Wenn Sie eine HIPAA-Compliance anstreben oder in Erwägung ziehen, mit Gesundheitsorganisationen zusammenzuarbeiten, sind Ihnen diese drei Buchstaben begegnet: PHI. Geschützte Gesundheitsinformationen stehen im Mittelpunkt der HIPAA-Gesetzgebung, die darauf abzielt, die privaten Daten der Patienten besser zu sichern.

Zu verstehen, was PHI ist und wie es geschützt werden muss, ist entscheidend, um die HIPAA-Compliance zu erreichen und Verstöße zu vermeiden.

Lesen Sie weiter, um zu erfahren, was unter HIPAA als PHI gilt, erhalten Sie echte Beispiele für PHI und erfahren Sie, was abgedeckte Einrichtungen tun müssen, um diese Art von Daten zu schützen.

HIPAA PHI Definition: Was sind geschützte Gesundheitsinformationen?

PHI steht für Protected Health Information (Geschützte Gesundheitsinformationen).

PHI unter HIPAA umfasst alle Gesundheitsdaten, die von einer unter HIPAA abgedeckten Einrichtung und deren Geschäftspartnern erstellt, übertragen oder gespeichert werden. Dazu gehören elektronische Aufzeichnungen (ePHI), schriftliche Aufzeichnungen, Labortergebnisse, Röntgenaufnahmen, Rechnungen – sogar mündliche Gespräche, die persönlich identifizierbare Informationen enthalten.

PHI wird durch die HIPAA-Datenschutzregel geschützt, die von abgedeckten Einrichtungen und deren Geschäftspartnern verlangt, geschützte Gesundheitsinformationen zu sichern. Die Datenschutzregel gibt den Patienten auch größere Kontrolle darüber, wer auf ihre persönlichen Gesundheitsakten zugreifen und diese teilen kann.

Was ist eine abgedeckte Einrichtung?

Unter HIPAA ist eine abgedeckte Einrichtung eine Organisation, die medizinische Behandlungen, Zahlungen oder Operationen anbietet. Dazu gehören:

  • Krankenhäuser
  • Kliniken
  • Apotheken
  • Ärzte
  • Zahnärzte
  • Psychologen
  • Psychiater
  • Chiropraktiker
  • Gesundheitsdienstleister
  • Krankenversicherungsgesellschaften
  • Krankenkassen
  • HMOs (Health Maintenance Organizations)
  • Pflegeheime

Abgedeckte Einrichtungen sind rechtlich verpflichtet, die HIPAA-Vorschriften zum Schutz der Privatsphäre und Sicherheit von PHI einzuhalten.

Was ist ein Geschäftspartner?

Geschäftspartner sind Organisationen, die Dienstleistungen für eine abgedeckte Einrichtung erbringen und Zugriff auf PHI haben, wie z. B.:

  • Abrechnungsunternehmen
  • Cloud-Dienstleister
  • Datenlagerungsunternehmen
  • Anbieter von elektronischen Gesundheitsakten (EHR)
  • Anwälte
  • Wirtschaftsprüfungsgesellschaften (CPA)
  • Antragsbearbeiter
  • Inkassobüros
  • Hersteller von medizinischen Geräten

Abgedeckte Einrichtungen und Geschäftspartner müssen eine Geschäftsvereinbarung (BAA) abschließen, um die Verantwortlichkeiten beim Schutz von PHI zu definieren. Die BAA legt fest, welche Rolle der Geschäftspartner spielt und verlangt, dass er die HIPAA-Vorschriften einhält.

PHI-Identifikatoren: Was umfasst PHI?

Das Department of Health and Human Services hat 18 Hauptidentifikatoren für PHI definiert. Zu den unter HIPAA abgedeckten PHI gehören:

Rezepte, Testergebnisse, Diagnosen, Behandlungspläne, Abrechnungs- und Zahlungsinformationen – all dies sind Beispiele für HIPAA-PHI.

Um festzustellen, ob etwas als PHI betrachtet wird, stellen Sie drei Fragen:

  • Ist Ihre Organisation eine gedeckte Einheit oder ein Geschäftspartner einer gedeckten Einheit?
  • Beziehen sich die Informationen auf die Gesundheit einer Person?
  • Können diese Gesundheitsinformationen mit einer bestimmten Person verknüpft werden?

Wenn die Antwort auf alle drei Fragen Ja lautet, gilt es als PHI und wird durch die HIPAA-Gesetzgebung geschützt.

Ausnahmen: Was wird gemäß HIPAA nicht als PHI betrachtet?

