Wenn Sie zum ersten Mal HIPAA-konform werden, sind Sie wahrscheinlich auf die Datenschutz-, Sicherheits-, Verstoßbenachrichtigungs-, Durchsetzungs- und Omnibusregeln gestoßen. Diese Regeln legen im Detail fest, wie berechtigte Einrichtungen geschützte Gesundheitsinformationen (PHI) ordnungsgemäß verwenden und offenlegen sollten.
Von diesen werden am häufigsten die Datenschutz- und Sicherheitsregeln diskutiert. Schließlich ist das Hauptziel von HIPAA der Schutz der Privatsphäre und Sicherheit persönlicher Gesundheitsinformationen eines Patienten.
Die Navigation durch diese Regeln kann schwierig sein, insbesondere wenn es darum geht zu verstehen, was sie abdecken und was als Verstoß gilt. In diesem Beitrag wird alles erklärt, was Sie über die HIPAA-Datenschutzregel wissen müssen.
Zunächst hier eine kurze und prägnante Zusammenfassung der HIPAA-Datenschutzregel:
- Definition der HIPAA-Datenschutzregel: Die Datenschutzregel regelt die Verwendung und Offenlegung geschützter Gesundheitsinformationen (PHI).
- Was bewirkt die HIPAA-Datenschutzregel?: Verlangt von berechtigten Einrichtungen, Datenschutzpraktiken zu etablieren, die PHI schützen. Sie gibt den Patienten auch mehr Kontrolle darüber, wer auf ihre Gesundheitsdaten zugreifen und sie teilen kann.
- Wann die HIPAA-Datenschutzregel in Kraft trat: 14. April 2003
- HIPAA-Datenschutzregeln werden durchgesetzt von: U.S. Department of Health and Human Services Office of Civil Rights; staatliche Generalstaatsanwälte, Centers for Medicare and Medicaid Services (CMS)
Was ist die HIPAA-Datenschutzregel?
Die HIPAA-Gesetzgebung wurde 1996 verabschiedet, um wesentliche Probleme im US-amerikanischen Gesundheitssystem zu adressieren. Sie ist auch bekannt als das Health Insurance Portability and Accountability Act von 1996 und wurde entworfen, um das Gesundheitswesen zugänglicher, effizienter und sicherer zu machen.
HIPAA enthält einen Satz nationaler Standards, um Gesundheitsorganisationen und ihre Geschäftspartner bei der Wahrung der Privatsphäre und Sicherheit von Patientendaten zu unterstützen. Eine dieser Regeln ist die Datenschutzregel.
Was ist der Zweck der HIPAA-Datenschutzregel? Den Datenschutz der Patienten zu schützen (Sie haben es erraten).
Die HIPAA-Datenschutzregel ist ein Bundesgesetz, das den Patienten individuelle Rechte über ihre geschützten Gesundheitsinformationen einräumt und einschränkt, wer auf PHI zugreifen und diese offenlegen kann. Es soll sicherstellen, dass Organisationen die richtigen Schritte unternehmen, um Gesundheitsinformationen zu sichern, während diese Informationen in einer Weise geteilt werden können, die eine hochwertige Gesundheitsversorgung fördert.
Wer muss die HIPAA-Datenschutzregel einhalten?
Pop-Quiz! Auf welche der folgenden Parteien findet die HIPAA-Datenschutzregel Anwendung:
- Gesundheitsdienstleister
- Krankenversicherungsgesellschaften und arbeitgeberfinanzierte Gesundheitspläne
- Gesundheitsabrechnungsstellen
- Unabhängige medizinische Dienstleister (Geschäftspartner)
- Alle oben genannten
Wenn Sie ‘Alle oben genannten’ gewählt haben, erhalten Sie ein A+.
Die HIPAA-Datenschutzregel findet auf jede Einrichtung Anwendung, die Zugriff auf Patienteninformationen hat, deren Kompromittierung die Finanzen oder den Ruf eines Patienten schädigen oder Betrug verursachen könnte.
Was sind die Ausnahmen der HIPAA-Datenschutzregelung?
Unter sehr spezifischen Umständen erlaubt die HIPAA-Datenschutzregelung den betroffenen Einrichtungen die Nutzung und/oder Offenlegung von Gesundheitsinformationen ohne die Genehmigung des Patienten. Typischerweise betreffen diese Situationen entweder die Behandlung, Zahlung und Gesundheitsbetriebsführung (TPO) eines Gesundheitsdienstleisters oder das öffentliche Interesse.
Zum Beispiel:
- Gesundheitsvorschriften und -lizenzen
- Öffentliche Gesundheit (z.B. Meldung an eine staatliche Gesundheitsbehörde oder das CDC)
- Medizinische Forschung
- Arbeitsunfallversicherung
- Gerichtsverfahren und Strafverfolgung
- Benachrichtigung der nächsten Angehörigen, Identifizierung einer Leiche oder Feststellung der Todesursache, oder für einen Gerichtsmediziner/Leichenbeschauer
Selbst in diesen Situationen müssen Offenlegungen in einem Offenlegungsprotokoll dokumentiert werden.
