Hipaa

Wichtige Erkenntnisse

• HIPAA schützt die Privatsphäre medizinischer Daten und legt Standards für den Datenaustausch im US-Gesundheitssystem fest.
• Die Nichteinhaltung der HIPAA-Gesetze kann rechtliche Konsequenzen nach sich ziehen.
• Der HITECH Act von 2009 erweiterte die Datenschutz- und Sicherheitsmaßnahmen von HIPAA für Patienten.
• Zukünftige Gesetze könnten auf dem Rahmen von HIPAA aufbauen, um Herausforderungen des Datenschutzes im digitalen Gesundheitswesen zu bewältigen.
• Bundesstaaten können eigene Gesetze erlassen, um Lücken zu schließen, die von HIPAA nicht abgedeckt werden.
• Erhalten Sie personalisierte, KI-gestützte Antworten, die auf über 27 Jahren vertrauenswürdiger Expertise basieren.

Was ist der Health Insurance Portability and Accountability Act (HIPAA)?

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz aus dem Jahr 1996, das den Schutz der Privatsphäre und Sicherheit von medizinischen Informationen Einzelner gewährleistet. Es änderte den Employee Retirement Income Security Act (ERISA) und den Public Health Service Act (PHSA) und beeinflusste, wie Krankenkassen, Leistungserbringer und Versicherer Aufzeichnungen verwalten und Daten austauschen. Spätere Aktualisierungen durch den HITECH Act erweiterten seine Schutzmaßnahmen, die weiterhin hochrelevant sind, da Gesundheitssysteme zunehmend auf digitale Aufzeichnungen angewiesen sind.1

Operativer Rahmen von HIPAA: Gewährleistung des Datenschutzes im Gesundheitswesen

HIPAA gilt für eine Liste von Einzelpersonen und Organisationen, die das Gesetz als „gedeckte Unternehmen" bezeichnet. Dazu gehören alle Gesundheitsdienstleister, unabhängig von Größe oder Art, die Gesundheitsinformationen im Zusammenhang mit bestimmten Transaktionen elektronisch übermitteln. HIPAA gilt beispielsweise für Gesundheitsdienstleister und Versicherer, Unternehmen, die Gesundheitsdaten speichern oder verwahren, sowie für Zahn-, Seh- und verschreibungspflichtige Arzneimittelversicherer.

HIPAA verpflichtete das US-Gesundheitsministerium (HHS) zur Schaffung neuer Vorschriften, die regeln, wie Gesundheitsdaten erhoben, genutzt und weitergegeben werden können. Ab 2022 hat das HHS zwei solcher Vorschriften veröffentlicht, die als Datenschutzregel (Privacy Rule) und Sicherheitsregel (Security Rule) bekannt sind.

Die Datenschutzregel definiert die Daten, die unter HIPAA geschützt sind, bekannt als geschützte Gesundheitsinformationen (PHI). Personenbezogene Gesundheitsinformationen (PHI) stellen alle Gesundheitsdaten dar, die identifizierende Informationen enthalten (z. B. Name, Adresse, Gesundheitszustand). Darüber hinaus können Gesundheitsorganisationen im Rahmen von HIPAA keine Sozialversicherungsnummern (SSN) mehr im Rahmen ihrer Datenerhebung anfordern.

Die Datenschutzregel zielt darauf ab, wichtige Verwendungen von PHI zu erlauben und gleichzeitig die Privatsphäre von Menschen zu schützen, die Pflege und Heilung suchen. Sie erlaubt Organisationen, PHI nur unter bestimmten Umständen ohne die Genehmigung einer Person zu nutzen und weiterzugeben.

Die Sicherheitsregel schützt eine Teilmenge der Informationen, die von der Datenschutzregel abgedeckt werden. Diese Informationen werden als elektronische geschützte Gesundheitsinformationen (e-PHI) bezeichnet. Die Sicherheitsregel gilt nicht für mündlich oder schriftlich übermittelte PHI. Sie verlangt von den Unternehmen, die Vertraulichkeit, Integrität und Verfügbarkeit aller e-PHI zu gewährleisten sowie sie vor Bedrohungen zu schützen.2

Eine Geschichte von HIPAA

Seit 1996 wurde HIPAA kontinuierlich modifiziert, um Verfahren zur sicheren elektronischen Speicherung und Weitergabe von Patienteninformationen zu integrieren.3 Es enthält auch Bestimmungen zur administrativen Vereinfachung, die darauf abzielen, die Effizienz zu steigern und Verwaltungskosten durch die Festlegung nationaler Standards zu senken.

