Was ist HIPAA und inwiefern betrifft mich das?
Was ist HIPAA und inwiefern betreffen die Security Rule, die Omnibus Rule und die Privacy Rule des HIPAA Sie und Ihr Unternehmen? Lesen Sie weiter, um mehr darüber zu erfahren.
Was bedeutet HIPAA? HIPAA steht für Health Insurance Portability and Accountability Act.
Was genau ist HIPAA?
Der Health Insurance Portability and Accountability Act (HIPAA) ist ein Bundesgesetz, das 1996 vom US-Kongress verabschiedet und von Präsident Clinton unterzeichnet wurde, um eine Reihe von Standards für die Verwaltung, den Schutz und den Austausch von Patientendaten zu schaffen. Dieses Gesetz regelt insbesondere, wann, wie und unter welchen Umständen Gesundheitsdienstleister und ihre Geschäftspartner geschützte Patienteninformationen (Protected Health Information, PHI) weitergeben dürfen. Dieses Gesetz soll die Patienten im Gesundheitswesen unterstützen, indem es u. a. folgende Maßnahmen vorsieht:
- Verwaltung und Übermittlung von Informationen über die Gesundheitsversorgung und den Versicherungsschutz zwischen verschiedenen Leistungserbringern (Krankenhäusern, Ärzten und Versicherungsgesellschaften)
- Bekämpfung von Informationsdiebstahl und Identitätsbetrug
- Vereinheitlichung der Dokumentations- und Sicherheitsstandards zwischen den einzelnen Bundesstaaten
- Wahrung des Datenschutzes und der Vertraulichkeit für alle Patientenakten und Patienteninformationen
Der HIPAA wird vom Büro für Bürgerrechte des US-Gesundheitsministeriums (U.S. Department of Health and Human Services Office for Civil Rights, HHS) verwaltet, das für die Einhaltung der Vorschriften durch die Einrichtungen und die Geltendmachung von Ansprüchen gegen die Einrichtungen bei Verstößen gegen die Vorschriften oder Sicherheitsverletzungen zuständig ist. Das HHS, das mit der Ausarbeitung und Umsetzung der HIPAA-Vorschriften beauftragt ist, hat fünf Kernabschnitte oder “Regeln” eingeführt, die die Rechte der Patienten und die Pflichten der Leistungserbringer im Rahmen des Gesetzes umreißen:
- Privacy Rule (Datenschutz-Regelung)
- Security Rule (Sicherheitsrichtlinie)
- Transactions Rule (Regel für Transaktionen)
- Identifiers Rule (Identifikatoren-Regel)
- Enforcement Rule (Durchsetzungsregelung)
Privacy Rule
Die HIPAA Privacy Rule ist vielleicht die bekannteste Regel. Sie legt die allgemeinen Definitionen und Erwartungen der Patienten, zu schützende Daten und die Pflichten der Leistungserbringer fest. In diesem Abschnitt wird die Grundlage des HIPAA formuliert: Einrichtungen des Gesundheitswesens und ihre Geschäftspartner müssen Patienteninformationen und andere medizinische Unterlagen vor unbefugter Offenlegung schützen.
Einrichtungen, die gemäß der Privacy Rule der Rechtsprechung des HIPAA unterliegen, werden als “Covered Entities” (CEs) bezeichnet, und dazu gehören eine begrenzte Anzahl von Einrichtungen wie Ärzte, Krankenhäuser, Apotheken, Versicherungsgesellschaften, Gesundheitsdienstleister (Health Maintenance Organisations, HMOs) und eine ausgewählte Gruppe ähnlicher Leistungserbringer. Da die meisten CEs ihre geschäftlichen und gesundheitsbezogenen Funktionen an Drittanbieter und Partner auslagern, wurde für diese Einrichtungen eine zweite Kategorie geschaffen, die “Business Associates” (BAs), die ebenfalls unter die HIPAA-Regelung fallen.
