Was ist der Health Insurance Portability and Accountability Act (HIPAA)?

HIPAA (Health Insurance Portability and Accountability Act) ist ein US-amerikanisches Gesetz, das nationale Standards zum Schutz von Gesundheitsdaten vor Offenlegung ohne Zustimmung oder Wissen der Patienten festlegt.

Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) im Überblick

Der Health Insurance Portability and Accountability Act wurde am 21. August 1996 erlassen. Das Hauptziel des HIPAA bestand darin, die Gesundheitsdaten von Patienten zu schützen und gleichzeitig sicherzustellen, dass ihr Krankenversicherungsschutz bei Ereignissen wie einem Arbeitsplatzwechsel oder -verlust aufrechterhalten werden kann.

Die Bedeutung von HIPAA nahm im digitalen Zeitalter zu, da die Einführung elektronischer Patientenakten zunimmt und auch im Gesundheitsbereich immer häufiger Cybersicherheitsbedrohungen auftreten.

HIPAA ist von grundlegender Bedeutung für die Einführung standardisierter Prozesse im Gesundheitswesen, um elektronisch gespeicherte Daten über den Gesundheitszustand, die Behandlung und die Bezahlung einer Person zu schützen.

HIPAA stellt sicher, dass Unternehmen mit geschützten Gesundheitsdaten sorgfältig und vertraulich umgehen, was nicht nur Einzelpersonen vor dem möglichen Missbrauch sensibler Daten schützt, sondern auch das Vertrauen in das Gesundheitssystem fördert. Das Ziel von HIPAA ist es einerseits, Patientendaten zu schützen, und andererseits, den notwendigen Datenfluss zu ermöglichen, um eine qualitativ hochwertige Gesundheitsversorgung zu gewährleisten und die öffentliche Gesundheit zu schützen.

Drei Hauptziele von HIPAA

• Vereinfachung der Verwaltung im Gesundheitswesen
  HIPAA zielt darauf ab, Transaktionen im Gesundheitswesen zu standardisieren. Es schreibt die Verwendung standardisierter Formate für den elektronischen Datenaustausch (EDI) für Transaktionen im Gesundheitswesen vor, einschließlich Rechnungsstellung und Zahlungen, um die Effizienz zu verbessern und die Verwaltungskosten zu senken.
• Portabilität der Versicherung
  Einer der ursprünglichen Beweggründe für die Verabschiedung des HIPAA war es, sicherzustellen, dass Menschen ihren Krankenversicherungsschutz auch bei einem Arbeitsplatzwechsel beibehalten können. Dieser Aspekt, der Portabilität genannt wird, verringert das Risiko, dass die Krankenversicherung aufgrund von Ausschlüssen für Vorerkrankungen oder Deckungslücken beim Arbeitsplatzwechsel verloren geht.
• Verringerung von Betrug im Gesundheitswesen
  HIPAA führte Maßnahmen zur Reduktion von Verschwendung, Betrug und Missbrauch in der gesamten Gesundheits- und Krankenversicherungsbranche ein. Er sieht Strafen für Betrug vor und führte zur Entwicklung von Richtlinien und Verfahren, die Gesundheitsorganisationen befolgen müssen, um betrügerische Aktivitäten zu verhindern.

HIPAA-Schlüsselkomponenten

Die vielleicht bekanntesten Bestimmungen des HIPAA betreffen den Datenschutz und die Sicherheit der Gesundheitsdaten von Einzelpersonen. Diese sind in der HIPAA-Regel zur Benachrichtigung bei Datenschutzverletzungen, der HIPAA-Durchsetzungsregel, der HIPAA-Datenschutzregel und der HIPAA-Sicherheitsregel enthalten.

HIPAA-Regel zur Benachrichtigung bei Datenschutzverletzungen wurde 2009 als Teil des Health Information Technology for Economic and Clinical Health (HITECH)-Gesetzes erlassen. Einrichtungen, die HIPAA unterliegen und ihre Geschäftspartner sind verpflichtet, betroffene Personen nach einer Datenschutzverletzung, bei der geschützte Gesundheitsdaten kompromittiert wurden, zu benachrichtigen. Die konkreten Fristen und Methoden für diese Benachrichtigung hängen von der Art der Datenschutzverletzung und der Anzahl der betroffenen Personen ab.

