Unser Artikel HIPAA erklärt informiert über den Healthcare Insurance Portability and Accountability Act (HIPAA), die jüngsten Änderungen des Gesetzes im Jahr 2013 und darüber, wie sich die Bestimmungen des Gesetzes derzeit auf Patienten, die Gesundheitsbranche insgesamt und die in ihr tätigen Personen auswirken.
- HIPAA Vereinfachte Geschichte
- HIPAA in einfachen Worten erklärt
- HIPAA für Dummies
- Wer fällt unter den HIPAA?
- HIPAA erklärt nach 2013
- Erforderliche und adressierbare Schutzmaßnahmen des HIPAA erklärt
- Die Auswirkungen des HIPAA auf die Patienten
- Wie erklärt man den Patienten den HIPAA
- Die Auswirkungen des HIPAA auf Gesundheitseinrichtungen
- Wie erklärt man Mitarbeitern den HIPAA
- Neue Technologie und HIPAA-Datenschutz- und Sicherheitsvorschriften
HIPAA Vereinfachte Geschichte
Ursprünglich wurde das Gesetz 1996 vorgeschlagen, um Arbeitnehmern die Möglichkeit zu geben, ihre Versicherungs- und Gesundheitsfürsorgeansprüche zwischen verschiedenen Arbeitsplätzen mitzunehmen. Unsere vereinfachte Geschichte des HIPAA zeigt, dass sich das Gesetz seitdem zu einem Rechtsakt ausgeweitet hat, der auch den Krankenversicherungsbetrug und die Steuerbestimmungen für medizinische Sparkonten regelt und die Aufnahme von Arbeitnehmern mit Vorerkrankungen in betriebliche Krankenversicherungssysteme gewährleistet. In erster Linie geht es bei HIPAA jedoch um den Datenschutz und die Sicherheit von Gesundheitsdaten von Patienten.
HIPAA wurde (über den HITECH Act) auch dazu genutzt, die Gesundheitsbranche zur Computerisierung von Papierakten zu bewegen. Dies führte zu Bedenken über die unbefugte Weitergabe von „geschützten Gesundheitsinformationen“ (Protected Health Information, PHI) und führte zur Entwicklung weiterer Datenschutz- und Sicherheitsvorschriften im Jahr 2013. Die Vorschriften berücksichtigen die technologischen Fortschritte in der Gesundheitsbranche seit der Verabschiedung des ursprünglichen Gesetzes und erweitern die Verantwortung für die Integrität von PHI auf Geschäftspartner.
Die HIPAA-Vorschriften werden vom Büro für Bürgerrechte des US-Gesundheitsministeriums & durchgesetzt, während die Generalstaatsanwälte der Bundesstaaten auch gegen Parteien vorgehen können, die sich nicht an den HIPAA halten. Das Office for Civil Rights ist befugt, bei Verstößen gegen den HIPAA Geldstrafen gegen die betroffenen Einrichtungen und Geschäftspartner zu verhängen, es sei denn, die betreffende Partei kann nachweisen, dass die Wahrscheinlichkeit, dass die Gesundheitsdaten der Patienten gefährdet waren, gering ist.
HIPAA in einfachen Worten erklärt
Der kombinierte Text aller HIPAA-Verordnungen zur Verwaltungsvereinfachung wurde vom HHS in einem einzigen Dokument von 115 Seiten zusammengefasst, was die Lektüre sehr langwierig macht, aber es ist möglich, HIPAA in ein paar Sätzen zusammenzufassen und in einfachen Worten zu erklären.
HIPAA war ein Versuch des Kongresses, die Effizienz des Gesundheitswesens zu verbessern, Verschwendung zu beseitigen, Betrug zu bekämpfen und sicherzustellen, dass Gesundheitsinformationen, die mit einer Person in Verbindung gebracht werden können und deren Identifizierung ermöglichen würden, geschützt und privat und vertraulich gehalten werden.
