Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) ist ein US-Bundesgesetz zum Schutz sensibler Gesundheitsdaten von Patienten. Das primäre Compliance-Ziel der HIPAA besteht darin, die Gesundheitsinformationen der Menschen zu sichern, ohne den freien Informationsfluss zu beeinträchtigen, der für eine qualitativ hochwertige Gesundheitsversorgung der Patienten erforderlich ist.
Obwohl das Gesetz seit 1996 in Kraft getreten ist, registriert das US-Gesundheitsministerium für Bürgerrechte weiterhin Fälle von Verstößen zu Tausenden. In diesem Artikel werden kritische Aspekte der HIPAA und der Datenschutzregel beschrieben. Die Vorsichtsmaßnahmen, die Sie als Gesundheitsdienstleister, Gesundheitsplanagentur oder Geschäftspartner treffen sollten, um Sanktionen zu vermeiden.
Was ist das Gesetz über die Portabilität und Rechenschaftpflicht von Krankenversicherungen (HIPAA)?
Vor vierundzwanzig Jahren, genau am 21. August 1996, unterzeichnete Präsident Bill Clinton das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen(Öffentliches Recht 104-191). Das Kennedy-Kassebaum-Gesetz (ein anderer Name für HIPAA) besteht aus fünf Titeln. Titel I, III, IV und V der HIPAA befassen sich mit Krankenversicherungsplänen, Versicherungsschutz, medizinischen Ersparnissen und steuerlichen Fragen. Titel II der HIPAA konzentriert sich jedoch auf die Stärkung der Datensicherheit, um Betrug im Gesundheitswesen und Missbrauch von Patienteninformationen zu verhindern.Die Verwaltungsvereinfachungsregeln, eine Teilmenge von Titel II, scheinen die wichtigste Bestimmung zu sein. Es enthält die Richtlinien für den Umgang mit geschützten Gesundheitsinformationen.
Was ist die HIPAA-Compliance-Datenschutzregel?
HIPAA Compliance Privacy Rule, auch als „Standards für den Datenschutz individuell identifizierbarer Gesundheitsinformationen“ bezeichnet. Die HIPAA befasst sich mit der Verwendung und Offenlegung von Gesundheitsinformationen durch Einzelpersonen durch bestimmte Einrichtungen oder Organisationen. Seit Anfang April 2003 sind Unternehmen verpflichtet, die Einhaltung dieser Regeln nachzuweisen. In diesem Artikel bezieht sich der Begriff „abgedeckte Einheiten“ auf Organisationen und Einzelpersonen, die in der Regel angesprochen werden.
Ähnlich wie bei der Allgemeinen Datenschutzverordnung (GDPR),enthält die HIPAA-Datenschutzregel Anforderungen an das Recht des Einzelnen, zu verstehen, wie seine medizinischen Informationen verwendet werden, und diese Verwendung zu kontrollieren. Abgedeckte Unternehmen können Gesundheitsinformationen mit Bedacht erhalten und verwenden, dürfen diese Daten jedoch nicht ohne Genehmigung offenlegen oder übertragen.
Was sind die “Gedeckte Unternehmen” unter HIPAA?
Die Datenschutzregel umfasst eine ausgewählte Kategorie von Personen und Organisationen. Diese sind:
- Gesundheitsdienstleister: Unabhängig von der Größe des Betriebs sind Gesundheitsdienstleister, die medizinische Informationen zu bestimmten Transaktionen digital übermitteln, verpflichtet, die Datenschutzbestimmungen einzuhalten. Zu diesen Transaktionen gehören Ansprüche, Anfragen zur Leistungsberechtigung usw. und andere Transaktionen, die in der HIPAA-Transaktionsregel aufgeführt sind. Gesundheitsdienstleister haben institutionelle Anbieter (wie Krankenhäuser) und nicht-institutionelle Anbieter (einschließlich Ärzte, Zahnärzte usw.).
- Anbieter von Gesundheitsplänen: Gesundheitspläne sind in der heutigen Welt weit verbreitet. Sie werden manchmal von Krankenkassen gehandhabt oder von der Regierung gesponsert. Von Arbeitgebern gesponserte Gruppengesundheitspläne fallen ebenfalls unter die Anbieter von Gesundheitsplänen. Ein Gesundheitsplan kann ein Visions-, Zahn- oder allgemeinmedizinischer Plan sein. Für Einrichtungen oder Organisationen, die die Kosten für die Gesundheitsversorgung übernehmen, hat das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen Compliance-Richtlinien festgelegt, um die Verwendung der Gesundheitsinformationen des Patienten in Reichweite zu steuern. Inzwischen gibt es bestimmte Ausnahmen von Gesundheitsplänen, die unter die Regel fallen. Beispielsweise fallen Gruppengesundheitspläne mit nicht bis zu 50 Teilnehmern aus dieser Kategorisierung heraus. Einige von der Regierung geförderte Pläne fallen ebenfalls nicht unter diese Kategorie. Sie sind:
(a) Gesundheitspläne, die keine direkten Kosten für die Gesundheitsversorgung vorsehen, z. B. Lebensmittelmarkenprogramme
(b) Programs that directly provide health care, such as community health centers. - Clearingstellen im Gesundheitswesen: sind öffentliche oder private Drittagenturen, die nicht standardisierte Transaktionen oder Daten zu Standarddatenelementen oder -transaktionen verarbeiten. In den meisten Fällen erhalten Clearingstellen im Gesundheitswesen Gesundheitsdaten, wenn sie als Geschäftspartner Dienstleistungen für Gesundheitsdienstleister oder Gesundheitspläne erbringen. Abrechnungsdienste, kommunale Gesundheitsmanagement-Informationssysteme, Repricing-Unternehmen usw. sind Beispiele für Clearingstellen im Gesundheitswesen.
