Patientenakten enthalten viele sensible Daten — und nicht alle diese Informationen müssen mit Gesundheitsdienstleistern geteilt werden, damit sie ihre Arbeit erledigen können.

Um zu bestimmen, welche Informationen notwendig sind (und welche nicht), kommt die HIPAA-Minimalanforderung ins Spiel.

Diese Regelung schreibt vor, dass eine gedeckte Einrichtung (wie ein Arzt oder eine Klinik) nur die „minimal notwendigen“ Gesundheitsinformationen mit einer anderen gedeckten Einrichtung teilt. Diese Regel gilt auch für Dritte oder Geschäftspartner, mit denen eine gedeckte Einrichtung PHI teilt.

Mit anderen Worten, diese Regel verlangt, dass nur die geschützten Gesundheitsinformationen (PHI) geteilt werden, die zur Erledigung einer Aufgabe unerlässlich sind. Anstatt die gesamten Patientenunterlagen zu senden, sollte eine Klinik nur die notwendigen Informationen und sonst nichts weiter teilen.

Nachfolgend erklären wir, wie die Minimalanforderung funktioniert, Ausnahmen von der Regel und wie man sie einhält.

Wie funktioniert die HIPAA-Minimalanforderung?

Die HIPAA-Minimalanforderung funktioniert, indem von gedeckten Einrichtungen ein angemessener Aufwand verlangt wird, um Anfragen zur Nutzung oder Offenlegung von PHI auf das Notwendige zu beschränken. Die Regelung verlangt auch von Organisationen, die Nutzung und Offenlegung von PHI nur auf diejenigen zu beschränken, die die Informationen für ihre Arbeit benötigen.

Der Standard gilt immer, wenn PHI involviert ist. PHI umfasst alles von Namen und Geburtsdaten bis hin zu Diagnose- und Behandlungsnotizen.

Die Regelung gilt auch für elektronische geschützte Gesundheitsinformationen (ePHI), wie z. B. eine digitale Kopie einer Patientenakte. Sie gilt auch für Anfragen nach PHI von anderen gedeckten Einrichtungen und Geschäftspartnern.

Beispielsweise hat eine Klinik fünf medizinische Anbieter. Nur einer der Anbieter behandelt Sie (den Patienten). Gemäß der HIPAA-Minimalanforderung sollte nur der medizinische Anbieter, der Ihre Behandlung durchführt, Zugang zu Ihren Patientenunterlagen haben.

Wann ist es notwendig, PHI zu teilen?

Die Begriffe „angemessener Aufwand“ und „minimal notwendige“ lassen Raum für Interpretationen. Das US-Gesundheitsministerium (HHS), das HIPAA regelt, definiert keinen der beiden Begriffe. Aber es bietet Leitlinien, wie man die Anforderungen einhalten kann.

Das HHS sagt, dass die Minimalanforderung auf dem Professionalismus medizinischer Praxen, Praktiker und Mitarbeiter beruht, um zu entscheiden, welche Informationen angemessen zu teilen sind.

Das HHS führt weiter aus, dass es drei Aspekte gibt, die PHI notwendig machen:

  • Behandlung: Ein medizinischer Anbieter muss bestimmte Informationen aus der Akte eines Patienten mit einer Krankenschwester teilen, damit diese eine angemessene Versorgung gewährleisten kann.
  • Zahlung: Medizinische Einrichtungen sind verpflichtet, PHI mit Versicherungsgesellschaften zu teilen, um Zahlungen zu erhalten.
  • Gesundheitsfürsorgebetrieb: Es ist auch in bestimmten administrativen, finanziellen, rechtlichen und Qualitätsverbesserungssituationen akzeptabel, Informationen zu teilen, um ein Unternehmen zu betreiben. Zum Beispiel könnte ein medizinischer Anbieter PHI mit einem Transkriptionisten teilen, der ein Geschäftspartner der Praxis ist.

Die Regel der notwendigen Mindestangaben in Aktion

Um zu verstehen, wie die Regel funktioniert, betrachten wir ein Beispiel aus der Praxis:

Angenommen, der Hausarzt eines Patienten schickt ihn für routinemäßige Blutuntersuchungen in ein klinisches Labor. Der Patient stellt eine Anforderung (oder ärztliche Anordnung) bereit, die den Test autorisiert.