Wer setzt die HIPAA-Datenschutzregelung durch?
Das Amt für Bürgerrechte (OCR) des US-amerikanischen Gesundheitsministeriums (HHS) ist der Hauptdurchsetzer der HIPAA-Sicherheits- und Datenschutzregeln. Staatliche Generalstaatsanwälte und die Zentren für Medicare und Medicaid-Dienste (CMS) haben ebenfalls einige Befugnisse zur Durchsetzung der HIPAA-Regeln, obwohl sie dies seltener tun.
Das OCR untersucht Beschwerden, führt Compliance-Prüfungen durch und informiert die betroffenen Einrichtungen über die Compliance-Anforderungen. Es untersucht auch alle Datenverletzungen, die mehr als 500 Personen betreffen, sowie Organisationen, die mehrere kleinere Verstöße hatten.
Wenn Organisationen HIPAA-Verstöße nicht freiwillig beheben, kann das OCR rechtliche Schritte einleiten und/oder eine Geldstrafe verhängen. Verstöße reichen in ihrer Schwere je nach Grad der Nichteinhaltung und des vorsätzlichen Fehlverhaltens der Organisation.
War sich die Organisation des Problems bewusst? Hätten sie es verhindern können? Haben sie Schritte unternommen, um es zu beheben?
Geldstrafen variieren von $100-$50k+ pro Verstoß und erreichen maximal $1,5M pro Verstoß und Jahr.
Empfohlene Lektüre
Wer setzt HIPAA durch + Wie Sie sicherstellen, dass Ihr Unternehmen konform ist
Read MoreDownload: HIPAA-Datenschutzregelung Informationsblatt
Behalten Sie die wesentlichen Details der HIPAA-Datenschutzregelung mit diesem herunterladbaren Informationsblatt im Auge. Es ist eine einfache Möglichkeit, nachzuschlagen, was die Regel umfasst, auf wen sie zutrifft, ihre Ausnahmen und strafrechtlichen Sanktionen für Verstöße.
Holen Sie sich hier Ihre Kopie des HIPAA-Datenschutzregelungs-PDF.
Wie man die HIPAA-Datenschutzregelung einhält
Die Datenschutzregel legt eine Reihe von Anforderungen für HIPAA-abgedeckte Einrichtungen zum Schutz von PHI fest. Der erste Schritt besteht darin, zu definieren, welche Art von Patienteninformationen geschützt werden sollten.
Definition von PHI
PHI geht über individuell identifizierbare Gesundheitsinformationen wie medizinische Diagnosen und Verfahren hinaus und umfasst persönlich identifizierbare Informationen wie Adressen, Sozialversicherungsnummern, Kreditkarteninformationen und sogar elektronische Signaturen. Die Datenschutzregel definiert 18 Kennungen, die geschützte Informationen anzeigen:
- Namen
- Daten, außer Jahr
- Telefonnummern
- Geografische Daten
- Faxnummern
- Sozialversicherungsnummern
- E-Mail-Adressen
- Krankenaktennummern
- Kontonummern
- Nummern der Gesundheitsplanleistungsempfänger
- Zertifikats-/Lizenznummern
- Fahrzeugkennungen, einschließlich Nummernschilder
- Web-URLs
- Gerätekennungen und Seriennummern
- IP-Adressen
- Gesichtsfotos und vergleichbare Bilder
- Biometrische Kennungen (d.h. Netzhautscan, Fingerabdrücke)
- Jede eindeutige Identifikationsnummer oder jeder Code
Videos und Bilder, die PHI enthalten, sind ebenfalls durch die Datenschutzregel geschützt, ebenso wie elektronisch gespeicherte PHI.
Zum Beispiel kann ein Gesundheitsanbieter ein digitales Foto einer Wunde eines Patienten haben, und ihre Identität könnte durch ein Tattoo, das auf dem Foto sichtbar ist, bestimmt werden. Dieses Bild ist durch die Datenschutzregel geschützt.
Die Regel zu minimal notwendigen Daten
Es ist üblich, dass ein Gesundheitsanbieter Zugang zur gesamten Krankengeschichte eines Patienten anfordert, um qualitativ hochwertige Versorgung zu gewährleisten; manchmal werden jedoch nicht routinemäßige Offenlegungsanforderungen eingereicht.
Die Regel zu minimal notwendigen Daten besagt, dass abgedeckte Einrichtungen nur PHI offenlegen sollten, die direkt relevant für die Anfrage ist.
In jedem Fall darf PHI nur mit der Genehmigung des Patienten an Dritte weitergegeben werden, es sei denn, es ist direkt mit der Gesundheitsbehandlung, Zahlung oder Verwaltung verbunden.
