Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 regelt den Datenschutz und die Datensicherheit für medizinische Informationen in den USA. Er stellt sicher, dass keine Gesundheitsinformationen über Patienten ohne deren Einwilligung oder Wissen weitergegeben werden.
Das HHS Office for Civil Rights setzt HIPAA durch, leitet Audits und verhängt Strafen bei Verstößen gegen das Gesetz. Die Strafen für Verstöße gegen HIPAA sind hauptsächlich finanzieller Art, können aber in schweren Fällen auch Haftstrafen beinhalten.
HIPAA-Compliance
Um den HIPAA einzuhalten, müssen Unternehmen, die mit geschützten Gesundheitsinformationen (engl. protected health information, PHI) arbeiten, physische, verfahrenstechnische und netzwerktechnische Sicherheitsmaßnahmen ergreifen. Alle Organisationen, die Behandlungen, Zahlungen und Verfahren im Gesundheitswesen anbieten, fallen unter den HIPAA. Geschäftspartner, die Zugang zu Patientendaten haben und Behandlung, Bezahlung oder Verfahren unterstützen, müssen ebenfalls die HIPAA-Pflichte erfüllen.
HIPAA-Datenschutzrichtlinie (Privacy Rule)
Die Privacy Rule regelt, wie betroffene Organisationen PHI (geschützte Gesundheitsinformationen) verwenden und weitergeben.
Die HIPAA Privacy Rule definiert die betroffenen Organisationen als Abrechnungsstellen im Gesundheitswesen, Krankenkassen und Gesundheitsdienstleister.
Außerdem legt die Datenschutzrichtlinie Standards fest, wie Patienten die Verwendung ihrer Gesundheitsinformationen nachvollziehen und kontrollieren können, und gewährleistet deren Schutz. Gleichzeitig ermöglicht sie den Austausch von Gesundheitsdaten, der für eine qualitativ hochwertige Gesundheitspflege erforderlich ist. Sie erlaubt den Einsatz von Daten in erheblichem Umfang und schützt die Privatsphäre von Menschen, die medizinische Pflege in Anspruch nehmen.
Die Privacy Rule garantiert Einzelpersonen das Recht, auf Anfrage ihre PHI von den HIPAA-pflichtigen Gesundheitsdienstleistern zu erhalten.
Die betroffenen Organisationen sind außerdem verpflichtet, eine Vereinbarung mit einem HIPAA-Partner zu unterzeichnen. Sie schreibt spezifische Schutzmaßnahmen für die PHI vor, die der Partner verwendet oder weitergibt.
Welche Informationen schützt der HIPAA?
Gemäß der HIPAA-Privacy Rule sind alle identifizierbaren Gesundheitsdaten, die sich im Besitz einer betroffenen Organisation oder eines Geschäftspartners befinden, geschützt. Dabei handelt es sich um digitale, papierbasierte oder mündliche Informationen.
Wenn Gesundheitsinformationen mit einem persönlichen Identifikator kombiniert werden, werden sie zu PHI. Wir unterscheiden 18 HIPAA-Identifikatoren, darunter:
- Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, biometrische Identifikatoren, Web-URL und IP-Adresse
- Ein vergangener, gegenwärtiger oder zukünftiger körperlicher oder geistiger Gesundheitszustand
- Zahlungsinformationen über vergangene, gegenwärtige oder zukünftige Behandlungen
PHI sind eine Untergruppe der personenbezogenen Daten (PII), die sich ausdrücklich auf Informationen beziehen, die die HIPAA-pflichtigen Organisationen verarbeiten.
Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy- und HIPAA Security-Richtlinien zur Umsetzung der HIPAA-Anforderungen erlassen.
HIPAA-Sicherheitsrichtlinie (Security Rule)
Die Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsinformationen (Security Rule) legen eine Reihe von Pflichte für alle individuell identifizierbaren Gesundheitsinformationen fest, die eine betroffene Organisation in elektronischer Form erstellt, erhält, aufbewahrt oder überträgt. Diese Art von Informationen bezeichnet die Richtlinie als elektronisch geschützte Gesundheitsinformationen oder ePHI.
Um die HIPAA Security-Richtlinie einzuhalten, müssen die betroffenen Organisationen folgende Maßnahmen ergreifen:
- gewährleisten, dass alle ePHI integral, vertraulich und verfügbar bleiben
- vor unzulässiger Verwendung oder Offenlegung schützen, die die Regel nicht deckt
- erwartete Gefahren für die Datensicherheit erkennen und absichern
- die Compliance der Mitarbeiter zertifizieren
HIPAA definiert drei weitere wichtige Richtlinien für alle Organisationen (einschließlich Online-Software), die PHI speichern, aufzeichnen oder weitergeben:
Was Sie auch interessieren könnte: