Das Health Insurance Portability and Accountability Act (HIPAA) ist ein bahnbrechendes Gesetz, das die US-Gesundheitsbranche durch die Modernisierung der Sammlung, Speicherung, der Zugriff und den Austausch privater Patientendaten veränderte.

Im Folgenden tauchen wir in die Geschichte von HIPAA ein, einschließlich wer es erstellt hat, warum, wann es zum Gesetz wurde und wie es sich in den letzten Jahrzehnten entwickelt hat.

Was ist das HIPAA-Gesetz?

HIPAA ist ein US-Bundesgesetz, das Sicherheitsstandards für alle Gesundheitsdienstleister, Krankenversicherungen, Clearingstellen im Gesundheitswesen und Geschäftspartner von HIPAA-gedeckten Einrichtungen festlegt.

Die Einhaltung des HIPAA-Gesetzes erfordert, dass die betroffenen Einrichtungen Sicherheitsvorkehrungen zum Schutz und zur Sicherung sensibler Patientendaten, bekannt als geschützte Gesundheitsinformationen (Protected Health Information, PHI), treffen.

Wann wurde HIPAA zum Gesetz?

HIPAA wurde am 21. August 1996 unterzeichnet.

Wer hat HIPAA erstellt?

Der Kongress der Vereinigten Staaten und Präsident Bill Clinton verabschiedeten 1996 das Health Insurance Portability and Accountability Act (HIPAA).

Das ursprüngliche Gesetz hat sich seitdem erheblich weiterentwickelt. Ab 2000 hat das US-Gesundheitsministerium (HHS) mehrere Regeln erlassen, um Gesundheitsorganisationen und deren Geschäftspartnern bei der Umsetzung der HIPAA-Anforderungen zu helfen. Dazu gehören:

• Datenschutzregel reguliert die Verwendung und Offenlegung von Patientendaten
• Sicherheitsregel etabliert physische, technische und administrative Sicherheitsmaßnahmen
• Verstossbenachrichtigungsregel legt Richtlinien fest, wie und wann Verstöße gemeldet werden müssen
• Durchsetzungsregel gibt Anweisungen zur Regulierung der Haftung und zur Verhängung von Strafen bei Verstößen
• Omnibus-Regel beschreibt, wie Geschäftspartner mit PHI umgehen sollten

Wo gilt HIPAA?

HIPAA gilt für alle abgedeckten Einrichtungen (Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen für das Gesundheitswesen) und ihre Geschäftspartner, die in den USA operieren.

Es gibt Umstände, unter denen es auch international gelten kann. Wenn ein Unternehmen, das außerhalb der USA tätig ist, mit Unternehmen zusammenarbeitet, die Zugang zu den Gesundheitsinformationen von US-Bürgern haben, kann HIPAA gelten.

Warum wurde HIPAA erstellt?

HIPAA wurde geschaffen, um die Portabilität und Verantwortlichkeit der Krankenversicherung zu verbessern.

• Portabilität bezieht sich darauf, sicherzustellen, dass Arbeitnehmer, die zwischen Jobs sind, eine Krankenversicherung haben. Ohne HIPAA könnten Personen in dieser Situation ohne Zugang zu einer Krankenversicherung bleiben und möglicherweise nicht für notwendige Gesundheitsversorgung aufkommen können.
• Verantwortlichkeit bezieht sich darauf, Betrug und Missbrauch im Gesundheitswesen zu verhindern, indem PHI sicher aufbewahrt wird. HIPAA-Regeln und -Anforderungen halten Gesundheitseinrichtungen für die Daten, die sie speichern, bearbeiten, darauf zugreifen und übertragen, verantwortlich.

HIPAA-Geschichte Zeitachse

Seitdem HIPAA 1996 verabschiedet wurde, hat sich die Gesetzgebung weiterentwickelt, um mit neuen Technologien, dem exponentiellen Wachstum von Gesundheitsdaten und zunehmend raffinierten Cyber-Bedrohungen Schritt zu halten. Im Folgenden tauchen wir in die Zeitachse von HIPAA seit seiner Entstehung ein.