Wann ist die Offenlegung von Daten erforderlich?
Wie das Gesetz über Kommunikation und Barrierefreiheit (CVAA) bietet auch das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen Flexibilität in seinen Datenschutzbestimmungen. Soweit es Unternehmen verboten ist, Patientendaten offenzulegen, sehen die HIPAA-Datenschutzstandards zwei Ausnahmen vor.
Wenn die Offenlegung von Gesundheitsdaten erforderlich ist, ist die erste Gelegenheit, wenn eine Person die fraglichen Daten besitzt, um ihre Informationen anzufordern. Sollte der Human Health Service Dateninformationen für Compliance-Untersuchungen oder Durchsetzungsverfahren anfordern, muss die HIPAA diese Informationen preisgeben.
Die allgemeine Regel in Bezug auf Gesundheitsinformationen lautet, dass Gesundheitsdaten auf verantwortungsvolle und autorisierte Weise „zulässig“ sind. Zu jeder allgemeinen Regel gibt es jedoch Ausnahmen. Daraus folgt, dass das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen es Unternehmen ermöglicht, sensible Gesundheitsinformationen ohne die Erlaubnis des Einzelnen in bestimmten Situationen und für bestimmte Zwecke zu verwenden und offenzulegen, von denen einige Folgendes umfassen:
- Operationen im Gesundheitswesen, einschließlich Behandlung oder Überweisung, Zahlung oder Erstattung von Gesundheitsleistungen usw.
- Wenn das öffentliche Interesse betroffen ist, insbesondere wenn es sich auf einen der 12 nationalen Prioritätszwecke bezieht (für Strafverfolgung, Gerichtsbeschluss, Verwaltungs- oder Gerichtsverfahren, im Fall von Missbrauch, Vernachlässigung oder häuslicher Gewalt, Forschungszweck usw.). In der Zwischenzeit gibt es keine Einschränkungen für die Offenlegung oder Verwendung von nicht identifizierten Gesundheitsinformationen. das heißt, Gesundheitsinformationen, die keinen vernünftigen Grund für die Identifizierung bieten. Die Deidentifizierung kann durch Entfernen spezifischer Schlüsselkennungen der Person erfolgen. Möglicherweise ist ein ausgebildeter Statistiker erforderlich, um den Entidentifizierungsprozess zu bestimmen.
HIPAA-Konformitäts-Checkliste für Webseites
Die HIPAA-Sicherheitsregel ist eine Schwesterregelung der Datenschutzregel. Der Hauptunterschied zwischen beiden besteht darin, dass die Sicherheitsregel ausschließlich Gesundheitsinformationen behandelt, die von den betroffenen Unternehmen elektronisch erstellt, empfangen, gespeichert oder gesendet werden. Die Sicherheitsregel bezieht sich auf Daten wie „elektronisch geschützte Gesundheitsinformationen (e-PHI). “In der Regel müssen abgedeckte Unternehmen alle elektronisch geschützten Gesundheitsinformationen (e-PHI) vertraulich behandeln, wenn sie erstellt, empfangen, gesendet oder gespeichert werden.
In dieser Zeit und in diesem Alter erfolgt die Datenerfassung, -verarbeitung und -erfassung im Internet, und Gesundheitsdaten sind keine Ausnahme. Gesundheitssysteme verwenden elektronische Patientenakten (EHR) und andere klinische Anwendungen, die mit potenziellen Sicherheitsrisiken verbunden sind. In diesem Fall müssen Gesundheitseinrichtungen (Krankenhäuser und Clearingstellen) und Gesundheitsdienstleister „individuell identifizierbare Gesundheitsinformationen“ schützen.
Da das Internet der unbestrittene Basisdatenzugriffspunkt ist, fallen Einheiten unter die HIPAA. Die HIPAA-Datenschutzregel muss sichere Websites betreiben. Die folgenden Punkte sind in der Checkliste zur Einhaltung der HIPAA-Website zu beachten.