HIPAA führte eine Reihe neuer Standards ein, an die sich die Organisationen des Gesundheitswesens halten mussten, um sicherzustellen, dass alle nach dem gleichen Schema vorgingen. Es wurden Standardcodes und -kennungen geschaffen, um den Austausch von Gesundheitsinformationen zu erleichtern, und Gesundheitsdienstleister, Krankenversicherer und ihre Geschäftspartner wurden verpflichtet, für elektronische Transaktionen dieselben Codes zu verwenden, um einen effizienten Datenaustausch zu gewährleisten. Dies sparte viel Zeit und Mühe und führte zu erheblichen Kosteneinsparungen.
Der HIPAA legte die zulässige Verwendung und Weitergabe von Gesundheitsinformationen fest und schränkte ein, wer unter welchen Umständen auf Gesundheitsinformationen zugreifen darf. Der HIPAA gab den Amerikanern das Recht, Kopien ihrer Gesundheitsdaten zu erhalten, um ihre Gesundheitsdaten auf Fehler zu überprüfen und ihre Daten mit jedem zu teilen, den sie wünschen. HIPAA legte auch Standards für den Schutz von Gesundheitsdaten fest, um den Zugriff auf Gesundheitsdaten durch Personen zu erschweren, die kein Recht auf Einsicht in die Daten haben.
HIPAA für Dummies
Obwohl es als unhöflich angesehen werden könnte, einen Abschnitt dieses Artikels mit „HIPAA für Dummies“ zu betiteln, gibt es immer noch einige Menschen, die nicht wissen, welche Gesundheitsdaten von Patienten „geschützt“ sind. Um zu klären, was als „geschützte Gesundheitsinformationen“ gilt, haben wir im Folgenden die achtzehn „persönlichen Identifikatoren“ aufgelistet, die einzeln – oder in Verbindung mit einem anderen persönlichen Identifikator – die Identität einer Person, ihre Krankengeschichte oder ihr Zahlungsverhalten offenbaren könnten:
| Namen oder Teile von Namen | Jedes andere eindeutige Identifizierungsmerkmal |
| Geografische Identifikatoren | Daten die sich direkt auf eine Person beziehen |
| Telefonnummern | Faxnummern |
| E-Mail-Adressen | Sozialversicherungsnummern |
| Krankenversicherungsnummern | Krankenversicherungsnummern |
| Kontonummern | Zertifikat- oder Führerscheinnummern |
| Fahrzeugkennzeichen | Gerätekennungen und Seriennummern |
| Web-URLs | IP-Adressen |
| Fingerabdrücke, Netzhaut- und Stimmabdrücke | Gesichtsabdrücke oder vergleichbare fotografische Abbildungen |
Wer fällt unter den HIPAA?
Bevor wir uns mit den Erläuterungen zum HIPAA befassen, ist es am besten zu klären, für wen die Rechtsvorschriften gelten. Praktisch alle Gesundheitspläne, Clearingstellen für das Gesundheitswesen, Leistungserbringer und Sponsoren der Medicare-Rabattkarte für verschreibungspflichtige Arzneimittel gelten im Rahmen des Gesetzes als „HIPAA-abgedeckte Einrichtungen“. In der Regel handelt es sich dabei um Einrichtungen, die regelmäßig mit geschützten Gesundheitsdaten in Berührung kommen.
„Business Associates“ fallen ebenfalls unter den HIPAA. Dabei handelt es sich um Einrichtungen, die in ihrer Haupttätigkeit keine geschützten Gesundheitsdaten erstellen, empfangen, aufbewahren oder übermitteln, aber Dienstleistungen und Tätigkeiten für die betroffenen Einrichtungen erbringen, bei denen sie mit PHI in Berührung kommen. Bevor ein Geschäftspartner eine Dienstleistung oder Tätigkeit im Namen einer betroffenen Einrichtung übernimmt, muss er eine Geschäftspartnervereinbarung unterzeichnen, in der er garantiert, dass er die Integrität aller PHI, zu denen er Zugang hat, sicherstellt.