Die HIPAA-Durchsetzungsregel erteilt dem Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (HHS) über sein Amt für Bürgerrechte (OCR) die Befugnis, Beschwerden gegen Einrichtungen, die dem HIPAA unterliegen, und deren Geschäftspartner zu untersuchen, falls diese die HIPAA-Vorschriften nicht einhalten. Dies umfasst auch die Verhängung von Strafen bei Nichteinhaltung.

Die HIPAA-Datenschutzrichtlinie legt Standards fest, die Einrichtungen, die dem HIPAA unterlegen, befolgen müssen, um die medizinischen Unterlagen und andere geschützte Gesundheitsdaten von Personen zu schützen.

Die HIPAA-Sicherheitsregel unterstützt die Datenschutzvorschrift, indem sie nationale Sicherheitsstandards für den Schutz von Gesundheitsdaten festlegt, die in elektronischer Form gespeichert oder übertragen werden.

Individuelle Rechte, die durch HIPAA gewährt werden

Der HIPAA gewährt Einzelpersonen eine Reihe von Rechten in Bezug auf den Zugriff und die Kontrolle über ihre geschützten Gesundheitsdaten, darunter:

• Recht auf Einsichtnahme und Erhalt einer Kopie der Gesundheitsakte
  Personen haben das Recht, ihre Gesundheitsakte einzusehen. Ziel ist es, Transparenz und die Beteiligung der Patienten an ihrer Gesundheitsversorgung zu gewährleisten.
• Recht auf Einreichung von Beschwerden
  Wenn Personen glauben, dass ihre Rechte verletzt werden oder ihre Gesundheitsdaten nicht geschützt sind, können sie eine Beschwerde bei ihrem Dienstleister, Versicherer oder dem US-amerikanischen Gesundheitsministerium einreichen.
• Recht auf Erhalt eines Offenlegungsberichts
  Personen können einen Bericht anfordern, der detailliert aufzeigt, wer auf ihre Gesundheitsdaten zugegriffen hat.
• Recht auf vertrauliche Kommunikation
  Personen können verlangen, dass ihre Gesundheitsdaten auf alternativen Wegen oder an alternativen Orten übermittelt werden, um die Vertraulichkeit zu gewährleisten.
• Recht auf Berichtigung
  Wenn Personen glauben, dass ihre Gesundheitsakte fehlerhaft ist, können sie eine Änderung dieser Akte beantragen.

Vorteile von HIPAA für Einzelpersonen

Einzelpersonen bietet HIPAA mehrere Vorteile, darunter:

• Datenschutzbestimmungen stellen sicher, dass sensible Gesundheitsdaten nur mit Zustimmung der betroffenen Person und zum Zweck der Behandlung, Bezahlung und des Gesundheitsbetriebs weitergegeben werden, sofern gesetzlich nicht anders zulässig oder vorgeschrieben.
• Der Zugriff auf Unterlagen ermöglicht es Einzelpersonen, auf ihre medizinischen Unterlagen zuzugreifen, Kopien anzufordern und Änderungen vorzunehmen.
• Es wurden Grenzen dafür festgelegt, wie Gesundheitsdaten ohne die ausdrückliche Zustimmung einer Person für Marketing, Fundraising und andere Zwecke verwendet werden dürfen.
• Sicherheitsmaßnahmen geben die Gewissheit, dass Gesundheitsdienstleister und Versicherer Maßnahmen zum Schutz von Gesundheitsdaten ergreifen – insbesondere in digitaler Form.

Die HIPAA-Datenschutzregel

Die HIPAA-Datenschutzregel legte nationale Standards zum Schutz der medizinischen Unterlagen und anderer geschützter Gesundheitsdaten fest. Sie wurde Ende 2000 eingeführt und trat 2003 in Kraft. Die HIPAA-Datenschutzregel wurde aufgrund wachsender Bedenken hinsichtlich der Notwendigkeit der Sicherstellung der Privatsphäre und der Sicherheit von Gesundheitsdaten eingeführt, da sich die Gesundheitsversorgung zunehmend auf elektronische Systeme verlagerte.

