Health Insurance Portability and Accountability Act (HIPAA)
Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 regelt den Datenschutz und die Datensicherheit für medizinische Informationen in den USA. Er stellt sicher, dass keine Gesundheitsinformationen über Patienten ohne deren Einwilligung oder Wissen weitergegeben werden.
Das HHS Office for Civil Rights setzt HIPAA durch, leitet Audits und verhängt Strafen bei Verstößen gegen das Gesetz. Die Strafen für Verstöße gegen HIPAA sind hauptsächlich finanzieller Art, können aber in schweren Fällen auch Haftstrafen beinhalten.
HIPAA-Compliance
Um den HIPAA einzuhalten, müssen Unternehmen, die mit geschützten Gesundheitsinformationen (engl. protected health information, PHI) arbeiten, physische, verfahrenstechnische und netzwerktechnische Sicherheitsmaßnahmen ergreifen. Alle Organisationen, die Behandlungen, Zahlungen und Verfahren im Gesundheitswesen anbieten, fallen unter den HIPAA. Geschäftspartner, die Zugang zu Patientendaten haben und Behandlung, Bezahlung oder Verfahren unterstützen, müssen ebenfalls die HIPAA-Pflichte erfüllen.
HIPAA-Datenschutzrichtlinie (Privacy Rule)
Die Privacy Rule regelt, wie betroffene Organisationen PHI (geschützte Gesundheitsinformationen) verwenden und weitergeben.
Die HIPAA Privacy Rule definiert die betroffenen Organisationen als Abrechnungsstellen im Gesundheitswesen, Krankenkassen und Gesundheitsdienstleister.
Außerdem legt die Datenschutzrichtlinie Standards fest, wie Patienten die Verwendung ihrer Gesundheitsinformationen nachvollziehen und kontrollieren können, und gewährleistet deren Schutz. Gleichzeitig ermöglicht sie den Austausch von Gesundheitsdaten, der für eine qualitativ hochwertige Gesundheitspflege erforderlich ist. Sie erlaubt den Einsatz von Daten in erheblichem Umfang und schützt die Privatsphäre von Menschen, die medizinische Pflege in Anspruch nehmen.
Die Privacy Rule garantiert Einzelpersonen das Recht, auf Anfrage ihre PHI von den HIPAA-pflichtigen Gesundheitsdienstleistern zu erhalten.
Die betroffenen Organisationen sind außerdem verpflichtet, eine Vereinbarung mit einem HIPAA-Partner zu unterzeichnen. Sie schreibt spezifische Schutzmaßnahmen für die PHI vor, die der Partner verwendet oder weitergibt.
Welche Informationen schützt der HIPAA?
Gemäß der HIPAA-Privacy Rule sind alle identifizierbaren Gesundheitsdaten, die sich im Besitz einer betroffenen Organisation oder eines Geschäftspartners befinden, geschützt. Dabei handelt es sich um digitale, papierbasierte oder mündliche Informationen.
Wenn Gesundheitsinformationen mit einem persönlichen Identifikator kombiniert werden, werden sie zu PHI. Wir unterscheiden 18 HIPAA-Identifikatoren, darunter:
- Name, Adresse, Geburtsdatum, Sozialversicherungsnummer, biometrische Identifikatoren, Web-URL und IP-Adresse
- Ein vergangener, gegenwärtiger oder zukünftiger körperlicher oder geistiger Gesundheitszustand
- Zahlungsinformationen über vergangene, gegenwärtige oder zukünftige Behandlungen
PHI sind eine Untergruppe der personenbezogenen Daten (PII), die sich ausdrücklich auf Informationen beziehen, die die HIPAA-pflichtigen Organisationen verarbeiten.
Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy- und HIPAA Security-Richtlinien zur Umsetzung der HIPAA-Anforderungen erlassen.
HIPAA-Sicherheitsrichtlinie (Security Rule)
Die Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsinformationen (Security Rule) legen eine Reihe von Pflichte für alle individuell identifizierbaren Gesundheitsinformationen fest, die eine betroffene Organisation in elektronischer Form erstellt, erhält, aufbewahrt oder überträgt. Diese Art von Informationen bezeichnet die Richtlinie als elektronisch geschützte Gesundheitsinformationen oder ePHI.
Um die HIPAA Security-Richtlinie einzuhalten, müssen die betroffenen Organisationen folgende Maßnahmen ergreifen:
- gewährleisten, dass alle ePHI integral, vertraulich und verfügbar bleiben
- vor unzulässiger Verwendung oder Offenlegung schützen, die die Regel nicht deckt
- erwartete Gefahren für die Datensicherheit erkennen und absichern
- die Compliance der Mitarbeiter zertifizieren
HIPAA definiert drei weitere wichtige Richtlinien für alle Organisationen (einschließlich Online-Software), die PHI speichern, aufzeichnen oder weitergeben:
Was Sie auch interessieren könnte:

September 19, 2023
Was ist Datenschutz?
Datenschutz ist heutzutage in jedermanns Mund. Kein Wunder: Jahr zu Jahr wächst das Bewusstsein der Menschen darüber, wie viele Daten täglich sie verschiedenen Anbietern preisgeben. Die Autoren des Buchs Die Zukunft von Privatheit und Selbstbestimmung sprechen sogar von massenhafter Verarbeitung personenbezogener Daten durch Konzerne wie Google oder Facebook. Und sie erfolgt schon seit Jahren.Aber das ist […]
Weiterlesen
September 7, 2023
Ist Google Analytics (3 und 4) DSGVO-konform? [Update]
Google Analytics (GA) ist bei Weitem die populärste Analytics Plattform auf dem Markt. Sie ist kostenlos und lässt Sie Website Traffic analysieren und wertvolle Daten über Userverhalten sammeln. Die Datenerhebung erfordert aber auch konformes Handeln unter den Datenschutzbestimmungen, wie die DSGVO. Da stellt sich die Frage: "Ist Google Analytics DSGVO-konform?” Die Antwort beschränkt sich hierbei […]
WeiterlesenWeitere Begriffe und Definitionen
Aktuelle Blog Artikel
- Was ist Datenschutz?
- Ist Google Analytics (3 und 4) DSGVO-konform? [Update]
- Datenschutz-Compliance in E-Commerce: Ein umfassender Guide
- Piwik PRO vs. Adobe Analytics: Vergleich von Analytics-Plattformen der Enterprise-Klasse
- Berichte in Google Analytics 4 und Piwik PRO Analytics Suite: Alles, was Sie wissen sollten