Die HIPAA-Omnibus-Regelung, die 2013 in Kraft trat, ist die endgültige Regelung in der Reihe der Anforderungen, die in der HIPAA-Gesetzgebung festgelegt sind. Sie wurde vom Office for Civil Rights (OCR) als Reaktion auf das Health Information Technology for Economic and Clinical Health (HITECH) Act und das Genetic Information Nondiscrimination Act (GINA) erlassen und enthält Änderungen der vorherigen HIPAA-Regelungen, um die Vertraulichkeit und Sicherheit bei der Datenweitergabe zwischen Gesundheitsdienstleistern zu verbessern. Die Omnibus-Regelung liefert ein Dokument, das alle Anforderungen für die Compliance mit sowohl HIPAA als auch HITECH enthält.
Einer der wichtigsten Punkte der HIPAA-Gesetzgebung ist es, den Patienten eine größere Kontrolle darüber zu geben, wer auf ihre medizinischen Unterlagen zugreifen kann und wann. Unter der Omnibus-Regelung müssen betroffene Einrichtungen dem Wunsch eines Patienten nach Zugang zu oder Weitergabe seiner medizinischen Unterlagen nachkommen.
Darüber hinaus verlangt die Omnibus-Regelung, dass Gesundheitsdienstleister aktualisierte Business Associate Agreements (BAAs) pflegen, um sicherzustellen, dass Geschäftspartner die HIPAA-Sicherheitsregel und die Datenschutzregel einhalten.
Wie die Omnibus-Regelung Geschäftspartner betrifft
Das HITECH-Gesetz macht Geschäftspartner und Unterauftragnehmer direkt haftbar für ihre eigene HIPAA-Compliance. Zuvor unterzeichneten Geschäftspartner eine Business Associate Agreement (BAA), um klar zu definieren, was sie mit PHI tun dürfen und was nicht, und betroffene Einrichtungen wurden für jede Nichteinhaltung seitens ihrer Geschäftspartner verantwortlich gemacht.
Die Omnibus-Regelung macht diese Compliance-Anforderungen für Geschäftspartner durchsetzbar – Geschäftspartner unterliegen nun eigenen Audits und Geldstrafen bei Nichteinhaltung durch das U.S. Department of Health and Human Services (HHS). Betroffene Einrichtungen sind weiterhin dafür verantwortlich, von ihren Geschäftspartnern geeignete Zusicherungen zu erhalten, dass sie die HIPAA einhalten.
Schließlich verlangt die Omnibus-Regelung, dass betroffene Einrichtungen und Geschäftspartner aktualisierte Datenschutzbestimmungen pflegen und verteilen.
Wie die Omnibus-Regelung die anderen HIPAA-Regeln betrifft
Die Omnibus-Regelung ändert die anderen HIPAA-Regeln auf verschiedene Weise:
Die HIPAA-Datenschutzregel
Die Omnibus-Regelung erweitert den Schutz auf geschützte Gesundheitsinformationen (PHI), die:
- Für Marketing- oder Fundraising-Zwecke verwendet werden
- Ohne ausdrückliche Zustimmung des Patienten verkauft werden. PHI darf nicht mehr ohne direkte Zustimmung des Patienten verkauft werden.
- Während der Behandlung oder der Bezahlung der Versorgung weitergegeben werden
- Teil eines Schüler-Immunisierungsdatensatzes sind
- Als genetische Informationen klassifiziert sind
Die Omnibus-Regelung sichert auch das Recht eines Patienten, die Offenlegung der PHI an Krankenkassen einzuschränken und auf ihre eigenen elektronischen PHI (ePHI) zuzugreifen.
Die HIPAA-Verletzungsbenachrichtigungsregel
Unter den ursprünglichen HIPAA-Regeln waren Organisationen verpflichtet, Verstöße zu melden, die mehr als 500 Datensätze betrafen. Die Omnibus-Regelung ändert dies zu jedem unbefugten Zugriff auf PHI unter der Datenschutzregel, unabhängig von der Anzahl der betroffenen Datensätze.
Eine einfache Möglichkeit, HIPAA-Regeln einzuhalten
Die All-in-One-Plattform für Sicherheits- und Datenschutzautomatisierung von Secureframe macht es einfach, die Einhaltung der HIPAA-Regeln sicherzustellen. Schulen Sie Ihre Mitarbeiter in den besten HIPAA-Praktiken, verfolgen Sie Anbieter mit Zugriff auf PHI und überwachen Sie Ihre HIPAA-Schutzmaßnahmen automatisch. Erfahren Sie mehr darüber, wie Sie die HIPAA-Compliance mit Secureframe vereinfachen können.
FAQs
Was umfasst die Omnibus-Regel?
Die Omnibus-Regel enthält eine Reihe von Bestimmungen des Health Information Technology for Economic and Clinical Health (HITECH) Act, der als Teil des American Recovery and Reinvestment Act von 2009 erlassen wurde, um den unter HIPAA etablierten Datenschutz- und Sicherheitsvorkehrungen für Gesundheitsinformationen zu stärken.
Was ist der Zweck der Omnibus-Regel?
Der Zweck der Omnibus-Regel besteht darin, die HIPAA-Datenschutz-, Sicherheits- und Durchsetzungsregeln zu ändern, um ihre Anwendbarkeit und Wirksamkeit zu verbessern und die Flexibilität für die regulierten Einrichtungen zu erhöhen und die Belastung für diese zu verringern, so das U.S. Department of Health and Human Services (“HHS”) Office of Civil Rights (“OCR”).
Was ist eine der wichtigsten Änderungen in der endgültigen Omnibus-Regel?
Eine der wichtigsten Änderungen in der endgültigen Omnibus-Regel ist, dass der Anwendungsbereich von HIPAA klargestellt wurde. Beispielsweise wurde klargestellt, dass Geschäftspartner und deren Unterauftragnehmer den Anforderungen von HIPAA nachkommen müssen – andernfalls werden sie direkt zur Rechenschaft gezogen. Es wurden auch mehr Einrichtungen einbezogen, die das Gesetz befolgen müssen, einschließlich Gesundheitsinformationsaustauschnetze und persönliche Gesundheitsakten (PHRs), die über das elektronische Gesundheitsaktensystem einer zugelassenen Einrichtung angeboten werden.
Wann wurde die Omnibus-Regel verabschiedet?
Die Omnibus-Regel wurde am 17. Januar 2013 vom HHS herausgegeben und trat am 26. März 2013 in Kraft. Sie kombiniert und ersetzt vier zuvor veröffentlichte Vorschlags- und Interimsendregeln.