HIPAA-Konformitäts-Checkliste
- Erhalten Sie einen SSL-Schutz: Secure Sockets Layer (SSL) ist eine sichere Wahl für E-Commerce-Websites, auf denen Benutzerdaten erfasst werden. Durch die Verwendung der SSL-Verschlüsselung können abgedeckte Unternehmen sicherstellen, dass alle auf ihrer Website aufgezeichneten und übertragenen Daten sicher und privat bleiben. Außerdem erhöht ein SSL-Zertifikat das Vertrauen in Sie. Da es Ihre Identität festlegt und gleichzeitig die Sicherheit zwischen Netzwerken oder Geräten gewährleistet. Ein SSL-Zertifikat (Secure Server Layer) schützt eine Vielzahl von Informationen. Es enthält Krankenakten, Anmeldeinformationen, identifizierbare persönliche Informationen, Namen, Privatadresse, Telefonnummer sowie Kreditkarten- oder Bankinformationen.
- Vollständige Datenverschlüsselung aktivieren: Das Verschlüsseln gespeicherter Daten ist ein guter Weg, um sicherzustellen, dass nicht autorisierte Personen nicht in vertrauliche Clientinformationen eingreifen.
- Häufige Aktualisierung der Anmeldeinformationen: Eine gute Web-Sicherheitspraxis besteht darin, die Anmeldeinformationen so häufig wie möglich zu ändern, um die Sicherheit häufig zu erhöhen.
- Beschränken Sie die Zugriffskontrolle auf Teammitglieder und bei Bedarf auf Auftragnehmer. Als bewährte Methode sollte der Zugriff auf das Hauptkonto für eine Person vertraulich sein, wer auch immer dies sein mag.
- Aktualisieren Sie Sicherheitssoftware und Firewalls
- Erstellen Sie ein Datenverletzungsprotokoll für alle Fälle
- Stellen Sie trotz Datenverschlüsselung und Firewall-Sicherheit eine vollständige Datensicherung sicher.
Einhaltung des Gesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen
Die Einhaltung der HIPAA ist eine ethische Verpflichtung. Dies rettet nicht nur den Ruf des Unternehmens, sondern verhindert auch exorbitante Bußgelder. Seit dem Inkrafttreten hat das US-amerikanische Amt für Bürgerrechte Geldstrafen verhängt das sind nicht weniger als 135 Millionen USD. Interessanterweise ist die Einhaltung der HIPAA nicht unmöglich, vorausgesetzt, Sie sind entschlossen, dies zu tun.
- Schaffen Sie ein internes Bewusstsein: “Ein gegen sich selbst geteiltes Haus wird nicht bestehen” ist ein relevantes Sprichwort für die Einhaltung der Sicherheitsregel der HIPAA. Stellen Sie sicher, dass die Bemühungen Ihres Unternehmens zur Umsetzung dieser Richtlinien erfolgreich sind. Durch Orientierung und ständige Weiterbildung ist Ihr Team besser positioniert, um alle erforderlichen Vorschriften einzuhalten.
- Festlegen eines Datenschutzbeauftragten: Eine Aufgabe für alle kann als Aufgabe für niemanden enden. Die geschützten Gesundheitsinformationen (PHI) der Kunden sind vertrauliche Daten, die Ihre Behörde genau überwachen sollte. Der beste Mann für diesen Job ist ein Datenschutzbeauftragter, der seine Zeit und Ressourcen in diese heilige Verantwortung investiert. Neben der Überwachung der Kundendaten muss der Datenschutzbeauftragte auch Richtlinien und Verfahren zum Schutz der Privatsphäre entwickeln und implementieren.
- Regelmäßige Risikobewertung durchführen: Die Sicherheitsregel fordert betroffene Organisationen auf, eine Risikobewertung durchzuführen, um wahrscheinliche Sicherheitsbedrohungen für e-HPI zu bewerten. Eine gute Sache bei der regelmäßigen Risikobewertung ist, dass sie die Sicherheit erhöht, indem sie Sie über potenzielle Gefahren informiert und vor diesen schützt. Vorbeugung ist besser als Heilung.
Fazit
Das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen enthält Richtlinien zum Schutz der medizinischen Daten von Patienten vor Betrug und Missbrauch, ohne die Qualität der Gesundheitsversorgung zu beeinträchtigen. Daher müssen betroffene Unternehmen nachweisen, dass die verschiedenen Regeln der HIPAA auf administrativer, technischer und physischer Ebene eingehalten werden, um ein wirksames Ergebnis zu erzielen. Angesichts der zunehmenden Cyberkriminalität müssen Gesundheitsdienstleister, Gesundheitsplaninstitutionen und Geschäftspartner strenge Internet-Sicherheitspraktiken implementieren. Dies umfasst den SSL-Schutz, die Datenverschlüsselung und die Bereitstellung eines Protokolls für Datenverletzungen. Verstehen Sie wichtigere internationale Richtlinien und Vorschriften im Jahr 2021 wie GDPR, CVAA und WCAG.