Beim Umgang mit Patienteninformationen ist die Einhaltung des HIPAA ein Muss für Ihr Unternehmen und den Schutz der personenbezogenen Daten Ihrer Kunden.

Was ist HIPAA Compliance? HIPAA Compliance orientiert sich am Health Insurance Portability and Accountability Act, der die Vorschriften für Einzelpersonen und Unternehmen festlegt, die mit geschützten Patienteninformationen umgehen.

Was ist der HIPAA?

Der Health Insurance Portability and Accountability Act ist ein Gesetz aus dem Jahr 1996, das vom US-Kongress verabschiedet wurde, um nationale Standards für den Schutz personenbezogener Gesundheitsinformationen festzulegen. Vor diesem Gesetz gab es keine landesweiten Standards für den Schutz von Patientendaten. Der HIPAA entstand aus der Sorge des Kongresses, dass diese Art von Informationen zu wichtig sei, um sie der Aufsicht und Regulierung zu entziehen.

Der von Präsident Bill Clinton am 21. August 1996 unterzeichnete HIPAA legt bestimmte Anforderungen und Standards für das Verhalten von Gesundheitsdienstleistern fest. Dazu gehören einige grundlegende Vorschriften:

  • Gesundheitsdienstleister dürfen Patienteninformationen unter keinen Umständen an Dritte weitergeben, es sei denn, der Patient hat dem ausdrücklich zugestimmt.
  • Die Leistungserbringer müssen außerdem angemessene Sicherheitsmaßnahmen ergreifen, um sicherzustellen, dass Patienteninformationen im Rahmen der Behandlung oder des Geschäftsbetriebs nicht weitergegeben werden.
  • Mit der Ergänzung durch den HITECH Act im Jahr 2009 müssen die konventionellen Papierakten durch eine 100%ige digitale Aktenführung (und entsprechende Sicherheitskontrollen) ersetzt werden.

Um das Gesundheitswesen zu regulieren, legt die Regierung ein paar grundlegende Definitionen fest:

  • Protected Health Information (PHI): Patienteninformationen sind die Grundlage aller Vorschriften und stellen identifizierbare Informationen über einen Patienten dar, die sich auf seine Behandlung oder deren Bezahlung beziehen. Dazu gehören medizinische Informationen, Arztberichte, Apothekeninformationen und persönliche Informationen wie Adressen und Zahlungsinformationen, die im Rahmen der Behandlung übermittelt werden. PHI müssen von Gesundheitsdienstleistern durch technische und administrative Kontrollen geschützt werden. Sie dürfen von den Leistungserbringern niemals ohne direkte Zustimmung des Patienten weitergegeben werden.
  • Covered Entities (CEs): Betroffene Einrichtungen (CEs) sind die regulierten Unternehmen des Gesundheitswesens, die den Vorschriften und Strafen des HIPAA unterliegen. Zu den CEs gehören Krankenhäuser, Versicherungsgesellschaften, Arztpraxen und Privatkliniken.
  • Business Associates (BAs): Die Leistungserbringer und externen Partner von CEs, die Dienstleistungen wie Zahlungsabwicklung, Cloud-Anwendungen und Dateispeicherung anbieten, sind sogenannte Business Associates. BAs arbeiten nicht direkt mit Patienten, aber sie bieten Dienstleistungen an, die Patienteninformationen verarbeiten. Nach dem modernen HIPAA-Gesetz sind BAs genauso für die Einhaltung der Vorschriften verantwortlich wie CEs. Diese Haftung ist in den Business Associate Agreements kodifiziert, den erforderlichen Verträgen zwischen CEs und BAs.

Was sind die Compliance-Anforderungen des HIPAA?

