HIPAA (Health Insurance Portability and Accountability Act)

Was ist der Zweck des HIPAA?

HIPAA, auch bekannt als Public Law 104-191, verfolgt zwei Hauptziele: die Gewährleistung eines kontinuierlichen Krankenversicherungsschutzes für Arbeitnehmer, die ihren Arbeitsplatz verlieren oder wechseln, und schließlich die Senkung der Kosten für die Gesundheitsversorgung durch die Standardisierung der elektronischen Übermittlung von administrativen und finanziellen Transaktionen. Weitere Ziele sind die Bekämpfung von Missbrauch, Betrug und Verschwendung in der Krankenversicherung und der Gesundheitsversorgung sowie die Verbesserung des Zugangs zu Langzeitpflegeleistungen und zur Krankenversicherung.

Was sind die 5 Hauptbestandteile des HIPAA?

Der HIPAA besteht aus fünf Abschnitten beziehungsweise Titeln:

• Titel I: HIPAA-Krankenversicherungsreform. Titel I schützt den Krankenversicherungsschutz für Personen, die ihren Arbeitsplatz verlieren oder wechseln. Außerdem verbietet er Gruppen-Krankenversicherungen, Personen mit bestimmten Krankheiten und Vorerkrankungen den Versicherungsschutz zu verweigern und lebenslange Deckungsgrenzen festzulegen.
• Titel II: HIPAA-Verwaltungsvereinfachung. Titel II weist das U.S. Department of Health and Human Services(HHS) an, nationale Standards für die Verarbeitung elektronischer Transaktionen im Gesundheitswesen festzulegen. Außerdem müssen Gesundheitseinrichtungen einen sicheren elektronischen Zugang zu Gesundheitsdaten einrichten und die vom HHS festgelegten Datenschutzbestimmungen einhalten.
• Titel III: Steuerbezogene Gesundheitsbestimmungen des HIPAA. Titel III enthält steuerbezogene Bestimmungen und Richtlinien für die medizinische Versorgung.
• Titel IV: Anwendung und Durchsetzung der Anforderungen an Gruppen-Krankenversicherungspläne. In Titel IV wird die Reform der Krankenversicherung näher definiert, einschließlich der Bestimmungen für Personen mit bereits bestehenden Erkrankungen und für Personen, die eine fortgesetzte Deckung wünschen.
• Titel V: Einkommensausgleiche. Titel V enthält Bestimmungen über firmeneigene Lebensversicherungen und die Behandlung von Personen, die ihre US-Staatsbürgerschaft für Einkommenssteuerzwecke verlieren.

In Kreisen des Gesundheitswesens ist die Einhaltung von Titel II des HIPAA das, was die meisten Leute meinen, wenn sie sich auf die Einhaltung des HIPAA beziehen. Titel II, auch bekannt als die Bestimmungen zur Verwaltungsvereinfachung, umfasst die folgenden HIPAA-Anforderungen:

• National Provider Identifier Standard. Jede Einrichtung des Gesundheitswesens, einschließlich Einzelpersonen, Arbeitgebern, Gesundheitsplänen und Leistungserbringern, muss über eine eindeutige 10-stellige National Provider Identifier-Nummer (NPI) verfügen.
• Standard für Transaktionen und Codesätze. Organisationen des Gesundheitswesens müssen einen standardisierten Mechanismus für den elektronischen Datenaustausch (EDI) verwenden, um Versicherungsansprüche einzureichen und zu bearbeiten.
• HIPAA-Datenschutzrichtlinie. Offiziell als Standards for Privacy of Individually Identifiable Health Information(Standards für den Datenschutz von individuell identifizierbaren Gesundheitsinformationen) bekannt, legt diese Regel nationale Standards zum Schutz von Gesundheitsinformationen von Patienten fest.
• HIPAA-Sicherheitsvorschrift. Die Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsinformationen (electronic Protected Health Information, ePHI) legen Standards für die Sicherheit von Patientendaten fest.
• HIPAA-Durchsetzungsvorschrift. Diese Regel legt Richtlinien für Untersuchungen von Verstößen gegen die HIPAA-Vorschriften fest.