HIPAA gilt speziell für gedeckte Einheiten und deren Geschäftspartner. PHI, das von diesen Organisationen erstellt, gespeichert, abgerufen oder übermittelt wird, ist gemäß den HIPAA-Vorschriften geschützt. Aber in den Händen eines anderen Unternehmens werden diese Informationen nicht als PHI betrachtet und fallen nicht unter HIPAA.

Ein Beispiel: Eine Gesundheits-App, die Herzfrequenz, Blutdruck oder Zucker, Aktivitätsniveau oder Kalorienverbrauch aufzeichnet, stellt kein PHI dar.

Hier sind einige weitere Beispiele, bei denen Gesundheitsdaten nicht als PHI betrachtet werden:

  • Termin-Anfragen: Namen und Telefonnummern potenzieller Patienten, die anrufen, um einen Termin zu vereinbaren. Da mit diesen Daten keine Gesundheitsinformationen verbunden sind, werden sie nicht als PHI betrachtet. Sobald diese Person formell Patient wird, werden diese Informationen zu PHI.
  • Mitarbeiter- und Bildungsdokumente: Alle Aufzeichnungen über die Gesundheit von Mitarbeitern oder Schülern, wie bekannte Allergien, Blutgruppe oder Behinderungen, werden nicht als PHI betrachtet.
  • Tragbare Geräte: Von tragbaren Geräten wie Herzfrequenzmonitoren oder Smartwatches gesammelte Daten sind kein PHI.
  • Gesundheits- und Fitness-Apps: Von einer mobilen Fitness- oder Gesundheits-App gesammelte oder eingegebene Daten sind nicht PHI.
  • De-identifiziertes PHI: Gesundheitsdaten, bei denen alle Identifikatoren entfernt wurden und die nicht mehr mit einer bestimmten Person verknüpft werden können, gelten nicht mehr als PHI. Organisationen verwenden manchmal de-identifizierte PHI für statistische oder Forschungszwecke.

Anforderungen: Was Organisationen tun müssen, um PHI zu sichern

Während die HIPAA-Konformität erfordert, dass Organisationen Maßnahmen ergreifen, um PHI vor unbefugtem Zugriff zu schützen, listen die HIPAA-Regeln keine spezifischen Maßnahmen auf, die gedeckte Einheiten ergreifen müssen. Diese Flexibilität ermöglicht es Organisationen, die am besten geeigneten Maßnahmen basierend auf ihrer Größe und Funktion zu entscheiden. Ein regionales Krankenhaussystem kann beispielsweise andere Anforderungen und Kontrollen haben als eine kleine Familienklinik.

Gedeckte Einheiten müssen jedoch Schutzmaßnahmen ergreifen, um PHI vor Verstößen zu schützen. Die HIPAA-Sicherheitsregel umreißt verschiedene administrative, physische und technische Schutzmaßnahmen wie Zugriffsverwaltungsrichtlinien, Mitarbeiterschulungen, Vorfallsreaktionspläne, Dokumentenvernichtung und Datenverschlüsselung.

HIPAA-Verstöße: Strafen für unbefugte Offenlegung von PHI

Wenn Sie es versäumen, PHI gemäß den HIPAA-Regeln zu schützen, könnten Sie von der Abteilung für Gesundheit und menschliche Dienste des Amtes für Bürgerrechte mit einer Geldstrafe belegt werden. Verstöße können kostspielig sein – und das nicht nur in finanzieller Hinsicht. Ein Verstoß oder eine Verletzung kann den Ruf Ihrer Organisation dauerhaft schädigen und das Vertrauen der Patienten untergraben.

Hier sind einige häufige PHI-Verstöße, die vermieden werden sollten.

Falsche Verwaltung des Zugriffs auf PHI

PHI sollte nur für Behandlung, Zahlung oder Gesundheitsoperationen eingesehen werden. Jeder geteilte Zugriff auf PHI muss vom Patienten autorisiert werden. Sie müssen auch sicherstellen, dass PHI sicher und dauerhaft zerstört wird, wenn es nicht mehr benötigt wird.

Ein Teil der Verwaltung des PHI-Zugriffs besteht auch darin, schnell auf die Anfragen eines Patienten nach seinen medizinischen Unterlagen zu reagieren.

Verkauf von PHI unter HIPAA

Bedeckte Einheiten und Geschäftspartner dürfen PHI ohne Zustimmung des Patienten nicht verkaufen.

Organisationen, die PHI wissentlich ohne die ordnungsgemäße Autorisierung weitergeben oder verkaufen, müssen mit einer HIPAA-Verletzungsstrafe von bis zu 50.000 US-Dollar und einem Jahr Gefängnis rechnen.