Eine Grauzone besteht in Bezug auf selbstversicherte Gruppengesundheitspläne von Einzelarbeitgebern und Arbeitgebern, die als Vermittler zwischen Arbeitnehmern und Gesundheitsdienstleistern auftreten. Nach dem HIPAA sind Arbeitgeber keine versicherten Einrichtungen, es sei denn, die Art ihrer Tätigkeit fällt unter die Kriterien für eine versicherte Einrichtung (z. B. wäre ein anstellendes medizinisches Zentrum eine versicherte Einrichtung). Da jedoch Arbeitgeber, die sich selbst versichern, und Vermittler mit PHI umgehen, die durch die HIPAA-Datenschutzregel geschützt sind, gelten sie als „virtuelle Einrichtungen“ und unterliegen der Einhaltung des HIPAA.
HIPAA erklärt nach 2013
Bitte beachten Sie: Informationen über den HIPAA vor 2013 und seine Beziehung zum HITECH Act von 2009 finden Sie auf unserer Seite „HIPAA History“. Weitere Einzelheiten zu den Datenschutz- und Sicherheitsvorschriften des HIPAA finden Sie in unserer „Checkliste für die Einhaltung des HIPAA“.
Seit der Einführung der Final Omnibus Rule, mit der 2013 neue Vorschriften innerhalb des HIPAA erlassen wurden, gibt es neue Richtlinien dazu, wie auf PHI zugegriffen werden muss und wie diese in einem medizinisch relevanten Umfeld weitergegeben werden. Das überarbeitete Gesetz gibt den Patienten weitere Rechte, um zu wissen und zu kontrollieren, wie ihre Gesundheitsinformationen verwendet werden, und erweitert die Kontrollen für HIPAA-abgedeckte Einrichtungen und Geschäftspartner auf die Art und Weise, wie auf Patientendaten zugegriffen und diese übermittelt werden.
HIPAA-abgedeckte Einrichtungen und Geschäftspartner müssen Mechanismen implementieren, um den Informationsfluss innerhalb eines privaten Netzwerks einzuschränken, die Aktivitäten im Netzwerk zu überwachen und Maßnahmen zu ergreifen, um die unbefugte Offenlegung von PHI außerhalb der Netzwerkgrenzen zu verhindern. Der Durchführung von Risikobewertungen muss mehr Aufmerksamkeit gewidmet werden, und es wurden neue Meldeverfahren für Datenschutzverletzungen entwickelt.
Die Überarbeitungen der HIPAA-Sicherheitsregel schreiben die Bedingungen („Schutzmaßnahmen“) vor, die für eine HIPAA-konforme Speicherung und Übermittlung von ePHI gegeben sein müssen. Diese „Schutzmaßnahmen“ werden in der HIPAA-Sicherheitsvorschrift entweder als „erforderlich“ oder als „adressierbar“ beschrieben. Tatsächlich sind alle Schutzmaßnahmen generell erforderlich – unabhängig davon, wie sie beschrieben werden – wie im folgenden Abschnitt erläutert wird.
Das Office for Civil Rights führt bei den vom HIPAA erfassten Einrichtungen Audits durch, um sicherzustellen, dass sie die Vorschriften einhalten. Wenn vermeidbare Verletzungen von ePHI aufgedeckt werden, ist das Office for Civil Rights befugt, Geldstrafen zu verhängen und strafrechtliche Anklagen gegen die nachlässige Einrichtung zu erheben.