Das HHS Office for Civil Rights (OCR), das für die Durchsetzung des HIPAA zuständig ist, führt Prüfungen durch und kann bei Nichteinhaltung des HIPAA Strafen verhängen. Verstöße gegen den HIPAA können für Organisationen im Gesundheitswesen sehr kostspielig sein.

HIPAA Privacy Rule

Die Standards for Privacy of Individually Identifiable Health Information, allgemein bekannt als HIPAA Privacy Rule, legt die ersten nationalen Standards in den Vereinigten Staaten zum Schutz der persönlichen oder geschützten Gesundheitsinformationen (PHI) von Patienten fest.

Das HHS hat diese Regel erlassen, um die Verwendung und Offenlegung sensibler PHI zu begrenzen. Sie soll die Privatsphäre der Patienten schützen, indem sie von den Ärzten verlangt, dass sie den Patienten einen Bericht über jede Einrichtung zur Verfügung stellen, an die der Arzt PHI für Abrechnungs- und Verwaltungszwecke weitergibt, wobei die relevanten Gesundheitsinformationen weiterhin über die richtigen Kanäle fließen können.

Das Privacy Rule garantiert den Patienten auch das Recht, auf Anfrage ihre eigenen PHI von den unter den HIPAA fallenden Gesundheitsdienstleistern zu erhalten.

Das HIPAA Privacy Rule gilt für Organisationen, die als HIPAA-abgedeckte Einrichtungen gelten. Außerdem müssen betroffene Einrichtungen, die mit einem HIPAA-Geschäftspartner (Business Associates, BA) zusammenarbeiten, einen Vertrag vorlegen, der bestimmte Schutzmaßnahmen für die PHI vorschreibt, die der Geschäftspartner verwendet oder weitergibt.

Was sind HIPAA-betroffene Einrichtungen?

Der HIPAA gilt nur für Einrichtungen und ihre Geschäftspartner, die dieser Vorschrift unterliegen. Eine HIPAA-betroffene Einrichtung ist jede Organisation oder Gesellschaft, die direkt mit PHI oder persönlichen Gesundheitsdaten (PHR) arbeitet. Betroffene Stellen sind verpflichtet, die Vorschriften des HIPAA und des HITECH-Gesetzes (Health Information Technology for Economic and Clinical Health) zum Schutz von PHI und PHR (Personal Health Record) einzuhalten.

Betroffene Einrichtungen fallen in drei Kategorien:

• Gesundheitsdienstleister. Zu den Gesundheitsdienstleistern gehören Ärzte, Kliniken, Psychologen, Zahnärzte, Chiropraktiker, Pflegeheime und Apotheken.
• Gesundheitsplan. Zu den Gesundheitsplänen gehören Krankenversicherungen, HMOs (Health Maintenance Organisations), betriebliche Gesundheitspläne und staatliche Gesundheitsprogramme wie Medicare, Medicaid und militärische Gesundheitsprogramme.
• Clearing-Stelle für das Gesundheitswesen. Clearing-Stellen für das Gesundheitswesen sind Einrichtungen, die nicht standardisierte Gesundheitsinformationen, die sie von anderen Einrichtungen erhalten, in ein Standardformat umwandeln oder umgekehrt. Beispiele hierfür sind Abrechnungsdienste und kommunale Gesundheitssysteme zur Verwaltung von Gesundheitsdaten.

Einrichtungen können das Online-Tool des HHS nutzen, um festzustellen, ob sie als HIPAA-abgedeckte Einrichtung oder BA gelten und folglich den HIPAA einhalten müssen oder nicht.

Welche Informationen sind unter HIPAA geschützt?

Das HIPAA Privacy Rule schützt alle individuell identifizierbaren Gesundheitsdaten, die von einer betroffenen Einrichtung oder einem Geschäftspartner gespeichert oder übermittelt werden. Diese Informationen können in jeder Form vorliegen, einschließlich digital, auf Papier oder mündlich.