Wie jedes andere Rahmengesetz hat auch HIPAA eine Reihe von Compliance-Anforderungen, die CEs und BAs erfüllen müssen. Diese Anforderungen sind in einige wenige Hauptregeln unterteilt, darunter die folgenden:

  • Privacy Rule: Die Privacy Rule, also die Datenschutz-Regelung, ist das Rückgrat der gesetzlichen Bestimmungen im Gesundheitswesen und legt die grundlegenden Anforderungen an CEs und BAs zum Schutz der Privatsphäre ihrer Patienten fest. In erster Linie ist es diesen Unternehmen untersagt, Patienteninformationen weiterzugeben, es sei denn, es liegen ganz bestimmte Umstände vor.
  • Security Rule: Die Security Rule umreißt die Sicherheitsanforderungen für CEs und BAs gemäß HIPAA. Diese Sicherheitsrichtlinie enthält Vorgaben für die technischen, administrativen und physischen Kontrollen, die Unternehmen anwenden müssen, um ihre Patienteninformationen zu schützen.
  • Breach Notification Rule: Wenn in das System eines CE oder BA eingebrochen wird und Patienteninformationen offengelegt werden, haben diese Unternehmen besondere Verpflichtungen gegenüber der Öffentlichkeit, ihren Patienten und der Regierung, was die Art und Weise der Benachrichtigung und die Schritte angeht, die sie zur Behebung des Problems unternehmen.
  • Omnibus Rule: Mit der 2013 zum HIPAA hinzugefügten Omnibus Rule wurde ein Großteil der Formulierungen im HIPAA aktualisiert, um modernen Herausforderungen zu begegnen. Insbesondere wurde auch die Breach Notification Rule neu strukturiert, um Meldungen besser handhaben zu können. Sie fügte erweiterte Anforderungen und Verpflichtungen für BAs hinzu, die mit Patienteninformationen arbeiten.

Worin bestehen die Sicherheitsanforderungen für die HIPAA Security Rule?

Die Security Rule regelt die technischen, administrativen und physischen Aspekte des Schutzes von Patienteninformationen:

  1. Technisch: Bezieht sich auf Sicherheitskontrollen und -maßnahmen wie Verschlüsselung, Firewalls, Malware, Netzwerkkonfigurationen, E-Mail, Anwendungssicherheit, HIPAA-konforme Dateifreigabe
  2. Administrativ: Bezieht sich auf die Richtlinien, Verfahren und Programme, die zur Aufrechterhaltung und Weiterentwicklung der Sicherheitsmaßnahmen eingesetzt werden, einschließlich Risikomanagement, Schulung und Weiterbildung sowie Data Governance.
  3. Physisch: Bezieht sich auf den Schutz von Standorten und Geräten, wie etwa Kameras und Schlösser in Rechenzentren und Büros sowie den Schutz von Workstations und mobilen Geräten.

Der Kern dieser Bestimmungen sind Richtlinien und keine Patentrezepte. Zum Beispiel werden die technischen Sicherheitsanforderungen nicht auf Software- oder Versions-Ebene festgelegt. Stattdessen werden die Anforderungen auf der Grundlage der besten verfügbaren und rechtlich sicheren Technologien festgelegt.

Die administrative Sicherheit ist jedoch oft die am wenigsten konkrete dieser Anforderungen. Unternehmen müssen den gesamten Sicherheits-Management-Prozess der administrativen Kontrollen verstehen:

  1. Risikoanalyse: CEs und BAs müssen genaue und gründliche Bewertungen potenzieller Risiken und Schwachstellen für Patienteninformationen durchführen.
  2. Risiko-Management: Unternehmen müssen die Risikoanalyse als Grundlage für Management-Richtlinien nutzen, um Risiken und Schwachstellen in Bezug auf Patienteninformationen zu verwalten, zu entschärfen und zu reduzieren.
  3. Sanktionen: Unternehmen müssen spezifische Sanktionsmaßnahmen für Mitarbeiter festlegen, die gegen die Vorschriften verstoßen.
  4. Überprüfung von Informationssystemen: Unternehmen müssen regelmäßig Audit-Protokolle, Reports, Zugriffsberichte und Meldungen über Sicherheitsvorfälle überprüfen, um eine Risikobewertung und -optimierung durchzuführen. Bei der Risikobewertung geht es um die Messung und Behebung potenzieller Risiken in der IT-Infrastruktur und um die Entwicklung von Richtlinien auf der Grundlage dieser Bewertungen.