Die Privacy Rule definiert den Begriff der geschützten Patienteninformationen (PHI) rechtlich. Gemäß HIPAA sind das alle Informationen, die sich auf Folgendes beziehen:
- alle vergangenen, gegenwärtigen oder zukünftigen Informationen über den körperlichen oder geistigen Zustand eines Patienten
- jegliche Art der Gesundheitsversorgung von Patienten, sei es psychisch oder physisch
- alle finanziellen oder Zahlungsinformationen im Zusammenhang mit der Gesundheitsversorgung dieses Patienten, ob in der Vergangenheit, Gegenwart oder Zukunft
Schließlich schreibt die Privacy Rule vor, dass jeder Patient das Recht hat, auf alle von einer Einrichtung aufbewahrten Patienteninformationen zum Zwecke der Einsichtnahme, Korrektur oder Archivierung zuzugreifen.
Security Rule
Die Security Rule übernimmt die Privacy Rule und fügt Standards, Anforderungen und Methoden zur Sicherung von Patienteninformationen hinzu. Gemäß der Security Rule müssen Einrichtungen Sicherheitsmaßnahmen ergreifen, um die Integrität und Vertraulichkeit von Patienteninformationen, insbesondere von elektronischen Patienteninformationen (ePHI), zu schützen. Um dies zu erreichen, enthält die Security Rule Richtlinien für die entsprechenden Sicherheitsanforderungen in drei Bereichen:
- Technischer Bereich: Die in dieser Kategorie aufgeführten Sicherheitskontrollen spiegeln wider, woran wir normalerweise denken, wenn wir an Cybersicherheit denken: Verschlüsselungsprotokolle, Firewalls für Datenserver, Anti-Malware-Applikationen usw. Mit dem Aufkommen von Cloud-basierten Software-as-a-Service (SaaS)-Programmen verlangt der HIPAA auch klare Sicherheitsmaßnahmen zum Schutz der Kommunikation zwischen CEs und BAs, Sicherheitsmaßnahmen für Cloud-Server und System-Backups.
- Physischer Bereich: ePHI sind zwar technisch gesehen ein digitales Gut, dieses befindet sich aber in einer physischen Infrastruktur. Die physischen Sicherheitsvorkehrungen für ePHI konzentrieren sich auf den Schutz des physischen Zugangs zu Rechenzentren durch Schlösser, Kameras und Bedienpulte sowie auf die Einschränkung oder Verhinderung des Zugangs zu Workstations und mobilen Geräten.
- Administrativer Bereich: Die Einhaltung des HIPAA erfordert von den Mitarbeitern einer CE oder eines BA Sorgfalt und Verständnis. Von regulierten Einrichtungen werden administrative Sicherheitsmaßnahmen erwartet, einschließlich ordnungsgemäßer HIPAA- und Sicherheitsschulungen, Datenverwaltung, Risikomanagementrichtlinien, klarer Dokumentation und systematischer Berichterstattung.
Angesichts dieser Sicherheitsaspekte ist in der Security Rule festgelegt, dass CEs und BAs die Integrität, Vertraulichkeit und Verfügbarkeit von ePHI sicherstellen müssen. Außerdem müssen sie Sicherheitsbedrohungen erkennen und entschärfen, die unbefugte Weitergabe von Daten verhindern und die Einhaltung der Vorschriften in ihrer gesamten Organisation nachweisen.
Transactions Rule
Die Transactions Rule standardisiert die Kodierung und Identifizierung von ePHI-Transaktionen innerhalb medizinischer Systeme. Mit dieser Vorschrift wurden lokale Codes und organisatorische Vorgaben, die auf kommunaler, staatlicher oder privater Ebene verwendet wurden, abgeschafft. Die Standards der Transaction Rule gelten für medizinische Aufzeichnungen, Finanzdaten und alles, was unter den Begriff geschützte Patienteninformationen fällt. Die entsprechenden Codes basieren auf mehreren verschiedenen Code-Sets:
- International Classification of Diseases, 9th Revision
- Current Procedural Terminology, veröffentlicht von der American Medical Association, 4. Auflage
- HCFA Common Procedure Coding System (HCPCS)
- Code on Dental Procedures and Nomenclature, erhältlich bei der American Dental Association, 2. Auflage
- National Drug Codes, die von der Food and Drug Administration (FDA) veröffentlicht werden
Identifiers Rule
Einrichtungen müssen gemäß den Vorschriften des Internal Revenue Service (IRS) eindeutige Identifikationsnummern verwenden, um die einheitliche Identifizierung von Einrichtungen des Gesundheitswesens zu Datenschutzzwecken zu unterstützen. Diese Identifikatoren müssen bei allen HIPAA-Transaktionen vorhanden sein. Dies umfasst insbesondere die folgenden Identifikatoren:
- National Provider Identifier (NPI): Eine eindeutige Kennung für Gesundheitsdienstleister, die bei allen administrativen und finanziellen Transaktionen verwendet wird.
