HIPAA Compliance

• Sie entwickeln ein Healthcare-SaaS-Produkt, eine EHR/EMR-Integration oder ein beliebiges System, das Patientendaten speichert oder überträgt
• Sie benötigen AWS-Infrastruktur-Templates (Terraform), die sofort HIPAA-konform einsetzbar sind
• Sie implementieren FHIR- oder HL7-APIs und benötigen OAuth 2.0 Scope-Durchsetzung sowie Muster für Audit-Logging
• Sie bereiten sich auf einen ersten Piloten mit einer Covered Entity vor und benötigen eine Launch-Readiness-Checkliste, die BAAs, Risikoanalyse und Anforderungen für Penetrationstests abdeckt

• Ihre Anwendung verarbeitet keine Patientendaten und hat keine Verbindung zu Covered Entities oder Business Associates
• Sie rechtliche Beratung oder eine formelle HIPAA-Bescheinigung benötigen — diese Skill bietet technische Orientierung, keine Rechtsberatung
• Sie in einer Nicht-AWS-Cloud-Umgebung arbeiten und anbieterspezifische Infrastrukturvorlagen benötigen, die über das hinausgehen, was AWS bietet

Wendet automatisch alle 18 HIPAA-PHI-Identifikatoren an, um zu kennzeichnen, wann Gesundheitsdaten in Kombination mit einem beliebigen Identifikator der Regulierung unterliegen. Umfasst Namen, Sozialversicherungsnummern, IP-Adressen, Datumsangaben, Geräte-IDs und mehr.

Stellt Terraform-Code für HIPAA-konforme VPC-Architektur, KMS-Schlüsselrichtlinien, verschlüsselte RDS-Instanzen und S3-Bucket-Konfigurationen mit blockiertem öffentlichem Zugriff und aktivierter Versionierung bereit.

Generiert Python-Audit-Log-Muster, die Benutzer, Aktion, Ressourcentyp und Ressourcen-ID erfassen – ohne jemals PHI-Werte in Log-Einträgen zu speichern. Enthält Hilfsprogramme zur Bereinigung von Fehlermeldungen.

Implementiert rollenbasierte PHI-Zugriffsmatrizen (behandelnder Arzt, Abrechnungspersonal, IT-Administrator, Forscher) mit Python-Decorator-Durchsetzung auf der API-Ebene vor dem Datenabruf.

Erstellt De-Identifizierungshilfsprogramme für Entwicklungs- und Testumgebungen mithilfe deterministischer Tokenisierung, um die referentielle Integrität zu wahren und dabei alle 18 PHI-Identifikatoren zu unterdrücken.

Verfolgt erforderliche Business Associate Agreements für AWS-Dienste und Drittanbieter (Auth0, Datadog, Sentry, SendGrid usw.) und bietet stufenweise Launch-Gates für Gründer, die sich ihrem ersten Pilotprojekt mit einer Covered Entity nähern.

Ein Gründer, der eine Plattform für Patientenplanung oder Telemedizin entwickelt, erhält ein vollständiges AWS-Architekturdiagramm, eine Terraform-Grundlage und eine BAA-Checkliste – noch bevor eine einzige Zeile Anwendungscode geschrieben wird.

Ein Backend-Ingenieur, der einen FHIR R4 Patient-Endpunkt implementiert, erhält OAuth 2.0 Scope-Durchsetzung, Konfiguration der Ratenbegrenzung, Filterung auf das Mindestmaß erforderlicher Felder sowie Audit-Logging – alles in einem FastAPI-Beispiel miteinander verknüpft.

Ein Entwickler reicht einen Pull Request ein, der einen Patientendatenpfad berührt, und verwendet die Code-Review-Checkliste der HIPAA Compliance, um sicherzustellen, dass keine PHI in Logs, Fehlermeldungen, URL-Parametern, S3-Schlüsseln oder Umgebungsvariablen erscheint.

Ein Entwicklungsteam benötigt realistische Testdaten, ohne echte Patientendaten zu verwenden. Die Skill generiert eine Safe-Harbor-De-Identifizierungspipeline, die alle Identifikatoren ersetzt und dabei Fremdschlüsselbeziehungen beibehält.