top of page

HIPAA-Verzichtserklärung und Autorisierung

HIPAA-Verzicht auf Autorisierung: Wesentlich für den Datenschutz von Gesundheitsdaten und die Forschung



Wichtige Erkenntnisse


  • Eine HIPAA-Verzichtserklärung ist ein rechtliches Dokument, das die Weitergabe geschützter Gesundheitsinformationen und Daten an Dritte wie Forscher oder Familienangehörige unter Einhaltung der Datenschutzgesetze ermöglicht.
  • Geschützte Gesundheitsinformationen (PHI) sind alle Daten, die von Gesundheitseinrichtungen mit einer Person verknüpft werden.
  • Um eine Verzichtserklärung zu genehmigen, muss der Nutzen für die Forschung die Datenschutzrisiken überwiegen und für die Fortsetzung der Studie unerlässlich sein.
  • HIPAA definiert 18 Identifikatoren, die in Verbindung mit Gesundheitsinformationen PHI erzeugen.
  • Forscher müssen nachweisen, dass die Forschung ohne PHI nicht durchgeführt werden kann und die Verzichtserklärung für die Studie erforderlich ist.
  • Eine HIPAA-Verzichtserklärung (Authorization Waiver) ist ein rechtliches Dokument, das die Nutzung oder Offenlegung der Gesundheitsinformationen einer Person gegenüber Dritten erlaubt. Dies geschieht in der Regel für Gesundheitsforschung oder zur Weitergabe von Informationen an Familienangehörige. Ziel einer HIPAA-Verzichtserklärung ist es, die Weitergabe von Gesundheitsinformationen zu ermöglichen und gleichzeitig die Privatsphäre der Patienten zu schützen.
  • Die Verzichtserklärung ist Teil einer Reihe von Maßnahmen zum Schutz der Privatsphäre von Patienten, die im Health Insurance Portability and Accountability Act (HIPAA) von 1996 festgelegt sind. Die Gesundheitsinformationen einer Person gelten als personenbezogene Daten (PII). Um genehmigt zu werden, muss eine Verzichtserklärung bestimmte Kriterien erfüllen.


Die Rolle der HIPAA-Verzichtserklärung in der modernen Gesundheitsversorgung


Die HIPAA-Verzichtserklärung ermöglicht es Ärzten, Informationen über den Gesundheitszustand eines Patienten an Dritte weiterzugeben, z. B. an Forscher, Anwälte, andere Ärzte oder Familienangehörige. Sie wurde notwendig, da der Datenschutz im Gesundheitswesen im digitalen Zeitalter zunehmend in den Fokus gerückt ist; es ist viel einfacher für Ärzte, Patientengesundheitsdaten über das Internet zu übermitteln, als früher, als Unterlagen noch per Post oder Fax versendet werden mussten.

Patienteninformationen, die unter HIPAA fallen, werden als geschützte Gesundheitsinformationen (PHI) bezeichnet. Dabei handelt es sich um Informationen, die mit einer bestimmten Person verknüpft werden können und von einer abgedeckten Einrichtung wie einer Krankenversicherung, einem Gesundheitsdienstleister oder einer Gesundheitsabrechnungsstelle verwaltet werden. HIPAA definiert 18 spezifische Identifikatoren, die in Verbindung mit Gesundheitsinformationen PHI erzeugen. Die HIPAA-Vorschriften erlauben es Forschern, eine Genehmigung für den Zugriff und die Nutzung von PHI zu erhalten, wenn dies für die Durchführung von Forschungsarbeiten erforderlich ist.



Wie Forscher geschützte Gesundheitsinformationen (PHI) nutzen


Beispiele für Studien, die die Nutzung von PHI beinhalten, sind:

Studien, die die Überprüfung vorhandener Krankenakten umfassen, wie z. B. retrospektive Krankenaktenauswertungen oder andere Studien, die die Extraktion von Daten aus der Krankenakte der Probanden zu Forschungszwecken beinhalten.

Studien, die neue medizinische Informationen generieren, weil im Rahmen der Forschung eine Gesundheitsdienstleistung erbracht wird. Beispielsweise erstellen die meisten Studien, die einen Gesundheitszustand diagnostizieren oder neue Medikamente oder Geräte betreffen, PHI, die in die Krankenakte aufgenommen werden.

Es gibt einige zusätzliche Standards und Kriterien, die darauf abzielen, die Privatsphäre einer Person vor einer erneuten Identifizierung zu schützen. Beispielsweise darf ein Code, der verwendet wird, um die Identifikatoren in Datensätzen zu ersetzen, weder von Informationen abgeleitet sein, die sich auf die Person beziehen, noch von den Master-Codes, und auch die Methode zur Ableitung der Codes darf nicht offengelegt werden.



Wichtige Kriterien für die Erlangung einer HIPAA-Verzichtserklärung


Damit eine HIPAA-Verzichtserklärung für Forschungszwecke genehmigt werden kann, müssen drei Kriterien für die Nutzung privater Gesundheitsinformationen erfüllt sein: Die offenzulegenden Gesundheitsinformationen müssen ein minimales Risiko für die Privatsphäre der offenlegenden Partei darstellen; die Forscher müssen sicherstellen, dass die Forschungsaktivitäten ohne die Informationen nicht durchgeführt werden könnten; und die Forschung könnte ohne die Verzichtserklärung nicht praktikabel durchgeführt werden.1

Sollte ein Familienmitglied versuchen, die HIPAA-Regeln durch die Einschaltung eines Anwalts zu umgehen, in der Regel im Falle eines medizinischen Notfalls, muss der Patient bereits in seiner Vorsorgevollmacht für das Gesundheitswesen festgelegt haben, dass er ausdrücklich auf den durch HIPAA gebotenen Schutz verzichtet und dem speziell benannten „persönlichen Vertreter“ erlaubt, seine anderweitig privaten Gesundheitsinformationen zu erfahren.

bottom of page