Erforderliche und adressierbare Schutzmaßnahmen des HIPAA erklärt
Ein Bereich des HIPAA, der zu einiger Verwirrung geführt hat, ist der Unterschied zwischen „erforderlichen“ und „adressierbaren“ Schutzmaßnahmen. Im Grunde genommen ist jede Schutzmaßnahme des HIPAA „erforderlich“, es sei denn, es gibt einen berechtigten Grund, die Maßnahme nicht durchzuführen, oder es wird eine geeignete Alternative zu der Maßnahme eingeführt, die dasselbe Ziel erreicht.
Ein Szenario, in dem die Einführung einer adressierbaren Maßnahme unnötig sein könnte, ist die Verschlüsselung von E-Mails. E-Mails, die PHI enthalten – entweder im Hauptteil oder als Anhang – müssen nur dann verschlüsselt werden, wenn sie über einen internen Server mit Firewall hinaus gesendet werden. Wenn eine Organisation des Gesundheitswesens E-Mail nur als interne Kommunikationsform verwendet oder eine Erlaubnis des Patienten hat, seine Daten unverschlüsselt zu versenden, besteht keine Notwendigkeit, diese adressierbare Schutzmaßnahme einzuführen.
Die Entscheidung, keine E-Mail-Verschlüsselung einzuführen, muss durch eine Risikobewertung gestützt und schriftlich dokumentiert werden. Andere Faktoren, die in Betracht gezogen werden müssen, sind die Risikominderungsstrategie der Organisation und andere Schutzmaßnahmen, die zum Schutz der Integrität von PHI eingeführt wurden. Wie in einer Fußnote zu diesem Abschnitt des HIPAA erläutert, wird die Verschlüsselung von PHI im Ruhezustand und bei der Übertragung empfohlen.
Die Auswirkungen des HIPAA auf die Patienten
Die Auswirkungen des HIPAA auf die Patienten bestehen darin, dass ihre Gesundheitsinformationen sensibler behandelt werden und ihre Gesundheitsdienstleister schneller darauf zugreifen können. Elektronisch gespeicherte Gesundheitsinformationen sind jetzt besser geschützt als es Papierunterlagen jemals waren, und Gesundheitsorganisationen, die Mechanismen zur Einhaltung der HIPAA-Vorschriften eingeführt haben, können eine verbesserte Effizienz feststellen. Für die Patienten bedeutet dies einen höheren Standard der Gesundheitsversorgung.
Auf der anderen Seite geht es den Gesundheitsorganisationen nicht nur um den Standard der Gesundheitsversorgung, den sie den einzelnen Patienten bieten können. Gesundheitsorganisationen wollen ihre Leistungen erweitern, die Qualität der Versorgung erhöhen und die Patientensicherheit durch Forschung verbessern. Die Forschung wird jedoch durch den HIPAA eingeschränkt, und der eingeschränkte Zugang zu PHI kann das Tempo der Verbesserungen in der Gesundheitsversorgung verlangsamen.
Eine verbesserte Datensicherheit hat auch ihren Preis, und obwohl die Einführung des Meaningful-Use-Programms den Gesundheitsdienstleistern finanzielle Anreize für die Computerisierung von Papierakten bot, kann die Implementierung der notwendigen Kontrollen zur Sicherung von ePHI mit erheblichen Kosten verbunden sein. Eine Aufstockung der Mittel für die Einhaltung der Vorschriften kann zu einer Verschlechterung der Patientenversorgung führen, während der Verwaltungsaufwand, den die Einhaltung des HIPAA für die Gesundheitseinrichtungen mit sich bringt, die begrenzten verfügbaren Ressourcen weiter belastet.
Wie erklärt man den Patienten den HIPAA
Da die Gesundheitsdienstleister nun gesetzlich verpflichtet sind, den Patienten ihre Datenschutzrichtlinien mitzuteilen, wird es notwendig sein, den Patienten den HIPAA zu erklären, da sie eine Kopie der Richtlinien unterschreiben müssen, um zu bestätigen, dass sie sie erhalten haben. Der beste Weg, den Patienten den HIPAA zu erklären, besteht darin, die relevanten Informationen in die Datenschutzrichtlinie aufzunehmen und den Patienten dann einen Überblick über den Inhalt der Richtlinie zu geben. Erklären Sie den Patienten zum Beispiel:
- Sie haben das Recht, ihre Krankenakten anzufordern, wann immer sie wollen.
