordnung vor (z. B. Qualifizierung als Medizinprodukt),\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/04\/PDMS-Patientendatenmanagement-System.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/04\/PDMS-Patientendatenmanagement-System.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2024\/04\/PDMS-Patientendatenmanagement-System.jpg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":4179626,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/dvpmg\/","url_meta":{"origin":4793202,"position":1},"title":"DVPMG \u2013 Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz","author":"Claudia Schmitt","date":"27. Januar 2023","format":false,"excerpt":"Seit dem 09. Juni 2021 gilt das Gesetz zur digitalen Modernisierung von Versorgung und Pflege. Es tr\u00e4gt auch den Titel \u201eDigitale-Versorgung-und-Pflege-Modernisierungs-Gesetz\u201c, kurz DVPMG. Dieses Gesetz \u00e4ndert zahlreiche andere Gesetze und Verordnungen, z. B. das SGB V und die DiGAV. Dabei geht das DVPMG weit \u00fcber die Einf\u00fchrung von digitalen Pflegeanwendungen\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=1050%2C600&ssl=1 3x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2021\/07\/DVPMG-SGB-V-Paragraph-374a.jpeg?resize=1400%2C800&ssl=1 4x"},"classes":[]},{"id":6268,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/anonymisierung-und-pseudonymisierung\/","url_meta":{"origin":4793202,"position":2},"title":"Anonymisierung und Pseudonymisierung","author":"Dr. Catharina Bertram","date":"9. Dezember 2020","format":false,"excerpt":"Das Bundesdatenschutzgesetz fordert die Anonymisierung und Pseudonymisierung von personenbezogenen Daten. Was sich hinter den beiden Begriffen verbirgt und wie Sie die gesetzlichen Anforderungen erf\u00fcllen, erl\u00e4utert dieser Artikel. Update: HIPAA Forderungen ber\u00fccksichtigt Anonymisierung und Pseudonymisierung: Was ist das? Begriffsdefinitionen Die Definition des Begriffs Anonymisierung fand sich am alten Bundesdatenschutzgesetz (Jahr 1990).\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"Pseudonymisierung versus Anonymisierung: Ein Beispiel","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/05\/Pseudonymisierung-Anonymisierung.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/05\/Pseudonymisierung-Anonymisierung.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2013\/05\/Pseudonymisierung-Anonymisierung.jpg?resize=525%2C300&ssl=1 1.5x"},"classes":[]},{"id":2947521,"url":"https:\/\/www.johner-institut.de\/blog\/gesundheitswesen\/digitale-versorgung-gesetz-dvg\/","url_meta":{"origin":4793202,"position":3},"title":"Das Digitale-Versorgung-Gesetz (DVG) \u2013 als Hersteller damit Geld verdienen?","author":"Claudia Schmitt","date":"27. Januar 2023","format":false,"excerpt":"Das Digitale-Versorgung-Gesetz (DVG) bietet Herstellern digitaler Medizinprodukte eine neue M\u00f6glichkeit, Geld zu verdienen. Die Kostenerstattung soll schneller und einfacher erfolgen als herk\u00f6mmliche Verfahren, z. B. die bisherige Aufnahme in den Hilfsmittelkatalog. Hinweis Das DVG ist ein Gesetz, das bestehende Gesetze (siehe unten) ge\u00e4ndert hat. Mit dem DVPMG hat der Gesetzgeber\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2020\/04\/DVG-Positive-Versorgungsaspekte.jpg?resize=700%2C400&ssl=1 2x"},"classes":[]},{"id":5382077,"url":"https:\/\/www.johner-institut.de\/blog\/iec-62304-medizinische-software\/open-source-als-medizinprodukt\/","url_meta":{"origin":4793202,"position":4},"title":"Open-Source Software als Medizinprodukt?","author":"Prof. Dr. Christian Johner","date":"2. Dezember 2025","format":false,"excerpt":"Insbesondere universit\u00e4re Einrichtungen ver\u00f6ffentlichen medizinische Software regelm\u00e4\u00dfig als Open Source. Dabei entstehen Zweifel, ob diese Open-Source-Software als Medizinprodukt z\u00e4hlt und welche regulatorischen Risiken und (Produkt-)Haftungsrisiken drohen. Dieser Artikel verschafft einen schnellen \u00dcberblick. Key Take-Aways Die rechtlichen und finanziellen Risiken sind davon abh\u00e4ngig, ob die Open-Source-Software als Medizinprodukt z\u00e4hlt und ob\u2026","rel":"","context":"In &quot;Software &amp; IEC 62304&quot;","block_context":{"text":"Software &amp; IEC 62304","link":"https:\/\/www.johner-institut.de\/blog\/category\/iec-62304-medizinische-software\/"},"img":{"alt_text":"","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/11\/OSS-Varianten.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/11\/OSS-Varianten.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/11\/OSS-Varianten.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/11\/OSS-Varianten.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2025\/11\/OSS-Varianten.jpg?resize=1050%2C600&ssl=1 3x"},"classes":[]},{"id":1214498,"url":"https:\/\/www.johner-institut.de\/blog\/regulatory-affairs\/digital-health-e-health\/","url_meta":{"origin":4793202,"position":5},"title":"Digital Health &#038; E-Health: Die 7 gr\u00f6\u00dften Herausforderungen","author":"Florian Krafft","date":"18. Dezember 2018","format":false,"excerpt":"Viele Digital Health Technologien und Anwendungen wie Machine Learning und Connected Home stehen im Gartner Hype Cycle gerade auf dem Gipfel der \u00fcberzogenen Erwartungen. Hingegen durchleiden viele E-Health Technologien wie \u201eHealthcare Master Data Management\u201c gerade das Tal der Tr\u00e4nen. Lernen Sie in diesem Artikel Digital Health und E-Health besser abzugrenzen.\u2026","rel":"","context":"In &quot;Gesundheitswesen &amp; Health IT&quot;","block_context":{"text":"Gesundheitswesen &amp; Health IT","link":"https:\/\/www.johner-institut.de\/blog\/category\/gesundheitswesen\/"},"img":{"alt_text":"Bausteine f\u00fcr Digital Health","src":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/05\/Digital-Health.jpg?resize=350%2C200&ssl=1","width":350,"height":200,"srcset":"https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/05\/Digital-Health.jpg?resize=350%2C200&ssl=1 1x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/05\/Digital-Health.jpg?resize=525%2C300&ssl=1 1.5x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/05\/Digital-Health.jpg?resize=700%2C400&ssl=1 2x, https:\/\/i0.wp.com\/www.johner-institut.de\/blog\/wp-content\/uploads\/2018\/05\/Digital-Health.jpg?resize=1050%2C600&ssl=1 3x"},"classes":[]}],"jetpack_shortlink":"https:\/\/wp.me\/savawf-hipaa","jetpack_sharing_enabled":true,"authors":[{"term_id":1210,"user_id":1,"is_guest":0,"slug":"christian","display_name":"Prof. Dr. Christian Johner","avatar_url":{"url":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg","url2x":"https:\/\/www.johner-institut.de\/blog\/wp-content\/uploads\/2023\/05\/Christian_Johner.jpg"},"0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":"","9":""}],"_links":{"self":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/4793202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/comments?post=4793202"}],"version-history":[{"count":24,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/4793202\/revisions"}],"predecessor-version":[{"id":5369490,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/posts\/4793202\/revisions\/5369490"}],"wp:attachment":[{"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/media?parent=4793202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/categories?post=4793202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/tags?post=4793202"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.johner-institut.de\/blog\/wp-json\/wp\/v2\/ppma_author?post=4793202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}