Mindestnotwendigkeitsregel

Während es üblich ist, dass Gesundheitsdienstleister Zugang zur gesamten Krankengeschichte eines Patienten anfordern, können sie auch Zugang zu spezifischen PHI anfordern. Die Mindestnotwendigkeitsregel besagt, dass bedeckte Einheiten nur PHI offenlegen sollten, die direkt für die Anfrage relevant sind.

In jedem Fall darf PHI nur mit Genehmigung des Patienten an Dritte weitergegeben werden, es sei denn, es handelt sich direkt um die Behandlung, Zahlung oder den Betrieb im Gesundheitswesen.

Mitteilungspflicht bei Verstößen

Im Falle einer Verletzung ungesicherter PHI muss eine bedeckte Einheit alle betroffenen Personen innerhalb von 60 Tagen benachrichtigen. Andernfalls liegt ein Verstoß gegen die HIPAA-Verstoss-Benachrichtigungsregel vor. Geschäftspartner, die eine Verletzung entdecken, müssen die bedeckte Einheit ebenfalls innerhalb von 60 Tagen benachrichtigen.

Schützen Sie PHI und erreichen Sie HIPAA-Konformität mit Secureframe

HIPAA-Konformität stellt sicher, dass bedeckte Einheiten und Geschäftspartner konkrete Schritte zum Schutz sensibler Patientendaten unternehmen. Und es motiviert Organisationen, diese Sicherheitsmaßnahmen aufrechtzuerhalten und zu verbessern – oder mit kostspieligen Verstößen konfrontiert zu werden.

Secureframe hilft Organisationen jeder Größe, PHI zu schützen, indem der HIPAA-Konformitätsprozess in einige wichtige Schritte vereinfacht wird:

  • Erstellen Sie HIPAA-Datenschutz- und Sicherheitsrichtlinien
  • Schulen Sie Mitarbeiter in bewährten Methoden zum Schutz von PHI
  • Verwalten Sie Anbieter und Geschäftspartner mit Zugriff auf PHI
  • Überwachen Sie Ihre PHI-Schutzmaßnahmen und lassen Sie sich über etwaige Abweichungen informieren

Erfahren Sie noch heute mehr darüber, wie Sie Ihre HIPAA-Konformität automatisieren können.

FAQs

Was gilt unter HIPAA als PHI?

Unter HIPAA gilt jede Gesundheitsdaten, die von einer HIPAA-bedeckten Einheit, deren Geschäftspartnern und Unterauftragnehmern erstellt, übertragen oder gespeichert werden, als PHI.

Was sind die 18 Identifikatoren von PHI?

Die 18 Identifikatoren von PHI sind:

  • Namen
  • Daten im Zusammenhang mit einer Person, außer Jahr (einschließlich Geburtsdatum, Aufnahmedatum, Entlassungsdatum, Sterbedatum und genauem Alter, wenn über 89)
  • Telefonnummern
  • Geografische Daten (alle geografischen Unterteilungen kleiner als Staat, einschließlich Straße, Stadt, Bezirk und Postleitzahl)
  • Faxnummern
  • Sozialversicherungsnummern
  • E-Mail-Adressen
  • Krankenaktennummern
  • Kontonummern
  • Krankenversicherungsnummern
  • Zertifikats-/Lizenznummern
  • Fahrzeugidentifikationsnummern, einschließlich Kennzeichen
  • Web-URLs
  • Geräteidentifikatoren und Seriennummern
  • IP-Adressen
  • Vollständige Gesichtsfotos und vergleichbare Bilder
  • Biometrische Identifikatoren (z.B. Retina-Scan, Fingerabdrücke)
  • Jede eindeutige Identifikationsnummer oder -code

Was ist ein Beispiel für PHI im Gesundheitswesen?

Ein Beispiel für PHI im Gesundheitswesen ist eine Krankenhausrechnung, da sie den Namen des Patienten und/oder andere identifizierende Informationen im Zusammenhang mit den Gesundheitsdaten enthält.

Was wird nicht als PHI betrachtet?

Identifizierende Informationen, wie persönliche Namen, Wohnadressen oder Telefonnummern, werden nicht als PHI betrachtet, es sei denn, sie stehen im Zusammenhang mit Gesundheitsdaten. Beispielsweise werden Namen, Adressen und Telefonnummern, die in einem Telefonbuch aufgeführt sind, nicht als PHI betrachtet, da sie nicht mit Gesundheitsdaten in Verbindung stehen. Wenn diese Informationen jedoch zusammen mit Gesundheitsdaten aufgeführt würden, wie z.B. dem Hinweis, dass die Person in einer bestimmten Klinik behandelt wurde, dann würden diese Informationen als PHI gelten.