Unternehmen, die der HIPAA-Datenschutzrichtlinie unterliegen

• Gesundheitsdienstleister
  Jede Person oder Organisation, die personenbezogene Gesundheitsdaten in elektronischer Form übermittelt. Zu den Gesundheitsdienstleistern gehören Ärzte, Kliniken, Psychologen, Zahnärzte, Chiropraktiker, Pflegeheime und Apotheken.
• Clearingstellen im Gesundheitswesen
  Als Clearingstelle im Gesundheitswesen gilt jede Einrichtung, die nicht standardisierte Gesundheitsdaten in ein standardisiertes elektronisches Format oder in Dateninhalte umwandelt oder umgekehrt. Dies können Abrechnungsdienste und Informationssysteme für das kommunale Gesundheitsmanagement sein.
• Krankenkassen
  Gemäß HIPAA umfassen Krankenkassen Krankenversicherungen, betriebliche Gesundheitsversicherungen, HMOs (Health Maintenance Organizations) und staatliche Programme wie Medicaid und Medicare.
• Geschäftspartner
  Ein Geschäftspartner sind Unternehmen bzw. Personen, die mit einem betroffenen Unternehmen zusammenarbeiten oder für dieses Dienstleistungen erbringen, während geschützte Gesundheitsdaten verarbeitet werden.

Erlaubte Nutzung und Weitergabe von geschützten Gesundheitsdaten gemäß HIPAA

Laut der HIPAA-Datenschutzregel dürfen die betroffenen Unternehmen geschützte Gesundheitsdaten ohne die Zustimmung einer Person für die unten aufgeführten Zwecke verwenden und weitergeben. Für alle anderen Zwecke schreibt die HIPAA-Datenschutzregel vor, dass die betroffenen Stellen die schriftliche Zustimmung der Betroffenen einholen müssen, bevor sie ihre geschützten Gesundheitsdaten verwenden oder weitergeben.

• Unerwünschte Verwendung und Weitergabe
  Eine zulässige Weitergabe ist unter Einhaltung der angemessenen Sicherheitsvorkehrungen (z. B. leise sprechen, private Räume für sensible Gespräche oder sicherstellen, dass medizinische Daten auf Bildschirmen für Unbefugte nicht sichtbar sind) erlaubt. Wenn zum Beispiel ein Arzt mit einer Krankenschwester in einem Gemeinschaftsbüro die Behandlung eines Patienten bespricht, könnte dieses Gespräch von einem anderen Patienten mitgehört werden. Solange jedoch angemessene Sicherheitsvorkehrungen getroffen werden, um eine solche Gefährdung zu minimieren, sind zufälligen Offenlegungen nach dem HIPAA zulässig.
• Benachrichtigung
  Geschützte Gesundheitsdaten können für Benachrichtigungszwecke verwendet oder weitergegeben werden, z. B. um ein Familienmitglied, einen persönlichen Vertreter oder andere Personen, die für die Pflege der Person verantwortlich sind, zu identifizieren oder ausfindig zu machen.
• Möglichkeit zur Zustimmung oder zum Widerspruch
  In bestimmten Situationen kann eine betroffene Einrichtung geschützte Gesundheitsdaten weitergeben, wenn die betroffene Person anwesend ist und die Möglichkeit hat, der Weitergabe ihrer Daten zuzustimmen oder sie abzulehnen. Ein Beispiel hierfür ist die Besprechung der Behandlung eines Patienten in Anwesenheit eines Familienmitglieds.
• Bezahlung
  Geschützte Gesundheitsdaten können verwendet und weitergegeben werden, um sich für Gesundheitsdienstleistungen bezahlen zu lassen. Ein Beispiel ist die Abrechnung der Behandlung eines Patienten mit einer Krankenkasse.
• Aktivitäten von öffentlichem Interesse und Nutzen
  Geschützte Gesundheitsdaten können für verschiedene öffentliche Interessen und Nutzen offengelegt werden, z. B. für Aktivitäten des öffentlichen Gesundheitswesens, die Meldung von Opfern von Missbrauch, Vernachlässigung oder häuslicher Gewalt und für Aktivitäten der Gesundheitsaufsicht.
• Behandlung
  Geschützte Gesundheitsdaten können zwischen Gesundheitsdienstleistern ausgetauscht werden, die an der Behandlung einer Person beteiligt sind. Ein Beispiel dafür ist ein Hausarzt, der Informationen über den Zustand eines Patienten mit einem Facharzt austauscht, um einen Behandlungsplan zu erstellen.