Zu den PHI gehören unter anderem folgende Daten:

• Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, biometrische Identifikatoren oder andere personenbezogene Daten (PII) eines Patienten
• der vergangene, gegenwärtige oder zukünftige körperliche oder geistige Gesundheitszustand einer Person
• jegliche Pflege, die eine Person erhalten hat
• Informationen über die frühere, gegenwärtige oder künftige Bezahlung der einer Person geleisteten Pflege, die den Patienten identifizieren, oder Informationen, bei denen Grund zu der Annahme besteht, dass sie zur Identifizierung des Patienten verwendet werden könnten

Nicht zu PHI gehören die folgenden Informationen:

• Beschäftigungsunterlagen, einschließlich Informationen über die Ausbildung, sowie andere Unterlagen, die demFamily Educational Rights and Privacy Act (FERPA) unterliegen oder darin definiert sind
• Nicht identifizierbare Daten, das heißt Daten, die eine Person nicht identifizieren oder Informationen liefern, die eine Person identifizieren könnten; es gibt keine Einschränkungen für ihre Verwendung oder Weitergabe.

Konkrete Beispiele für PHI sind Krankenakten, Laborberichte oder Krankenhausrechnungen, da diese Dokumente identifizierende Informationen, zum Beispiel den Namen des Patienten, in Verbindung mit Gesundheitsdaten enthalten.

Ein Beispiel für Informationen, die nicht zu den PHI gehören, sind Blutdruck- oder Herzfrequenzdaten, die von einem Gesundheitsgerät, wie einer Smartwatch, erfasst werden, da sie nicht an eine betroffene Einrichtung weitergegeben werden.

Administrative Anforderungen

Das Privacy Rule legt bestimmte administrative Anforderungen fest, die die betroffenen Einrichtungen einhalten müssen.

Zu diesen Anforderungen gehören die folgenden:

• Es muss ein Datenschutzbeauftragter, beispielsweise ein Chief Privacy Officer (CPO), ernannt werden, der für die Entwicklung und Umsetzung von Richtlinien und Verfahren in einer betroffenen Einrichtung verantwortlich ist.
• Die Mitarbeiter, einschließlich Freiwilliger und Praktikanten, müssen in den Richtlinien und Verfahren geschult werden.
• Angemessene administrative, technische und physische Sicherheitsvorkehrungen müssen beibehalten werden, um die Privatsphäre von PHI in einer betroffenen Einrichtung zu schützen.
• Eine betroffene Einrichtung muss über ein Verfahren verfügen, das es Einzelpersonen ermöglicht, Beschwerden über Richtlinien und Verfahren einzureichen.
• Wenn PHI unter Verletzung ihrer Richtlinien und Verfahren offengelegt werden, muss eine betroffene Einrichtung – soweit dies möglich ist – alle schädlichen Auswirkungen abmildern.

HIPAA-erlaubte Verwendungen und Offenlegungen

Das HIPAA Privacy Rule legt fest, wann eine betroffene Einrichtung die PHI einer Person verwenden oder offenlegen darf. Es gibt zwei Bedingungen, unter denen die Verwendung oder Weitergabe erlaubt ist:

• wenn das Privacy Rule dies ausdrücklich erlaubt oder vorschreibt, wenn die betroffene Einrichtung die Daten selbst verwendet oder sie an eine andere betroffene Einrichtung übermittelt, ist dies nach der Privacy Rule zulässig
• wenn das Subjekt der Informationen eine schriftliche Genehmigung erteilt

Diese Bestimmungen zielen darauf ab, die Interoperabilität des IT-Umfelds im Gesundheitswesen zu erleichtern, indem sichergestellt wird, dass elektronische Gesundheitsinformationen den richtigen Personen zur richtigen Zeit zur Verfügung gestellt werden. In bestimmten Fällen, wie bei einem nationalen Notfall (zum Beispiel einer Pandemie) können Teile des Privacy Rule geändert werden, um die Offenlegung von PHI zu erlauben, die unter normalen Umständen einen Verstoß darstellen würde.

Strafen nach HIPAA Privacy Rule

Gemäß der HIPAA Privacy Rule können Verstöße gegen die Datenschutzbestimmungen im Gesundheitswesen sowie das Versäumnis, Patienten Zugang zu ihren PHI zu gewähren, von OCR mit einer Geldstrafe belegt werden.