Im Jahr 2009 erweiterte der Health Information Technology for Economic and Clinical Health Act (HITECH) die Datenschutz- und Sicherheitsvorkehrungen von HIPAA. Der HITECH Act wurde als Teil des American Recovery and Reinvestment Act von 2009 erlassen, um die Nutzung von Gesundheitstechnologie zu fördern. Ein Teil des HITECH Act befasst sich mit Datenschutz- und Sicherheitsbedenken.4

Eine neuere Aktualisierung der HIPAA-Regeln war die HIPAA Omnibus Rule von 2013, die neue Anforderungen einführte, die durch den Health Information Technology for Economic and Clinical Health (HITECH) Act vorgeschrieben wurden.5

Seitdem gab es viele Vorschläge zur Aktualisierung des Gesetzes. Einige der in Erwägung gezogenen Vorschläge umfassen:

Änderungen zum Schutz von Aufzeichnungen über Drogenmissbrauch und psychische Gesundheit

Änderungen zur Verbesserung der Pflegekoordination und des Fallmanagements für Patienten sowie zur stärkeren Einbeziehung von Familien und Pflegekräften in die Versorgung von Einzelpersonen

Änderungen, die den Zugang von Patienten zu ihren Gesundheitsdaten verbessern

Neue Flexibilitäten bei der Offenlegung von PHI in Notfällen und bedrohlichen Situationen

Verringerung des Verwaltungsaufwands von HIPAA für Gesundheitsorganisationen.6

Im Jahr 2018 berichtete Bloomberg Law über die Datenschutzrisiken, die mit digitalen Gesundheitsdaten einhergehen, und über die Wahrscheinlichkeit aktualisierter Bundesgesetze in naher Zukunft.7 In einem Zeitalter von Fitness-Tracking-Apps und GPS-verfolgten, teilbaren Daten zu allem, von der täglichen Schrittzahl einer Person bis zu ihrer durchschnittlichen Herzfrequenz, Medikamenten, Allergien und sogar Menstruationszyklen, gibt es neue Herausforderungen bei der Einhaltung von Standards zur Speicherung und zum Schutz persönlicher medizinischer Daten.

In einem Videointerview sagte Nan Halstead, Gesundheitsdatenschutz- und Sicherheitsanwältin bei Reed Smith LLP, dass zukünftige Gesetze wahrscheinlich nicht auf HIPAA aufbauen werden. Vielmehr werden sie den Rahmen von HIPAA als Modell nutzen, um neue Gesetze für den digitalen Sektor zu schaffen. Obwohl noch keine derartigen Bundesgesetze verabschiedet wurden, können die Bundesstaaten in der Zwischenzeit Gesetze erlassen, um die Lücke zu schließen. Darüber hinaus unterliegen Unternehmen, die Verbraucherdaten verfolgen, derzeit auch der Aufsicht durch Regulierungsbehörden wie der US-amerikanischen Food and Drug Administration (FDA) und der Federal Trade Commission (FTC).

Welche Informationen sind durch HIPAA geschützt?

Die HIPAA-Datenschutzregel schützt alle „individuell identifizierbaren Gesundheitsinformationen", die von einer gedeckten Einrichtung oder ihrem Geschäftspartner in beliebiger Form oder auf beliebigem Medium, ob elektronisch, papierbasiert oder mündlich, gehalten oder übermittelt werden. Die Datenschutzregel bezeichnet diese Informationen als „geschützte Gesundheitsinformationen (PHI)".

Wer muss HIPAA einhalten?

HIPAA definiert eine breite Palette von „gedeckten Unternehmen", die das Gesetz einhalten müssen. Dazu gehören Krankenkassen, darunter Krankenversicherungsgesellschaften, HMOs, betriebliche Krankenversicherungen und bestimmte staatliche Programme, die für die Gesundheitsversorgung zahlen, wie Medicare und Medicaid.

Welche Informationen sind von HIPAA ausgenommen?

Die HIPAA-Ausnahme erlaubt die Verwendung identifizierbarer Gesundheitsinformationen, wenn eine solche Verwendung für einen von drei Zwecken gemäß HIPAA geregelt ist: „Forschung", „Gesundheitsversorgungsbetrieb" oder „Aktivitäten und Zwecke des öffentlichen Gesundheitswesens".