Zu diesen Maßnahmen gehört auch die Implementierung von Richtlinien zur Aufbewahrung von Patientendaten für einen bestimmten Zeitraum, abhängig von den Informationen und ihrer Verwendung.

In einer modernen, mobilen Welt werden physische Kontrollen oft am meisten übersehen. So zahlte Concentra Health Services im Jahr 2017 etwa US$ 1,7 Mio. für Datenschutzverletzungen im Zusammenhang mit einem gestohlenen Laptop, der nicht gesichert war und somit Patienteninformationen preisgab. Gemäß HIPAA müssen Mitarbeiter Geräte kontrollieren und verwalten, diese Geräte gegen physischen Zugriff sichern und alle Rechenzentren, die Patienteninformationen enthalten, müssen über physische Schlösser und Überwachung verfügen. Schließlich müssen alle physischen Datenträger, auf denen sich noch Patienteninformationen befinden, ordnungsgemäß entsorgt werden, so dass keinerlei Patienteninformationen mehr entnommen werden können.

Welche Anforderungen stellt die Breach Notification Rule?

Die Compliance umfasst die Art und Weise, wie eine CE oder ein BA auf eine Datenschutzverletzung des HIPAA reagieren muss. Diese Unternehmen müssen demnach über einen Plan verfügen, der eine umfassende Benachrichtigung der betroffenen Parteien ermöglicht.

Die Anforderungen für die Einhaltung der Breach Notification Rule umfassen Folgendes:

  • Unternehmen müssen Personen, die von Datenschutzverletzungen betroffen sind, benachrichtigen. Diese Benachrichtigung muss per Briefpost oder per E-Mail erfolgen (sofern der Patient dies genehmigt hat). Nehmen wir an, das Unternehmen hat veraltete Informationen über zehn oder mehr betroffene Patienten. In diesem Fall muss das Unternehmen die Benachrichtigung über die Datenschutzverletzung mindestens 90 Tage lang auf seiner Website veröffentlichen, einschließlich einer gebührenfreien Informationsnummer.
  • Bei Datenschutzverletzungen, die 500 Patienten innerhalb einer einzigen Gerichtsbarkeit betreffen, müssen zusätzlich prominente Medien in Form einer Pressemitteilung spätestens 60 Tage nach der Entdeckung der Sicherheitsverletzung informiert werden.
  • In jedem Fall muss das Unternehmen das Büro des Secretary of Health and Human Services (HHS) benachrichtigen. Wenn der Verstoß mehr als 500 Patienten betrifft, muss dies innerhalb von 60 Tagen erfolgen. Wenn es sich um weniger als 500 Patienten handelt, kann das Unternehmen den Verstoß jährlich melden.
  • Business Associates müssen ihre Partner-CEs innerhalb von 60 Tagen nach der Entdeckung von Datenschutzverletzungen informieren.
  • Sowohl CEs als auch BAs müssen nachweisen, dass sie diese Anforderungen erfüllt haben.

Gewährleistung der HIPAA Compliance mit sicherer Technologie

Die HIPAA Compliance ist eine der strengsten Regulierungen in den Vereinigten Staaten. Unternehmen, die im Gesundheitswesen als Covered Entities oder Business Associates arbeiten, müssen die entsprechenden Vorgaben unbedingt erfüllen. Diese Vorschriften gelten für alle Technologien und Verfahren – es ist für Unternehmen von entscheidender Bedeutung, gesetzeskonforme Technologien zu verwenden.

Für sensible Inhalte, die per E-Mail, File-Sharing, Managed File Transfer, Application Programming Interfaces (APIs) und Web-Formulare versendet werden, bietet Kiteworks umfassende Governance, Compliance und Sicherheit. Vereinbaren Sie einen Termin für eine individuell angepasste Demo, um mehr zu erfahren.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Teilen
Twittern
Teilen
Explore Kiteworks