Überprüfen und halten Sie die HIPAA-Compliance mit Secureframe ein
Um die HIPAA-Compliance Ihrer Organisation sicherzustellen, sollten Sie Sicherheits- und Compliance-Software in Betracht ziehen. Die Plattform und das Team von HIPAA-Compliance-Experten von Secureframe können Ihnen helfen, Ihre jährlichen HIPAA-Audits zu optimieren, Sie konform zu halten und Sie vor potenziellen HIPAA-Verstoßstrafen zu schützen.
Erfahren Sie mehr durch die Vereinbarung eines Demos mit einem unserer Produktexperten.
FAQs
Was ist die HIPAA-Datenschutzregel?
Die Standards für den Datenschutz von individuell identifizierbaren Gesundheitsinformationen, auch bekannt als HIPAA-Datenschutzregel oder Datenschutzregel, behandeln die Verwendung und Offenlegung von Gesundheitsinformationen von Einzelpersonen durch abgedeckte Einrichtungen sowie Standards für die Datenschutzrechte von Einzelpersonen, um zu verstehen und zu kontrollieren, wie ihre Gesundheitsinformationen verwendet werden.
Warum gibt es die HIPAA-Datenschutzregel?
Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) enthielt keine detaillierten Datenschutzanforderungen. Stattdessen verpflichtete er den Sekretär des US-Gesundheitsministeriums (HHS), Datenschutzvorschriften zu erlassen, die sich auf personenbezogene Gesundheitsinformationen beziehen, falls der Kongress innerhalb von drei Jahren nach Verabschiedung des HIPAA keine Datenschutzgesetze erlässt. Da der Kongress keine Datenschutzgesetze verabschiedete, entwickelte das HHS eine vorgeschlagene Regelung, veröffentlichte sie zur öffentlichen Kommentierung und veröffentlichte die endgültige Regelung im Jahr 2000. Eine vorgeschlagene Änderung öffnete den Regelsetzungsprozess erneut und die endgültige Version der Datenschutzregel, die heute aktuell ist, wurde 2002 herausgegeben. Diese Regelung etablierte zum ersten Mal eine Reihe nationaler Standards zum Schutz bestimmter Gesundheitsinformationen, die als geschützte Gesundheitsinformationen (PHI) bekannt sind.
Was ist der Zweck der HIPAA-Datenschutzregel?
Ein Hauptzweck der Datenschutzregel besteht darin, sicherzustellen, dass die betroffenen Unternehmen die erforderlichen Schritte zum Schutz der Gesundheitsinformationen der Einzelpersonen unternehmen und gleichzeitig die Weitergabe dieser Informationen ermöglichen, wenn dies erforderlich ist, um qualitativ hochwertige Gesundheitsversorgung zu bieten und die Gesundheit und das Wohlbefinden der Öffentlichkeit zu schützen.
Wer setzt die Datenschutzregel durch?
Innerhalb des HHS ist das Amt für Bürgerrechte (OCR) verantwortlich für die Umsetzung und Durchsetzung der Datenschutzregel in Bezug auf freiwillige Compliance-Aktivitäten und zivile Geldstrafen.
Was wird als Datenschutzverletzung unter HIPAA betrachtet?
Ein betroffenes Unternehmen muss die schriftliche Genehmigung der Person für jede Verwendung oder Offenlegung ihrer geschützten Gesundheitsinformationen einholen, die nicht für Behandlung, Zahlung oder Gesundheitsoperationen oder anderweitig durch die Datenschutzregelung erlaubt oder erforderlich ist. Daher würden Offenlegungen an einen Lebensversicherer zu Deckungszwecken, Offenlegungen an einen Arbeitgeber über die Ergebnisse einer Einstellungsuntersuchung oder eines Labortests oder Offenlegungen an ein Pharmaunternehmen zu deren eigenen Marketingzwecken ohne die schriftliche Genehmigung der Person alle als Verletzungen der Privatsphäre dieser Person unter HIPAA betrachtet werden.
Was tun, wenn ein mutmaßlicher Verstoß gegen die HIPAA-Datenschutzregel vorliegt?
Wenn Sie glauben, dass ein HIPAA-betroffenes Unternehmen oder sein Geschäftspartner gegen die Datenschutzregel verstoßen hat, können Sie eine Beschwerde beim Amt für Bürgerrechte (OCR) einreichen. Das OCR kann Beschwerden gegen betroffene Unternehmen und deren Geschäftspartner untersuchen. Am Ende der Untersuchung gibt das OCR einen Brief heraus, der die Lösung der Untersuchung beschreibt. Wenn das OCR feststellt, dass ein betroffenes Unternehmen oder Geschäftspartner möglicherweise nicht mit der HIPAA-Datenschutzregel übereinstimmt, muss dieses Unternehmen oder Geschäftspartner freiwillig mit der HIPAA-Datenschutzregel übereinstimmen, Korrekturmaßnahmen ergreifen und einer Einigung zustimmen.