Diese Anforderung enthält PHI, das den Namen, die Adresse, das Geburtsdatum, die Sozialversicherungsnummer, die Versicherungs-ID-Nummer, den Namen des Ehepartners (wenn unter deren Versicherung gedeckt), den zu bestellenden Test und den Diagnosecode, der den Grund für den Test angibt, beinhaltet.

All diese Informationen sind notwendig, um die Blutuntersuchungen des Patienten zu verarbeiten und die Versicherung des Patienten zu berechnen, was bedeutet, dass es sich um notwendige Informationen handelt.

Jedoch benötigt nicht jeder im Labor Zugang zu allen Informationen. So könnte die Aufteilung aussehen:

  • Front Desk/Aufnahmepersonal: Da sie dafür verantwortlich sind, sicherzustellen, dass die Unterlagen und Informationen zur Identifikation und Abrechnung korrekt sind, hätten sie Zugang zu all den oben genannten Informationen, ausgenommen die tatsächlichen Blutergebnisse des Patienten.
  • Phlebotomist: Die Person, die dem Patienten Blut entnimmt, benötigt ebenfalls die in der Anforderung enthaltenen Informationen, um bestimmte Patientendaten zu überprüfen und Identifikationsetiketten für das entnommene Blut zu erstellen. Sie sollten keinen Zugang zu den tatsächlichen Blutergebnissen des Patienten haben.

In diesem Beispiel haben die Laborangestellten nur Zugang zu den notwendigen Mindestinformationen, um ihre Arbeit sicher und effektiv auszuführen. Die einzigen zwei Personen, die Zugang zu den tatsächlichen Testergebnissen erhalten sollten, sind der Hausarzt, der die Blutuntersuchung angeordnet hat, und der Patient selbst.

Ausnahmen von der Regel der notwendigen Mindestangaben

Wann gilt die Regel der notwendigen Mindestangaben nicht? Das HHS beschreibt sechs Ausnahmen von der Regel der notwendigen Mindestangaben:

  • Gesundheitsdienstleister, die PHI anfordern, um einen Patienten zu behandeln
  • Patienten, die Kopien ihrer eigenen medizinischen Unterlagen anfordern
  • Anfragen nach PHI, wenn eine gültige Autorisierung vorliegt
  • Anfragen nach PHI, die für die Einhaltung der HIPAA-Transaktionsregel oder anderer HIPAA-Vereinfachungsregeln für die Verwaltung erforderlich sind
  • Anfragen zur Offenlegung von PHI an HHS zur Beschwerdeuntersuchung, Überprüfung der Einhaltung oder Durchsetzung
  • Anfragen nach PHI, die sonst gesetzlich vorgeschrieben sind

Was passiert, wenn mehr als das notwendige Minimum weitergegeben wird?

Das Ziel der HIPAA-Minimum-Necessary-Regel ist es, PHI vor unnötiger Weitergabe zu schützen.

Wenn ein gedecktes Unternehmen mehr als das notwendige Minimum offenlegt, gilt dies als Verstoß gegen die HIPAA-Datenschutzregel.

Wenn ein HIPAA-Verstoß auftritt, wird das HHS feststellen, ob das gedeckte Unternehmen die Informationen vorsätzlich offengelegt hat und ob es bereits zuvor einen Verstoß gab. Je nach Situation können Sanktionen, Geldstrafen und möglicherweise Gefängnisstrafen die Folge sein.

Wie man die Minimum Necessary Rule einhält

Das HHS gibt nicht genau vor, wie Sie die Minimum-Necessary-Regel in Ihrer Praxis einhalten können. Stattdessen werden Organisationen vom HHS angewiesen, „Richtlinien und Verfahren zu entwickeln und umzusetzen, um die Nutzung und Offenlegung auf das notwendige Minimum zu beschränken.“

Ihre Richtlinie sollte sich auf zwei Hauptthemen konzentrieren: wie Sie den Zugriff und die Nutzung von PHI einschränken wollen und Ihren Prozess für die Offenlegung und Beantwortung von Anfragen für PHI.