Die Strafen im Rahmen der Datenschutzbestimmungen hängen von der Schwere des Verstoßes ab. Sie werden in vier Kategorien unterteilt:

• Ein unwissentlicher Verstoß gegen den HIPAA wird mit 100 Dollar pro Verstoß geahndet, mit einem jährlichen Höchstbetrag von 25.000 Dollar für wiederholte Verstöße.
• Begründeter Verstoß gegen den HIPAA: 1.000 Dollar pro Verstoß, mit einem jährlichen Höchstbetrag von 100.000 Dollar für wiederholte Verstöße. (Ein begründeter Anlass oder Verstoß ist eine Handlung oder Unterlassung, bei der eine betroffene Einrichtung oder ein Geschäftspartner wusste oder bei Anwendung angemessener Sorgfalt hätte wissen müssen, dass die Handlung oder Unterlassung gegen eine Vorschrift verstößt, bei der die betroffene Einrichtung oder der Geschäftspartner jedoch nicht vorsätzlich gehandelt hat.)
• Vorsätzliche Vernachlässigung des HIPAA, wobei der Verstoß jedoch innerhalb eines bestimmten Zeitraums behoben wird, wird mit 10.000 US-Dollar pro Verstoß geahndet, mit einem jährlichen Höchstbetrag von 250.000 Dollar für wiederholte Verstöße.
• Eine vorsätzliche Vernachlässigung des HIPAA, bei der der Verstoß nicht korrigiert wird, wird mit 50.000 US-Dollar pro Verstoß und mit einem jährlichen Höchstbetrag von 1,5 Millionen US-Dollar für wiederholte Verstöße geahndet.

Betroffene Unternehmen und Einzelpersonen, die vorsätzlich PHI unter Verstoß gegen die HIPAA-Datenschutzrichtlinie beschaffen oder weitergeben, können mit einer Geldstrafe von bis zu 50.000 US-Dollar und einer Gefängnisstrafe von bis zu einem Jahr belegt werden. Bei Verstößen gegen den HIPAA unter Vorspiegelung falscher Tatsachen können die Strafen auf bis zu 100.000 Dollar Geldstrafe und bis zu 10 Jahre Gefängnis erhöht werden.

Organisationen können ihr Risiko für behördliche Maßnahmen durch Schulungsprogramme zur Einhaltung des HIPAA verringern. Die OCR bietet durch Schulungsprogramme Hilfestellung bei der Einhaltung der Datenschutz- und Sicherheitsvorschriften. Eine Reihe von Beratungsunternehmen und Schulungsgruppen bieten ebenfalls Programme an. Gesundheitsdienstleister können auch ihre eigenen Schulungsprogramme erstellen, die oft die aktuellen HIPAA-Datenschutz- und Sicherheitsrichtlinien jeder Organisation, den HITECH Act, Prozesse für die Verwaltung mobiler Geräte (Mobile Device Management) und andere anwendbare Richtlinien umfassen.

Es gibt zwar kein offizielles Zertifizierungsprogramm für die HIPAA-Compliance, aber Schulungsunternehmen bieten Zertifizierungsnachweise an, die belegen, dass sie die Richtlinien und Vorschriften des Gesetzes verstehen.

HIPAA Security Rule (Sicherheitsvorschrift)

Die Security Standards for the Protection of Electronic Protected Health Information, allgemein bekannt als HIPAA Security Rule, legt nationale Standards für die Sicherung von Patientendaten fest, die elektronisch gespeichert oder übertragen werden. Sie basieren auf dem Cybersecurity Framework des National Institute of Standards and Technology (NIST).

OCR setzt das HIPAA Security Rule durch, das darauf abzielt, die Sicherheit der Patienten mit dem Fortschritt der Gesundheitstechnologie in Einklang zu bringen.

Die Vorschrift verlangt die Einrichtung von physischen und elektronischen Sicherheitsvorkehrungen, um die sichere Weitergabe, Pflege und den Empfang von PHI zu gewährleisten. Bei der Untersuchung der Risiken und Schwachstellen im Zusammenhang mit PHI und ePHI sollten sich Gesundheitseinrichtungen drei wichtige Fragen zur Risikoanalysestellen:

• Können die Quellen von ePHI und PHI innerhalb der Organisation (einschließlich aller PHI, die erstellt, empfangen, aufbewahrt oder übertragen werden) identifiziert werden?
• Welches sind die externen Quellen der PHI?
• Welches sind die menschlichen, natürlichen und umweltbedingten Bedrohungen für Informationssysteme, die ePHI und PHI enthalten?