- Sie haben das Recht, Sie aufzufordern, ihre Krankenakten zu ändern, wenn es angebracht ist.
- Sie haben das Recht, den Zugang zu ihren persönlichen Gesundheitsdaten zu beschränken.
- Sie haben das Recht zu wählen, wie Gesundheitsdienstleister mit ihnen kommunizieren.
- Sie haben auch das Recht, sich über die unbefugte Weitergabe ihrer PHI zu beschweren.
Soweit der Patient durch die unbefugte Weitergabe seiner PHI keinen körperlichen oder finanziellen Schaden erlitten hat, kann er keine Zivilklage gegen die fahrlässige Partei einreichen. Abgedeckte Einrichtungen und Geschäftspartner, die gegen den HIPAA aus persönlichem Gewinnstreben, unter Vorspiegelung falscher Tatsachen oder zu anderen persönlichen Zwecken verstoßen, werden jedoch vom Office for Civil Rights mit strafrechtlichen Sanktionen belegt, die bis zu zehn Jahren Haft reichen können.
Die Auswirkungen des HIPAA auf Gesundheitseinrichtungen
Wenn der Datenschutz und die Datensicherheit nicht beachtet werden, kann das Office for Civil Rights bei Nichteinhaltung der Vorschriften Geldstrafen verhängen. Bei vermeidbaren Datenschutzverletzungen sind erhebliche Geldstrafen zu erwarten. Nach der durch HITECH eingeführten Sanktionsstruktur können Verstöße zu Geldstrafen von bis zu 1,5 Millionen US-Dollar durch das OCR führen, während Klagen sowohl von der Staatsanwaltschaft als auch – wie oben erwähnt – von den Opfern von Datenschutzverletzungen eingereicht werden können.
Die hohe Wahrscheinlichkeit, dass Organisationen des Gesundheitswesens zur Zielscheibe von Cyberkriminellen werden, und die exorbitanten Kosten für die Bewältigung von Datenschutzverletzungen – die Ausstellung von Benachrichtigungsschreiben über Datenschutzverletzungen, das Angebot von Kreditüberwachungsdiensten und die Übernahme der Geldstrafen durch das OCR – übersteigen bei weitem die Kosten für eine vollständige Einhaltung der Vorschriften. Aber auch wenn die anfänglichen Kosten für Investitionen in die notwendigen technischen, physischen und administrativen Sicherheitsvorkehrungen zum Schutz von Patientendaten hoch sein mögen, können die Verbesserungen im Laufe der Zeit zu Kosteneinsparungen führen, die sich aus der verbesserten Effizienz ergeben.
Organisationen, die bereits Mechanismen zur Einhaltung des HIPAA eingeführt haben, konnten feststellen, dass die Arbeitsabläufe ihrer Mitarbeiter gestrafft wurden, dass weniger Zeit mit „Telefonspielen“ verschwendet wird und dass die Mitarbeiter produktiver geworden sind – was es den Gesundheitseinrichtungen ermöglicht, ihre Einsparungen zu reinvestieren und den Patienten einen höheren Standard in der Gesundheitsversorgung zu bieten.
Wie erklärt man Mitarbeitern den HIPAA
Die Erklärung des HIPAA gegenüber Mitarbeitern von betroffenen Einrichtungen und Geschäftspartnern ist weitaus aufwändiger als gegenüber Patienten. Um den HIPAA einzuhalten, müssen die betroffenen Einrichtungen und die mit ihnen verbundenen Unternehmen Datenschutz- und Sicherheitsrichtlinien für ihre Mitarbeiter sowie eine Sanktionspolitik für Mitarbeiter, die die Anforderungen nicht einhalten, erarbeiten. Daher ist es notwendig, den Mitarbeitern den HIPAA näher zu erläutern.
