Health Insurance Portability and Accountability Act (HIPAA)

Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 regelt den Datenschutz und die Datensicherheit für medizinische Informationen in den USA. Er stellt sicher, dass keine Gesundheitsinformationen über Patienten ohne deren Einwilligung oder Wissen weitergegeben werden.

Das HHS Office for Civil Rights setzt HIPAA durch, leitet Audits und verhängt Strafen bei Verstößen gegen das Gesetz. Die Strafen für Verstöße gegen HIPAA sind hauptsächlich finanzieller Art, können aber in schweren Fällen auch Haftstrafen beinhalten.

HIPAA-Compliance

Um den HIPAA einzuhalten, müssen Unternehmen, die mit geschützten Gesundheitsinformationen (engl. protected health information, PHI) arbeiten, physische, verfahrenstechnische und netzwerktechnische Sicherheitsmaßnahmen ergreifen. Alle Organisationen, die Behandlungen, Zahlungen und Verfahren im Gesundheitswesen anbieten, fallen unter den HIPAA. Geschäftspartner, die Zugang zu Patientendaten haben und Behandlung, Bezahlung oder Verfahren unterstützen, müssen ebenfalls die HIPAA-Pflichte erfüllen.

HIPAA-Datenschutzrichtlinie (Privacy Rule)

Die Privacy Rule regelt, wie betroffene Organisationen PHI (geschützte Gesundheitsinformationen) verwenden und weitergeben.

Die HIPAA Privacy Rule definiert die betroffenen Organisationen als Abrechnungsstellen im Gesundheitswesen, Krankenkassen und Gesundheitsdienstleister.

Außerdem legt die Datenschutzrichtlinie Standards fest, wie Patienten die Verwendung ihrer Gesundheitsinformationen nachvollziehen und kontrollieren können, und gewährleistet deren Schutz. Gleichzeitig ermöglicht sie den Austausch von Gesundheitsdaten, der für eine qualitativ hochwertige Gesundheitspflege erforderlich ist. Sie erlaubt den Einsatz von Daten in erheblichem Umfang und schützt die Privatsphäre von Menschen, die medizinische Pflege in Anspruch nehmen.

Die Privacy Rule garantiert Einzelpersonen das Recht, auf Anfrage ihre PHI von den HIPAA-pflichtigen Gesundheitsdienstleistern zu erhalten.

Die betroffenen Organisationen sind außerdem verpflichtet, eine Vereinbarung mit einem HIPAA-Partner zu unterzeichnen. Sie schreibt spezifische Schutzmaßnahmen für die PHI vor, die der Partner verwendet oder weitergibt.

Welche Informationen schützt der HIPAA?

Gemäß der HIPAA-Privacy Rule sind alle identifizierbaren Gesundheitsdaten, die sich im Besitz einer betroffenen Organisation oder eines Geschäftspartners befinden, geschützt. Dabei handelt es sich um digitale, papierbasierte oder mündliche Informationen.

Wenn Gesundheitsinformationen mit einem persönlichen Identifikator kombiniert werden, werden sie zu PHI. Wir unterscheiden 18 HIPAA-Identifikatoren, darunter:

  • Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, biometrische Identifikatoren, Web-URL und IP-Adresse
  • Ein vergangener, gegenwärtiger oder zukünftiger körperlicher oder geistiger Gesundheitszustand
  • Zahlungsinformationen über vergangene, gegenwärtige oder zukünftige Behandlungen

PHI sind eine Untergruppe der personenbezogenen Daten (PII), die sich ausdrücklich auf Informationen beziehen, die die HIPAA-pflichtigen Organisationen verarbeiten.

Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy- und HIPAA Security-Richtlinien zur Umsetzung der HIPAA-Anforderungen erlassen.

HIPAA-Sicherheitsrichtlinie (Security Rule)

Die Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsinformationen (Security Rule) legen eine Reihe von Pflichte für alle individuell identifizierbaren Gesundheitsinformationen fest, die eine betroffene Organisation in elektronischer Form erstellt, erhält, aufbewahrt oder überträgt. Diese Art von Informationen bezeichnet die Richtlinie als elektronisch geschützte Gesundheitsinformationen oder ePHI.

Um die HIPAA Security-Richtlinie einzuhalten, müssen die betroffenen Organisationen folgende Maßnahmen ergreifen:

  • gewährleisten, dass alle ePHI integral, vertraulich und verfügbar bleiben
  • vor unzulässiger Verwendung oder Offenlegung schützen, die die Regel nicht deckt
  • erwartete Gefahren für die Datensicherheit erkennen und absichern
  • die Compliance der Mitarbeiter zertifizieren

HIPAA definiert drei weitere wichtige Richtlinien für alle Organisationen (einschließlich Online-Software), die PHI speichern, aufzeichnen oder weitergeben:

Was Sie auch interessieren könnte:


  • Neue Preisstruktur von Piwik PRO: Skalierbare Preise für skalierbares Wachstum 

    Unternehmen haben ihre Methoden grundlegend verändert, wie sie Daten sammeln und nutzen. Moderne Organisationen setzen auf vertrauenswürdige Datensätze, vollständige Transparenz entlang der Customer Journey und eine ethische Datenerhebung – alles in einer Plattform, die umfassende Analytics- und Datenaktivierung-Funktionen vereint. Um diesem Trend gerecht zu werden, stellen wir wichtige Updates rund um unsere Plattform vor. In…

  • E-Commerce Customer Journey

    Warum Shopify-Shops auf datenschutzkonforme Analysen umsteigen sollten

    Warum herkömmliche Analytics-Plattformen für Shopify-Shops problematisch sind Shopify-Shop-Betreiber analysieren ihre Daten, um Verkaufszahlen im Blick zu behalten, Kunden besser zu verstehen und den Erfolg ihres Marketings zu messen. Google Analytics & Co. waren dabei lange der Standard. Doch Datenschutzgesetze wie DSGVO, CCPA und die ePrivacy-Richtlinie sowie das steigende Bewusstsein der Verbraucher verändern die Spielregeln. Händler,…