Anhand der Antworten auf diese Fragen können Organisationen entscheiden, welche Maßnahmen sie ergreifen müssen, um ein HIPAA-konformes Sicherheitsmanagementverfahren beizubehalten oder zu entwickeln, zum Beispiel folgende:

• ein Verfahren zur Personalauswahl entwickeln
• bestimmen, welche Daten gesichert werden sollen
• festlegen, wie und wo die Daten gesichert werden sollen
• festlegen, wie und wo Verschlüsselung eingesetzt werden soll
• festlegen, welche Daten zur Gewährleistung der Datenintegrität authentifiziert werden sollen
• Zugangskontrollen für physische Arbeitsstationen und elektronische Medien sowie für Daten einführen

Im Rahmen des meaningful use-Programms (aus dem Englischen: sinnvolle Nutzung) des HHS für zertifizierte Gesundheits-IT müssen Gesundheitsorganisationen, die staatliche Anreizzahlungen erhalten, die Einhaltung von Datenschutz- und Sicherheitsverfahren auf der Grundlage des HIPAA belegen.

HIPAA Omnibus Rule (Regel)

Das HIPAA Omnibus Rule modifiziert HIPAA Privacy, Security und Enforcement, um die gesetzlichen Änderungen des HITECH Act umzusetzen. Die HIPAA-Omnibus-Regel stellt die umfangreichsten Änderungen an den HIPAA-Datenschutz- und Sicherheitsregeln seit ihrer Einführung dar. Die Änderungen umfassen Folgendes:

• Stärkung des Schutzes der Privatsphäre und der Sicherheit der PHI von Einzelpersonen.
• Die Änderung der Benachrichtigungsregel für ungesicherte PHI und die Einführung objektiverer Standards für die Bewertung der Haftung eines Gesundheitsdienstleisters nach einer Datenschutzverletzung.
• Änderung des HIPAA Privacy Rule zur Stärkung des Datenschutzes für genetische Informationen.
• Umreißen der OCR-Strategien zur Durchsetzung des Datenschutzes und der Datensicherheit, die für die Ära der elektronischen Patientenakten (Electronic Health Record) aktualisiert und durch den HITECH Act vorgeschrieben wurden.
• Die Ausweitung des Breach Notification Rule auf Anbieter von EHRs und EHR-bezogenen Systemen.
• Die Verpflichtung von HIPAA-Geschäftspartnern zu denselben Standards für den Schutz von PHI wie die betroffenen Einrichtungen, einschließlich der Lieferanten der Partner, im Sinne der Einhaltung der Vorschriften.
• Festlegen, dass Patienten bei Barzahlung ihren Leistungserbringer anweisen können, keine Informationen über ihre Behandlung an ihre Krankenkasse weiterzugeben.
• Festlegen neuer Beschränkungen für die Verwendung und Weitergabe von Informationen für Marketing- und Spendenzwecke.
• Das Verbot des Verkaufs von Gesundheitsdaten einer Person ohne deren Zustimmung.
• Die Zustimmung von Eltern und anderen Personen zur Weitergabe des Nachweises über die Impfung eines Kindes an eine Schule vereinfachen.
• Die Möglichkeit für den Einzelnen erleichtern, die Verwendung seiner Gesundheitsdaten für Forschungszwecke zu genehmigen.
• Strafen für die Nichteinhaltung von Vorschriften auf der Grundlage des Grades der Fahrlässigkeit, mit einer Höchststrafe von 1,5 Millionen Dollar pro Verstoß erhöhen.
• Gewährleisten, dass Organisationen mit der Gewissheit arbeiten können, dass ihre Datenschutz- und Sicherheitsrichtlinien mit allen geltenden Vorschriften übereinstimmen.

Was sind HIPAA-Geschäftspartner und ihre vertraglichen Anforderungen?

Der HIPAA definiert einen Geschäftspartner (BA, Business Associates) als jede Organisation oder Person, die in Verbindung mit einer betroffenen Einrichtung arbeitet oder für diese Dienstleistungen erbringt und PHI oder PHRs bearbeitet oder offenlegt. Gemäß dem HITECH Act unterliegt jeder HIPAA-Partner, der für einen Gesundheitsdienstleister oder eine Einrichtung tätig ist, den Prüfungen der OCR innerhalb des HHS und kann für eine Datenschutzverletzung zur Verantwortung gezogen und bei Nichteinhaltung bestraft werden.

Nach Angaben des HHS sind einige Beispiele für Geschäftspartner (BAs) die folgenden:

• wenn ein Gesundheitsplan einen Drittverwalter zur Unterstützung bei der Bearbeitung von Ansprüchen einsetzt
• wenn eine Wirtschaftsprüfungsgesellschaft (Certified Public Accounted) Buchhaltungsdienstleistungen für einen Gesundheitsdienstleister erbringt und Zugang zu geschützten Gesundheitsdaten hat
• wenn ein Krankenhaus einen Berater mit der Überprüfung der Inanspruchnahme beauftragt
• wenn eine Clearing-Stelle für das Gesundheitswesen einen Anspruch von einem nicht standardisierten Format in ein Standardformat für einen Leistungserbringer im Gesundheitswesen umwandelt und dann die Prozesstransaktion an einen Kostenträger sendet
• wenn ein Arzt die Dienste eines unabhängigen medizinischen Transkriptionist in Anspruch nimmt
• wenn ein Pharmacy Benefits Manager das Apothekennetz eines Gesundheitsplans verwaltet
• wenn eine betroffene Einrichtung einen Cloud-Speicherdienst nutzt, um PHI zu speichern

Entwickler von mobilen Anwendungen könnten ebenfalls als HIPAA-Geschäftspartner betrachtet werden, da viele mobile Anwendungen im Gesundheitswesen mit PHI umgehen.

Das HHS nannte ein Szenario, in dem ein App-Entwickler als HIPAA-Geschäftspartner angesehen werden könnte: Ein Patient wird von seinem Anbieter angewiesen, eine Gesundheits-App auf sein Smartphone herunterzuladen. Der App-Entwickler und der Leistungserbringer haben einen Vertrag über Patientenverwaltungsdienste abgeschlossen, der eine Gesundheitsberatung per Fernzugriff, die Übermittlung von Patientennachrichten, die Überwachung von Ernährung und Bewegung sowie die Integration von EHR und APIs umfasst. Darüber hinaus werden die Informationen, die der Patient in die Anwendung eingibt, automatisch in die elektronische Patientenakte übernommen.

Eine HIPAA-BA-Vereinbarung (BAA) ist ein Vertrag zwischen einer HIPAA-betroffenen Einrichtung und einem HIPAA-Geschäftspartner. Der Vertrag schützt PHI in Übereinstimmung mit den HIPAA-Richtlinien.

Laut HHS sollten HIPAA-BA-Verträge oder andere schriftliche Vereinbarungen Folgendes umfassen:

• eine Beschreibung, wie BAs PHI verwenden dürfen und müssen
• eine Anordnung, dass der Geschäftspartner PHI nur wie im Vertrag festgelegt oder wie gesetzlich vorgeschrieben verwendet oder weitergibt
• die BA dazu verpflichten, geeignete Schutzmaßnahmen zu ergreifen, um sicherzustellen, dass die PHI wie im Vertrag beschrieben verwendet werden
• eine Beschreibung, wie ein BA eine Datenschutzverletzung melden und darauf reagieren würde, einschließlich Datenschutzverletzungen, die von Zulieferer der BA verursacht werden
• darlegen, wie ein Geschäftspartner auf eine OCR-Untersuchung reagieren würde
• von der betroffenen Einrichtung verlangen, dass sie angemessene Schritte unternimmt, um eine Verletzung des HIPAA durch Geschäftspartner zu beheben, wenn sie von einer solchen Kenntnis erlangt hat. Ist ein Beheben nicht erfolgreich, muss die betroffene Einrichtung den Vertrag mit dem BA kündigen. Ist auch die Kündigung erfolglos, sollte die betroffene Einrichtung den Vorfall dem OCR melden.