• August 1996: Präsident Bill Clinton unterzeichnete HIPAA in Gesetz.
• November 1999: HHS veröffentlichte einen Vorschlag der HIPAA-Datenschutzregel zur öffentlichen Kommentierung.
• Dezember 2000: HHS veröffentlichte eine endgültige Datenschutzregel.
• August 2002: HHS veröffentlichte Änderungen an der Datenschutzregelung.
• Februar 2003: HHS veröffentlichte eine endgültige Sicherheitsregel.
• April 2003: Die Durchsetzung der Datenschutzregel begann für die meisten von HIPAA abgedeckten Unternehmen. Kleine Krankenversicherungen erhielten ein zusätzliches Jahr, um die Anforderungen zu erfüllen.
• April 2003: HHS erließ die Durchsetzungsregel als vorläufige Endregelung, um zu erklären, wie HHS Untersuchungen zu Beschwerden gegen von HIPAA abgedeckte Unternehmen durchführen würde.
• April 2005: Die Durchsetzung der Sicherheitsregel begann für die meisten von HIPAA abgedeckten Unternehmen. Kleine Krankenversicherungen erhielten ein zusätzliches Jahr, um die Anforderungen zu erfüllen.
• Februar 2006: HHS veröffentlichte eine endgültige Durchsetzungsregel.
• Februar 2009: Der HITECH Act wurde unter Titel XIII des American Recovery and Reinvestment Act verabschiedet, um die Datenschutz- und Sicherheitsbestimmungen für Gesundheitsinformationen, die durch HIPAA festgelegt wurden, zu verstärken.
• April 2009: HHS forderte öffentliche Kommentare zu den Bestimmungen zur Verletzungsbenachrichtigung des HITECH Act an.
• Juli 2009: Das Büro für Bürgerrechte des HHS wurde verantwortlich für die Durchsetzung der Sicherheitsregel sowie der Datenschutzregel.
• August 2009: HHS veröffentlichte eine endgültige Regel zur Verletzungsbenachrichtigung.
• Juli 2010: HHS schlug Änderungen an den Datenschutz-, Sicherheits- und Durchsetzungsregeln gemäß HITECH vor.
• Januar 2013: HHS veröffentlichte Änderungen an den Datenschutz-, Sicherheits-, Verletzungsbenachrichtigungs- und Durchsetzungsregeln gemäß HITECH. Diese Änderungen wurden gemeinsam als Omnibus-Regel bekannt.
• September 2013: Abgedeckte Unternehmen und Geschäftspartner müssen die Omnibus-Regel einhalten.
• Januar 2021: HHS schlug Änderungen an der Datenschutzregel vor, um die koordinierte Versorgung zu verbessern. Die Kommentierungsfrist wurde bis Mai 2021 verlängert. Diese Änderungen werden zum Zeitpunkt dieser Veröffentlichung noch überprüft.

Zusätzliche Standards, die HIPAA ergänzen

Im Laufe der Jahre haben HHS und andere Organisationen zusätzliche Standards eingeführt, die HIPAA erweitern oder abgedeckten Unternehmen helfen, die HIPAA-Anforderungen und -Vorschriften zu erfüllen.

HITECH

Der Health Information Technology for Economic and Clinical Health Act (HITECH Act) wurde unter Titel XIII des American Recovery and Reinvestment Act (ARRA) von 2009 verabschiedet. Er wurde entwickelt, um die weitverbreitete Einführung und Standardisierung der Gesundheitstechnologie zu fördern. Zur Unterstützung dieses Ziels wurden Änderungen eingeführt, um die Datenschutz- und Sicherheitsbestimmungen für Gesundheitsinformationen, die durch HIPAA festgelegt wurden, zu verstärken, sowie Anreize für abgedeckte Unternehmen zu schaffen, elektronische Gesundheitsakten einzuführen.

HITRUST CSF

Im Jahr 2007 wurde die Health Information Trust (HITRUST) Alliance gegründet, um Klarheit und Konsistenz für Organisationen zu schaffen, die mehreren Datenschutz- und Sicherheitsgesetzen, darunter HIPAA, ISO 27001, NIST und PCI DSS, unterliegen. Im Jahr 2009 veröffentlichten sie einen gemeinsamen Sicherheitsrahmen (HITRUST CSF), um Gesundheitsorganisationen und ihre Anbieter dabei zu unterstützen, ihre Sicherheit und Compliance auf eine konsistente und reibungslose Weise nachzuweisen.

Während er entwickelt wurde, um HIPAA zu ergänzen, wurde HITRUST CSF weltweit von Organisationen in nahezu allen Branchen übernommen.

Wie Secureframe Ihnen helfen kann, HIPAA-konform zu bleiben

Wie die Geschichte von HIPAA zeigt, wird sich die Einhaltung auch in Zukunft mit neuen Technologien und Cyber-Bedrohungen weiterentwickeln.

Unternehmen wie Secureframe können dabei helfen, sicherzustellen, dass Ihr Unternehmen mit den neuesten HIPAA-Regeln und -Vorschriften auf dem Laufenden bleibt.

Mit HIPAA-Experten im Team werden Sie über alle HIPAA-Updates informiert, die Sie betreffen könnten. Die automatische Beweissammlung von Secureframe sendet auch Echtzeitwarnungen bei Abweichungen, sodass Sie die HIPAA-Compliance aufrechterhalten können, ohne Ihr Team zu sehr zu belasten.