Die Einhaltung aller HIPAA-Anforderungen ist eine große Herausforderung - das Verständnis von Randfällen und Ausnahmen fügt eine weitere Ebene der Komplexität und des Stresses hinzu. Zur Hilfe haben wir die wichtigsten Ausnahmeregelungen des Health Insurance Portability and Accountability Act und Ausnahmen von dessen Regeln zusammengefasst.

Allgemeine HIPAA-Ausnahmen

Die meisten HIPAA-Ausnahmen sind äußerst spezifische Fälle, wie z.B. wenn HIPAA in Widerspruch zu staatlichem Recht oder anderen Vorschriften steht. Ein Beispiel ist für Lehruniversitäten, bei denen eine Bildungseinrichtung möglicherweise Gesundheitsdienstleistungen für die Öffentlichkeit anbietet. Eine weitere Ausnahme gilt für Militärärzte, die verpflichtet sein können, PHI offenzulegen, wenn sie über die Diensttauglichkeit eines Patienten berichten. Andere Ausnahmen gelten für Psychotherapiesitzungen, wenn staatliche Gesetze von Therapeuten verlangen, vor drohendem Schaden zu warnen oder Missbrauchsfälle zu melden.

Darüber hinaus sind Finanzinstitute, einschließlich Banken und Zahlungsabwickler, derzeit von HIPAA ausgenommen. Betroffene Einrichtungen sollten darauf achten, wie direkte Zahlungen eines Patienten verarbeitet werden, um die Einhaltung der Mindestnotwendigkeitsregel sicherzustellen.

In den meisten Fällen, wenn HIPAA im Widerspruch zu staatlichem Recht steht, hat HIPAA Vorrang - es sei denn, das staatliche Gesetz bietet stärkere Datenschutzbestimmungen oder Patientenrechte. Wenn Sie sich jemals unsicher sind, ob HIPAA-Regeln gelten, ist es am besten, einen Gesundheitsanwalt oder HIPAA-Compliance-Experten zu konsultieren.

Ausnahmen von der Definition geschützter Gesundheitsinformationen (PHI)

Die HIPAA-Gesetzgebung gilt für betroffene Einrichtungen und Geschäftspartner. Alle PHI, die von diesen Gesundheitsorganisationen erstellt, gespeichert, abgerufen oder übertragen werden, sind durch HIPAA geschützt. In den Händen eines anderen Unternehmens könnten dieselben Informationen jedoch nicht als PHI angesehen werden und würden nicht unter HIPAA-Schutz stehen.

Ein Beispiel ist eine Fitness-App, die die Herzfrequenz, Schlafmuster, Aktivitätsniveaus oder den Kalorienverbrauch eines Benutzers verfolgt, diese Daten gelten nicht als PHI.

Hier sind einige weitere Beispiele, bei denen Gesundheitsdaten nicht als PHI klassifiziert sind:

  • Terminabfragen: Namen und Telefonnummern potenzieller Patienten, die anrufen, um einen Termin zu vereinbaren, werden nicht als PHI betrachtet, da keine Gesundheitsinformationen damit verbunden sind. Sobald diese Person jedoch offiziell ein Patient wird, werden diese Daten zu PHI und sind geschützt.
  • Beschäftigungs- und Bildungsunterlagen: Alle Aufzeichnungen über die Gesundheit von Mitarbeitern oder Studenten, einschließlich bekannter Allergien, Blutgruppe oder Behinderungen, werden nicht als PHI betrachtet.
  • Tragbare Geräte: Von tragbaren Geräten, einschließlich Herzfrequenz-Monitoren oder Smartwatches, gesammelte Daten sind keine Gesundheitsinformationen (PHI). 
  • Gesundheits- und Fitness-Apps: Von einer mobilen Fitness- oder Gesundheits-App gesammelte oder eingetragene Daten sind keine Gesundheitsinformationen (PHI). 
  • De-identifizierte PHI: Gesundheitsdaten, bei denen alle persönlichen Identifikatoren entfernt wurden und die nicht mit einer bestimmten Person in Verbindung gebracht werden können, gelten nicht mehr als Gesundheitsinformationen (PHI). Organisationen verwenden manchmal de-identifizierte PHI für statistische oder Forschungszwecke. 

Ausnahmen von der HIPAA-Datenschutzregel

Unter sehr spezifischen Umständen erlaubt die HIPAA-Datenschutzregel es betroffenen Stellen, persönliche Gesundheitsinformationen ohne Zustimmung des Patienten zu verwenden und/oder offenzulegen. Typischerweise handelt es sich hierbei um Fälle, die die Behandlung, Abrechnung und den allgemeinen Geschäftsverkehr (TPO) eines Gesundheitsdienstleisters betreffen. Andere Ausnahmen schließen Fälle von öffentlichem Interesse ein. 

Zum Beispiel:

  • Gesundheitliche Vorschriften und Lizenzierungen 
  • Öffentliche Gesundheit (z. B. Meldung an eine staatliche Gesundheitsbehörde oder die CDC) 
  • Medizinische Forschung
  • Arbeiterentschädigung 
  • Rechtliche Verfahren und Zwecke der Strafverfolgung
  • Um nächste Angehörige zu informieren, eine Leiche zu identifizieren, die Todesursache zu bestimmen oder für einen Gerichtsmediziner/Leichenbeschauer

Selbst in diesen Situationen müssen Offenlegungen in einem Offenlegungsverzeichnis dokumentiert werden. 