HIPAA-Sicherheitsregel

Die HIPAA-Sicherheitsregel wurde 2005 als Ergänzung zur Datenschutzregel eingeführt. Sie legt nationale Sicherheitsstandards für den Schutz von Gesundheitsdaten fest, die in elektronischer Form gespeichert oder übertragen werden.

Nach der HIPAA-Sicherheitsregel müssen Unternehmen, die HIPAA unterliegen, angemessene administrative, physische und technische Schutzmaßnahmen ergreifen, um die Vertraulichkeit, Integrität und Sicherheit elektronischer geschützter Gesundheitsdaten zu gewährleisten.

Diese Schutzmaßnahmen reichen von Mitarbeiterschulungen und Zugangskontrollen bis hin zur verschlüsselten Übertragung von Daten.

Wo gibt es weitere Ressourcen zu HIPAA?

Allen, die mehr über den HIPAA erfahren möchten, stellt die US-amerikanische Regierung die folgenden Ressourcen mit Richtlinien und Compliance-Anforderungen zur Verfügung, die erklären, wie der korrekte Umgang mit sensiblen Patientendaten sichergestellt werden kann.

American Medical Association (AMA)
Stellt Anleitungen, Checklisten und Tools zur Verfügung, die erklären, was Gesundheitsdienstleister tun müssen, um die Einhaltung der HIPAA-Vorschriften zu gewährleisten.

Centers for Medicare & Medicaid Services (CMS)
Stellen Informationen über Standards für Transaktionen zur Einhaltung des HIPAA, Sicherheit und Datenschutz zur Verfügung und unterstützen Gesundheitsdienstleister, Kostenträger und Abrechnungsstellen.

HealthIT.gov
Erläutert die IT-Systeme im Gesundheitswesen, über die Unternehmen verfügen müssen, um die Privatsphäre und Sicherheit der Patienten gemäß den HIPAA-Anforderungen zu gewährleisten.

Office for Civil Rights (OCR) Privacy Rule Guidance
Erläutert die HIPAA-Datenschutzbestimmungen und erklärt, wie HIPAA die medizinischen Unterlagen und andere Gesundheitsdaten von Personen schützt.

U.S. Department of Health & Human Services (HHS)
Enthält umfassende Informationen zu HIPAA-Vorschriften, Compliance und Durchsetzung sowie Richtlinien, die betroffene Einrichtungen und Geschäftspartner zum Schutz von geschützten Gesundheitsdaten befolgen müssen.

Häufig gestellte Fragen zu HIPAA

Hier findest du die Antworten auf einige häufig gestellte Fragen zu HIPAA.

Was ist die Funktion von HIPAA?

Die Hauptfunktion des HIPAA ist der Schutz und die Sicherung der Privatsphäre einer Person und gleichzeitig die Gewährleistung, dass der Krankenversicherungsschutz bei größeren Veränderungen im Leben, wie z. B. einem Arbeitsplatzwechsel oder -verlust, erhalten bleibt. Mehrere Kernvorschriften unterstützen gemeinsam das Ziel des HIPAA, indem sie die Effizienz des Gesundheitssystems erhöhen, die Datenschutzrechte der Patienten schützen und die Zuverlässigkeit und Übertragbarkeit der Krankenversicherung verbessern. Dazu gehören:

• Sicherstellung, dass Einzelpersonen ihre Krankenversicherung bei einem Arbeitsplatzwechsel oder bei Verlust des Arbeitsplatzes behalten, um das Risiko, unversichert zu sein, zu minimieren, was insbesondere für Personen mit Vorerkrankungen oder anderen Problemen im Zusammenhang mit der Kontinuität des Krankenversicherungsschutzes gilt.
• Festlegung von Richtlinien für die Verhängung von Sanktionen bei Nichteinhaltung der HIPAA-Regeln und -Vorschriften.
• Begrenzung des Ausschlusses von Personen mit Vorerkrankungen, Verbot der Verweigerung des Versicherungsschutzes für Beschäftigte und Angehörige aufgrund ihres Gesundheitszustands und Sicherstellung der Verlängerung und Verfügbarkeit des Krankenversicherungsschutzes.
• Voraussetzung der Standardisierung von elektronischen Gesundheitsdatensystemen und -transaktionen, einschließlich Abrechnungen und Verbindungen zwischen Gesundheitsdienstleistern und Versicherungsunternehmen.
• Festlegung nationaler Standards für den Schutz von geschützten Gesundheitsdaten, einschließlich physischer Aufzeichnungen und elektronischer Gesundheitsakten (EHR). Laut HIPAA müssen Gesundheitsdienstleister, Versicherungsunternehmen und andere Stellen, die Gesundheitsdaten verarbeiten, angemessene Sicherheitsvorkehrungen treffen, um die Privatsphäre zu schützen und den unbefugten Zugriff und die Weitergabe zu begrenzen.

Wie oft sollten laut HIPAA-Sicherheits- und Datenschutzrisikobewertungen durchgeführt werden?

Der HIPAA schreibt keine Häufigkeit für die Durchführung von Sicherheits- und Datenschutzrisikobewertungen vor. Es wird jedoch empfohlen, sie jährlich oder bei Bedarf durchzuführen, vor allem, wenn wesentliche Änderungen an elektronischen Systemen vorgenommen werden. Ziel der HIPAA-Sicherheits- und Risikobewertungen ist es, potenzielle Bedrohungen und Schwachstellen aufzudecken, die die Vertraulichkeit, Integrität und Sicherheit von elektronisch gespeicherten geschützten Gesundheitsdaten beeinträchtigen könnten.

Dürfen Patientendaten gemäß HIPAA per E-Mail verschickt werden?

Patientendaten können gemäß HIPAA per E-Mail verschickt werden, es müssen aber bestimmte Vorsichtsmaßnahmen getroffen werden, um die Sicherheit der Daten zu gewährleisten. Wenn geschützte Gesundheitsdaten per E-Mail übertragen werden, müssen die Patienten über die Risiken des E-Mail-Versands von elektronischen geschützte Gesundheitsdaten informiert werden, und die Daten sollten verschlüsselt werden, um sie während der Übertragung vor unbefugtem Zugriff zu schützen.

Welche Informationen zum Datenschutz müssen die betroffenen Unternehmen an die Patienten weitergeben?

Unternehmen, die dem HIPAA unterliegen, sind verpflichtet, den Patienten einen Datenschutzhinweis (Notice of Privacy Practices, NPP) zu übermitteln. In dieser Mitteilung muss klar dargelegt werden, wie die geschützten Gesundheitsdaten des Patienten verwendet und weitergegeben werden und welche Rechte die Patienten in Bezug auf ihre geschützten Gesundheitsdaten haben. Der Datenschutzhinweis sollte auch die gesetzlichen Verpflichtungen des betroffenen Unternehmens zum Schutz der Privatsphäre erläutern und die Verfahren zur Einreichung von Beschwerden bei Verstößen gegen den Datenschutz beschreiben.

Schützen Sie Ihre Rechte, indem Sie HIPAA verstehen

Seit seinem Inkrafttreten ist der HIPAA in den USA zum Synonym für den Schutz von Gesundheitsdaten geworden. Obwohl die HIPAA-Bestimmungen für Gesundheitsdienstleister und Versicherer kompliziert sein können, liegen die Vorteile für den Einzelnen auf der Hand: mehr Kontrolle über die eigenen Gesundheitsdaten, besserer Schutz der Privatsphäre und verbesserte Effizienz des Gesundheitssystems.