- Employer Identification Number (EIN): Eine eindeutige Identifikationsnummer, die von Arbeitgebern bei finanziellen Transaktionen verwendet wird.
Andere Identifikatoren, darunter der National Health Plan Identifier (HPID, eine eindeutige ID-Nummer zur Identifizierung von Anbietern von Gesundheitsplänen) und der Other Entity Identifier (OEID), wurden zunächst verwendet, jedoch später durch Entscheidungen des HHS wieder eingestellt.
Enforcement Rule
Diese als Teil des HITECH Acts umgesetzte Regel ändert und spezifiziert Bußgelder für die Nichteinhaltung des HIPAA. Ab 2020 werden in der Enforcement Rule verschiedene Arten von HIPAA-Verstößen festgelegt:
- Unwissentliche Verstöße, bei denen eine CE oder ein BA nicht von dem Verstoß wusste und von denen dieses Wissen auch nicht erwartet werden konnte. Die Strafen liegen zwischen US$ 100 und US$ 59.000 pro Verstoß, mit einer Höchststrafe von US$ 25.000 pro Jahr für identische Verstöße.
- Unbekannte Verstöße, bei denen eine CE oder ein BA nicht von einem Verstoß wusste, dies aber hätte wissen müssen. Die Strafen liegen zwischen US$ 1.000 und US$ 50.000 pro Verstoß mit einem Höchstbetrag von US$ 100.000 pro Jahr für identische Verstöße.
- Vorsätzliche Vernachlässigung mit Abhilfemaßnahmen, bei der die CE oder der BA von dem Verstoß wusste und ihn nicht behoben hat, aber nachträglich versucht hat, dies zu tun. Die Strafen liegen zwischen US$ 10.000 und US$ 50.000 pro Verstoß mit einem Höchstbetrag von US$ 250.000 pro Jahr für identische Verstöße.
- Vorsätzliche Vernachlässigung ohne Abhilfemaßnahmen, wenn die CE oder der BA vorsätzlich Verstöße ignoriert oder vernachlässigt und keinen Versuch unternommen hat, sie zu korrigieren. Die Strafen belaufen sich auf mindestens US$ 50.000 pro Verstoß und maximal US$ 1,5 Mio. pro Jahr für identische Verstöße.
Darüber hinaus können Personen, die gegen die Datenschutzbestimmungen verstoßen, mit Fahrlässigkeit ohne Vorsatz oder mit der Absicht, Patienteninformationen zu stehlen und von deren Diebstahl zu profitieren, strafrechtlich belangt werden. Zu den strafrechtlichen Konsequenzen können die folgenden gehören:
- Verstöße mit begründetem Anlass oder Unkenntnis des Verstoßes: bis zu einem Jahr Gefängnis
- Beschaffung von Patienteninformationen unter Vorspiegelung falscher Tatsachen: bis zu fünf Jahre Gefängnis
- Beschaffung von Patienteninformationen in böswilliger Absicht oder zur persönlichen Bereicherung: bis zu zehn Jahre Gefängnis
Zwei weitere Vorschriften spielen eine wichtige Rolle bei der Einhaltung des HIPAA:
Breach Notification Rule
Diese Vorschrift legt die Pflichten fest, die CEs und BAs haben, sobald eine Sicherheitsverletzung auftritt. Auch wenn unterschiedliche Kontexte unterschiedliche Ansätze erfordern, müssen die Einrichtungen im Allgemeinen nach einer Sicherheitsverletzung die folgenden Schritte unternehmen:
- CEs und BAs müssen Verstöße nur melden, wenn sie ungesicherte Patienteninformationen betreffen. Wenn die Patienteninformationen nicht verschlüsselt, geschützt oder anderweitig unbrauchbar gemacht wurden, dann sind sie ungesichert.