Hier sind Abschnitte, die in Ihren Richtlinien zur Minimum-Necessary-Regel enthalten sein sollten.

Zugriff und Nutzung

  • Identifizieren Sie die Rollen und spezifischen Mitarbeiter, die Zugriff auf PHI benötigen, um ihre Arbeit zu erledigen.
  • Identifizieren Sie die Kategorien von PHI, auf die sie zugreifen müssen.
  • Geben Sie die Bedingungen an, unter denen sie Zugriff auf PHI benötigen könnten.

Offenlegungen und Anfragen nach Offenlegungen

  • Dokumentieren Sie Ihren Prozess zur Beantwortung von PHI-Offenlegungen und Anfragen, die die weitergegebenen PHI auf das notwendige Minimum beschränken.
  • Entwickeln Sie Kriterien, um Offenlegungen auf die Informationen zu beschränken, die für nicht routinemäßige Offenlegungen vernünftigerweise erforderlich sind.
  • Überprüfen Sie jede nicht routinemäßige Offenlegungsanfrage anhand der festgelegten Kriterien.

5 Tipps für die Umsetzung

Im Folgenden finden Sie einige Tipps, die Ihnen helfen, Ihre Richtlinien und Verfahren zur Minimum-Necessary-Regel umzusetzen:

1. Entdecken und klassifizieren Sie PHI

Um PHI angemessen zu schützen, müssen Sie feststellen, welche Art von PHI Sie speichern und wo sich diese PHI befindet. Sobald Sie wissen, wo und was gespeichert wird, können Sie eine Datenklassifizierungsmethode verwenden, die für Ihre Organisation geeignet ist.

Sie können dies manuell für die physischen Kopien von PHI innerhalb Ihrer Organisation tun. Für ePHI gibt es Datenklassifizierungswerkzeuge, die Ihre Dateien scannen und den Prozess ein wenig erleichtern.

2. Fügen Sie einen Sanktionsabschnitt in Ihre Richtlinie ein.

Beschreiben Sie in Ihrer Richtlinie die Folgen eines Verstoßes gegen die HIPAA-Minimum-Necessary-Regel.

3. Schulen Sie die Mitarbeiter über die Richtlinie und ihre Bedeutung.

Es ist wichtig, dass alle Mitarbeiter Ihre Richtlinien im Zusammenhang mit der Mindestnotwendigkeitsregel lesen und verstehen.

Führen Sie anfängliche und fortlaufende Schulungen zu der Richtlinie und ihrer Bedeutung sowie zum ordnungsgemäßen Umgang mit PHI basierend auf spezifischen Rollen und Verantwortlichkeiten durch.

4. Entwickeln Sie rollenbasierte Berechtigungen.

Nicht jede Rolle wird Zugriff auf PHI benötigen. Für diejenigen, die dies tun, ist es wichtig, die Kategorien von PHI und die Situationen, in denen sie gemäß der Mindestnotwendigkeitsregel Zugriff auf PHI haben, klar darzulegen.

Sie können dies tun, indem Sie rollenbasierte Berechtigungen entwickeln, die den Zugriff auf bestimmte PHI-Kategorien einschränken. Dies wird dazu beitragen, sicherzustellen, dass nur notwendige Personen Zugriff auf PHI haben.

5. Überwachen Sie den Zugriff auf PHI.

Führen Sie Protokolle, die den Zugriff und die Zugriffsversuche auf PHI verfolgen. Sie können eine Sicherheitssoftware implementieren, die verdächtige Aktivitäten im Zusammenhang mit dem Zugriff auf PHI kennzeichnet, um eine Situation zu beheben, bevor sie zu einem Verstoß eskaliert.

Wie Secureframe die HIPAA-Compliance vereinfachen kann.

Das HIPAA-Gesetz kann verwirrend und schwer einzuhalten sein.

Unser Team von HIPAA-Experten kann Ihnen helfen, die Erstellung von Richtlinien zu navigieren und Ihr Team in HIPAA-Compliance-Best Practices zu schulen.

Fordern Sie noch heute eine Demo bei unserem Team an, um mehr zu erfahren.