Am besten lässt sich der HIPAA den Mitarbeitern in speziellen Compliance-Schulungen erklären. Obwohl die HIPAA-Bestimmungen vorsehen, dass jährlich Schulungen durchgeführt werden sollten, würden wir vorschlagen, dass die Mitarbeiter so viel über die Sicherheit und den Schutz personenbezogener Gesundheitsdaten lernen müssen, dass die Schulungen kurz und häufig stattfinden sollten. Der Versuch, den Mitarbeitern den HIPAA in einer vierstündigen Schulung zu erklären, wird wahrscheinlich erfolglos bleiben.
Ein großer Teil der Erklärung wird sich um die Wahrung der Integrität von PHI drehen, aber die Art und Weise, wie dies umgesetzt wird, wird wahrscheinlich Auswirkungen auf die Mitarbeiter selbst haben. So können die Mitarbeiter beispielsweise nicht über ihr mobiles Gerät über die Gesundheitsfürsorge von Patienten sprechen, wenn die Kommunikation nicht verschlüsselt ist. Da viele Einrichtungen des Gesundheitswesens BYOD-Richtlinien einführen, bedeutet dies, dass die Mitarbeiter sichere Kommunikations-Apps auf ihre persönlichen Mobilgeräte herunterladen müssen.
Neue Technologie und HIPAA-Datenschutz- und Sicherheitsvorschriften
Es werden ständig neue Technologien entwickelt, um die Integrität von Patienteninformationen zu schützen. Die Einhaltung der HIPAA-Datenschutz- und Sicherheitsvorschriften wird durch Innovationen wie Webfilter, sichere E-Mail-Archivierung und sichere Nachrichtenlösungen täglich einfacher.
Webfilter sind ein hervorragender Mechanismus zur Minderung der Risiken durch Malware – insbesondere Überwachungs-Malware, die Tastenanschläge aufzeichnen kann, um Benutzernamen und Kennwörter zu erhalten. Mehrere der jüngsten Datenschutzverletzungen waren das Ergebnis von Malware-Downloads – darunter mehrere, die mit der Implementierung eines Web-Filter-Mechanismus nicht aufgetreten wären.
Die sichere Archivierung von E-Mails ist ein weiterer Bereich, in dem Gesundheitseinrichtungen ihre Online-Sicherheitslage verbessern können. Die Aufbewahrung von sechs Jahren an E-Mails kann ein Speicherproblem darstellen. Durch die Nutzung eines sicheren E-Mail-Archivierungsdienstes eines Drittanbieters können Gesundheitseinrichtungen jedoch Ressourcen innerhalb ihrer eigenen IT-Struktur freisetzen und gleichzeitig die HIPAA-Datenschutz- und Sicherheitsvorschriften einhalten.
Es wurde bereits in diesem Artikel „HIPAA erklärt“ erwähnt, dass einige der jüngsten Änderungen des HIPAA die Risiken von „Bring Your Own Device“-Richtlinien berücksichtigen. Einige Organisationen des Gesundheitswesens haben die Risiken durch die Implementierung von sicheren Messaging-Lösungen beseitigt. Diese Lösungen ermöglichen autorisierten Benutzern den sicheren Zugriff auf und die Kommunikation von ePHI von ihren persönlichen mobilen Geräten aus über sichere Messaging-Apps.
Wie bei allen Drittanbietern von Dienstleistungen muss die Gesundheitsorganisation sicherstellen, dass der Geschäftspartner HIPAA-konform ist. Die Kosten, die entstehen, wenn die Einhaltung der Vorschriften nicht gewährleistet wird, können beträchtlich sein, wie unsere Infografik „HIPAA erklärt“ unten zeigt.