- Gesetzeskonforme Einrichtungen müssen die betroffenen Patienten innerhalb von 60 Tagen nach Aufdeckung des Verstoßes entweder schriftlich oder per E-Mail über den Verstoß informieren. In Fällen, in denen die Einrichtung über unvollständige Kontaktinformationen für 10 oder mehr betroffene Patienten verfügt, muss sie eine Benachrichtigung auf ihrer Website veröffentlichen und eine gebührenfreie Telefonnummer angeben, unter der betroffene Patienten anrufen können. Sowohl der Hinweis als auch die Telefonnummer müssen mindestens 90 Tage lang aktiv und sichtbar bleiben.
- Bei Sicherheitsverletzungen, die 500 oder mehr Patienten in einem einzigen US-Bundesstaat oder einer einzigen Gerichtsbarkeit betreffen, muss die Benachrichtigung über bekannte Medien in diesem Staat oder dieser Gerichtsbarkeit erfolgen. Diese Medienbenachrichtigung muss innerhalb von 60 Tagen nach Entdeckung der Sicherheitsverletzung erfolgen.
- Sind mehr als 500 Personen von der Datenschutzverletzung betroffen, muss die Einrichtung das US-amerikanische Gesundheitsministerium (Secretary of Health and Human Services) innerhalb von 60 Tagen mittels eines Formulars darüber informieren.
Omnibus Rule
Die 2013 verabschiedete Omnibus Rule des HIPAA präzisiert einige Formulierungen in den Datenschutz- und Sicherheitsvorschriften, um sowohl moderne ePHI-Technologien als auch die im Rahmen des HITECH-Gesetzes von 2009 propagierte Umstellung auf elektronische Aufzeichnungen bestmöglich zu ergänzen.
Am wichtigsten ist vielleicht, dass die Omnibus Rule den Wortlaut in Bezug auf Geschäftspartner (Business Associates) und deren Pflichten ändert. Nach den neuen Regeln sind BAs für HIPAA-Verstöße und Systemverletzungen genauso verantwortlich wie die betroffenen Einrichtungen, und als solche müssen sie sich genauso an das Gesetz halten wie die CEs. Darüber hinaus umfasst die Definition des Begriffs “BA” nun alle Unternehmen, die im Rahmen ihrer Arbeit mit einer CE mit Patienteninformationen in Berührung kommen.
Schließlich ist es CEs nach der Omnibus Rule untersagt, Patientendaten ohne Zustimmung zu verkaufen, und sie unterliegen strengeren Beschränkungen bei der Verwendung von Patientendaten für Marketingzwecke.
Welche Offenlegungen von Patienteninformationen sind gemäß HIPAA zulässig?
Bei all diesen Regeln und Vorschriften gibt es eine Reihe von Voraussetzungen, unter denen ein Anbieter Patienteninformationen ohne direkte Genehmigung weitergeben kann. Dazu gehören die folgenden:
- Offenlegung von Informationen gegenüber dem Patienten: CEs und BAs können alle Informationen an die Person weitergeben, zu der sie gehören (den Gegenstand des Berichts).
- Interne Weitergabe: Organisationen können Daten intern als Teil ihrer eigenen Behandlungs-, Betriebs- und Zahlungsprozesse weitergeben.
- Wohlwollendes Interesse: Entweder informell oder in Notfällen können CEs und BAs (in recht begrenztem Umfang) alle Informationen aus den Aufzeichnungen der Einrichtung zur Benachrichtigung von Familienmitgliedern weitergeben.
- Versehentliche Offenlegung: Wenn Patienteninformationen versehentlich während einer genehmigten Offenlegung aufgedeckt werden und die CE oder der BA angemessene Schritte unternommen hat, um eine solche Offenlegung zu verhindern, muss die Einrichtung keine Strafe gemäß der Datenschutzrichtlinie zahlen.
