Was ist die HIPAA-Verstoßbenachrichtigungsregel?

Die HIPAA Verstoßbenachrichtigungsregel ist eine Reihe von Vorschriften, die vom US-Gesundheitsministerium (HHS) erlassen wurden und von betroffenen Einrichtungen und deren Geschäftspartnern verlangen, Einzelpersonen, HHS und in einigen Fällen die Medien zu benachrichtigen, wenn es zu einem Verstoß gegen ungesicherte geschützte Gesundheitsinformationen (PHI) kommt. Die Verstoßbenachrichtigungsregel wurde im Rahmen des Gesetzes über die Nutzung von Gesundheitsinformationen für wirtschaftliche und klinische Zwecke (HITECH) erstellt, das das Gesetz zur Übertragbarkeit und Verantwortlichkeit von Krankenversicherungen (HIPAA) von 1996 geändert hat.

Die Verstoßbenachrichtigungsregel definiert einen Verstoß als die unbefugte Erfassung, den unbefugten Zugang, die unbefugte Nutzung oder die unbefugte Offenlegung von PHI, die die Sicherheit oder Vertraulichkeit der PHI gefährdet. Betroffene Einrichtungen und deren Geschäftspartner sind verpflichtet, eine Risikobewertung durchzuführen, um festzustellen, ob ein Verstoß vorliegt und ob eine Benachrichtigung erforderlich ist.

Wenn ein Verstoß gegen ungesicherte PHI 500 oder mehr Personen betrifft, sind betroffene Einrichtungen verpflichtet, diese Personen, HHS und in einigen Fällen die Medien unverzüglich, spätestens jedoch 60 Tage nach Entdeckung des Verstoßes zu benachrichtigen. Wenn ein Verstoß weniger als 500 Personen betrifft, sind betroffene Einrichtungen verpflichtet, diese Personen innerhalb von 60 Tagen nach dem Ende des Kalenderjahres, in dem der Verstoß aufgetreten ist, zu benachrichtigen.

Die Verstoßbenachrichtigungsregel verlangt von betroffenen Einrichtungen und deren Geschäftspartnern auch, die Dokumentation von Verstößen und deren Reaktionen mindestens sechs Jahre aufzubewahren. Die Nichtbefolgung der Verstoßbenachrichtigungsregel kann zu erheblichen Strafen und Bußgeldern führen, die von HHS verhängt werden.