Ausnahmen von der HIPAA-Benachrichtigungsregel bei Datenschutzverletzungen

Es gibt einige Szenarien, die technisch unter die Definition einer Datenschutzverletzung fallen, für die das US-Gesundheitsministerium (HHS) jedoch Ausnahmen gewährt. Diese beinhalten:

  • Unbeabsichtigter Zugriff oder Gebrauch von PHI durch einen Mitarbeiter, der im guten Glauben und innerhalb des Rahmens seiner Befugnisse handelt
  • Unbeabsichtigte Offenlegung von PHI zwischen autorisierten Personen
  • Die Organisation ist überzeugt, dass die Person, die die PHI erhalten oder darauf zugegriffen hat, die Daten nicht behalten oder gefährden wird

Wenn eine der drei Ausnahmen zutrifft, gilt PHI nicht als „verletzt“ und die betroffene Stelle ist nicht verpflichtet, die betroffenen Parteien oder das HHS gemäß der Benachrichtigungsregel über Datenschutzverletzungen zu informieren.

Ausnahmen von der HIPAA-Mindestnotwendigkeitsregel

Das HHS nennt sechs Ausnahmen von der Mindestnotwendigkeitsregel: 

  • Anfragen von Gesundheitsdienstleistern nach PHI zur Behandlung eines Patienten
  • Patienten, die Kopien ihrer eigenen medizinischen Unterlagen anfordern
  • Anfragen nach PHI, wenn eine gültige Genehmigung vorliegt
  • Anfragen nach PHI, die zur Einhaltung der HIPAA-Transaktionsregel oder anderer HIPAA-Verwaltungsregeln erforderlich sind
  • Anfragen nach Offenlegung von PHI an das HHS zur Untersuchung von Beschwerden, Compliance-Überprüfung oder Durchsetzung
  • Anfragen nach PHI, die anderweitig gesetzlich vorgeschrieben sind

FAQs

Was ist von HIPAA ausgenommen?

HIPAA umfasst nicht alle Gesundheitsinformationen oder alle Einrichtungen, die mit gesundheitsbezogenen Informationen umgehen. Einige Ausnahmen umfassen:

  • Nicht abgedeckte Einrichtungen: Einrichtungen, die keine Gesundheitsdienstleister, Gesundheitspläne oder Gesundheitsabrechnungsstellen sind und nicht ansonsten die Definition eines Geschäftspartners erfüllen, sind nicht von HIPAA abgedeckt. Dazu gehören Arbeitgeber, Lebensversicherungsgesellschaften (wenn sie nicht als Gesundheitspläne fungieren), Träger der Arbeitsunfallversicherung, viele Schulen und Schulbezirke, viele staatliche Stellen wie Kinderschutzdienste und viele Strafverfolgungsbehörden.
  • De-identifizierte Gesundheitsinformationen: Informationen, bei denen alle persönlich identifizierbaren Informationen entfernt wurden und die den Standards der HIPAA-Datenschutzregel für die De-Identifizierung entsprechen, sind nicht von HIPAA abgedeckt. Es gibt zwei Methoden, um die De-Identifizierung zu erreichen: die Methode der Expertenbestimmung und die Methode des sicheren Hafens.
  • Beschäftigungsunterlagen: Beschäftigungsunterlagen, die von einer abgedeckten Einrichtung in ihrer Rolle als Arbeitgeber geführt werden, sind von HIPAA ausgenommen. Dazu gehören beschäftigungsbezogene Informationen, die die abgedeckte Einrichtung in ihrer Personalabteilung aufbewahrt.
  • Bildungsunterlagen: Unterlagen, die dem Family Educational Rights and Privacy Act (FERPA) unterliegen, sind von HIPAA ausgenommen. Dazu gehören Bildungsunterlagen wie Noten und Zeugnisse, die sich direkt auf einen Schüler beziehen und von einer Bildungseinrichtung oder einer in ihrem Namen handelnden Partei geführt werden.

Was sind die drei Ausnahmen von der Definition eines Verstoßes?

Unter der HIPAA-Verstoßbenachrichtigungsregel gibt es spezifische Situationen, in denen eine unbefugte Verwendung oder Offenlegung geschützter Gesundheitsinformationen (PHI) nicht als Verstoß gilt. Diese Ausnahmen sind:

  • Unabsichtlicher Erwerb, Zugang oder Nutzung durch Mitarbeiter: Wenn ein Mitarbeiter einer abgedeckten Einrichtung oder eines Geschäftspartners PHI in gutem Glauben und im Rahmen seiner Befugnisse unabsichtlich erwirbt, darauf zugreift oder verwendet und die Informationen nicht weiter in einer Weise verwendet oder offenlegt, die durch die Datenschutzregel nicht zulässig ist, wird dies nicht als Verstoß betrachtet.
  • Unbeabsichtigte Offenlegung zwischen berechtigten Personen: Wenn die unbefugte Offenlegung von PHI unbeabsichtigt zwischen zwei Personen erfolgt, die beide berechtigt sind, auf PHI bei derselben abgedeckten Einrichtung oder demselben Geschäftspartner (oder organisiertem Gesundheitsarrangement) zuzugreifen, und die Informationen nicht weiter in einer Weise verwendet oder offengelegt werden, die durch die Datenschutzregel nicht zulässig ist, wird dies nicht als Verstoß betrachtet.
  • Offenlegung an unbefugte Person, bei der PHI nicht weiter offengelegt wird: Wenn eine abgedeckte Einrichtung oder ein Geschäftspartner PHI an eine unbefugte Person offenlegt, die Einrichtung oder der Geschäftspartner jedoch nach Treu und Glauben davon ausgeht, dass die unbefugte Person die offengelegten Informationen nicht vernünftigerweise hätte behalten können, wird dies nicht als Verstoß betrachtet.