- Öffentliches Interesse: Die CE oder der BA kann Patienteninformationen ohne Erlaubnis für 12 dringende nationale Zwecke weitergeben:
- Aktivitäten im Bereich der öffentlichen Gesundheit wie Pandemien, Medikamenten- und Arzneimitteltests, Symptomtests und das Management von Krankheiten und Verletzungen am Arbeitsplatz.
- Missbrauch: CEs können Informationen an staatliche Behörden weitergeben, die Missbrauch, Vernachlässigung oder Gewalt aufdecken.
- Aufsicht: Informationen können im Rahmen von Aufsichtstätigkeiten an die in der Datenschutzrichtlinie definierten Stellen weitergegeben werden.
- Gerichtliche Verfahren: Bestimmte Gerichtsbeschlüsse können die Offenlegung von Patienteninformationen genehmigen.
- Strafverfolgung: Unter bestimmten Umständen können Patienteninformationen an Strafverfolgungsbehörden weitergegeben werden, um gerichtliche Anordnungen zu erfüllen, Verdächtige oder vermisste Personen zu identifizieren oder die Polizei über den Tod einer Person zu informieren.
- Verstorbene: Patienteninformationen können an Gerichtsmediziner weitergegeben werden, um die Identifizierung zu erleichtern oder die Todesursache festzustellen.
- Spende: Patienteninformationen können weitergegeben werden, um Organspenden und Transplantationen zu erleichtern.
- Forschung: Unter bestimmten Umständen können Patienteninformationen für bestimmte Arten von genehmigter und gesicherter Forschung offengelegt werden.
- Öffentliche Sicherheit: Patienteninformationen können unter bestimmten Umständen weitergegeben werden, um Schaden von Personen abzuwenden, einschließlich Bedrohungen für den Patienten selbst.
- Staatliche Funktion: Die Ausführung militärischer Aufgaben, nachrichtendienstlicher Missionen oder anderer Aktivitäten im Zusammenhang mit der nationalen Sicherheit erfordern keine Genehmigung zur Offenlegung von Patienteninformationen.
- Arbeitnehmerentschädigung: Im Rahmen einer gesetzlichen Ermächtigung können Patienteninformationen zum Zweck der Geltendmachung von Ansprüchen und Leistungen im Rahmen der Arbeitnehmerentschädigung weitergegeben werden.
- Gesetzlich vorgeschrieben: Diese gesetzlich vorgeschriebenen Offenlegungen von Patienteninformationen sind in Gesetzen, Verordnungen oder Gerichtsbeschlüssen enthalten.
Einhaltung der HIPAA-Vorschriften und Schutz der persönlichen Daten der Patienten
Wenn es um die Einhaltung des HIPAA geht, ist es wichtig, dass die IT- und Datenverwaltungsinfrastruktur eines Unternehmens der Aufgabe gewachsen ist, Patienten und Mitarbeiter zu schützen. Mit einem einheitlichen, protokollierten, nachverfolgbaren und sicheren System können Sie nicht nur die Compliance gewährleisten und überwachen, sondern erhalten auch die grundlegenden Werkzeuge, um den Schutz der personenbezogenen Daten Ihrer Patienten zu sicherzustellen.
Schließlich bedeutet die Einhaltung der HIPAA-Richtlinien nicht, dass Sie sich von der Außenwelt abschotten müssen. Mit den richtigen Tools wie sicherem File-Sharing, sicheren E-Mail-Links, gesetzeskonformen Datendiensten und einer privaten Cloud-Infrastruktur können Sie der Sicherheit und der Compliance Priorität einräumen, ohne die Benutzerfreundlichkeit oder Kundenzufriedenheit zu beeinträchtigen.
Vereinbaren Sie einen Termin für eine individuelle Demo von Kiteworks, um zu erfahren, wie Ihr Unternehmen beim Senden und Weitergeben von personenbezogenen Daten die HIPAA-Vorgaben einhalten kann.
–>