Der Health Insurance Portability and Accountability Act of 1996 (HIPAA) ist ein Bundesgesetz, das die Schaffung nationaler Standards zum Schutz sensibler Gesundheitsinformationen von Patienten vor der Weitergabe ohne Zustimmung oder Wissen des Patienten vorschreibt. Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy Rule erlassen, um die Anforderungen des HIPAA umzusetzen. Die HIPAA Security Rule schützt eine Teilmenge der Informationen, die von der Privacy Rule abgedeckt werden.
HIPAA Privacy Rule
Die Standards der Privacy Rule regeln die Verwendung und Weitergabe von Gesundheitsinformationen von Einzelpersonen (bekannt als „geschützte Gesundheitsinformationen“) durch Einrichtungen, die der Privacy Rule unterliegen. Diese Personen und Organisationen werden als „abgedeckte Stellen“ bezeichnet. Die Privacy Rule enthält auch Standards für die Rechte von Einzelpersonen, zu verstehen und zu kontrollieren, wie ihre Gesundheitsinformationen verwendet werden. Ein Hauptziel der Privacy Rule ist es, sicherzustellen, dass die Gesundheitsdaten von Einzelpersonen angemessen geschützt werden, während gleichzeitig der Fluss von Gesundheitsdaten ermöglicht wird, der für die Bereitstellung und Förderung einer qualitativ hochwertigen Gesundheitsversorgung und den Schutz der Gesundheit und des Wohlergehens der Öffentlichkeit erforderlich ist. Die Privacy Rule schafft ein Gleichgewicht, das wichtige Verwendungen von Informationen zulässt und gleichzeitig die Privatsphäre von Menschen schützt, die Pflege und Heilung suchen.
Abgedeckte Einrichtungen
Die folgenden Arten von Personen und Organisationen unterliegen der Privacy Rule und gelten als abgedeckte Einrichtungen:
- Anbieter im Gesundheitswesen: Jeder Leistungserbringer im Gesundheitswesen, unabhängig von der Größe der Praxis, der Gesundheitsinformationen in Verbindung mit bestimmten Transaktionen elektronisch überträgt. Zu diesen Transaktionen gehören Leistungsansprüche, Anfragen zur Leistungsberechtigung, Anträge auf Überweisungsgenehmigung und andere Transaktionen, für die das HHS im Rahmen der HIPAA Transactions Rule Standards festgelegt hat.
- Gesundheitspläne: Einrichtungen, die medizinische Versorgung anbieten oder deren Kosten übernehmen. Zu den Gesundheitsplänen gehören Kranken-, Zahn-, Sehkraft- und verschreibungspflichtige Arzneimittelversicherungen, Health Maintenance Organizations (HMOs), Medicare-, Medicaid-, Medicare+Choice- und Medicare-Supplement-Versicherungen sowie Langzeitpflegeversicherungen (mit Ausnahme von Festbetragsversicherungen für Pflegeheime). Zu den Gesundheitsplänen gehören auch vom Arbeitgeber gesponserte Gruppengesundheitspläne, von der Regierung und der Kirche gesponserte Gesundheitspläne und Gesundheitspläne mehrerer Arbeitgeber.
- Ausnahme: Ein Gruppengesundheitsplan mit weniger als 50 Teilnehmern, der ausschließlich von dem Arbeitgeber verwaltet wird, der den Plan eingerichtet hat und unterhält, ist keine erfasste Einheit.
- Healthcare clearinghouses: Einrichtungen, die nicht standardisierte Informationen, die sie von einer anderen Einrichtung erhalten, in einen Standard (d.h. Standardformat oder Dateninhalt) umwandeln oder umgekehrt. In den meisten Fällen erhalten Verrechnungsstellen für das Gesundheitswesen individuell identifizierbare Gesundheitsdaten nur dann, wenn sie diese Verarbeitungsdienste für einen Gesundheitsplan oder einen Gesundheitsdienstleister als Geschäftspartner erbringen.
- Geschäftspartner: Eine Person oder Organisation (die nicht zur Belegschaft einer betroffenen Einrichtung gehört), die individuell identifizierbare Gesundheitsinformationen verwendet oder offenlegt, um Funktionen, Aktivitäten oder Dienstleistungen für eine betroffene Einrichtung durchzuführen oder zu erbringen. Diese Funktionen, Aktivitäten oder Dienstleistungen umfassen die Bearbeitung von Ansprüchen, die Datenanalyse, die Überprüfung der Inanspruchnahme und die Rechnungsstellung.
Erlaubte Verwendungen und Offenlegungen
Eine betroffene Einrichtung ist berechtigt, aber nicht verpflichtet, geschützte Gesundheitsinformationen ohne die Genehmigung einer Person für die folgenden Zwecke oder Situationen zu verwenden und offenzulegen:
- Weitergabe an die Einzelperson (wenn die Informationen für den Zugriff oder die Buchführung über die Weitergabe benötigt werden, MUSS die Einrichtung die Informationen an die Einzelperson weitergeben)
- Behandlung, Zahlung und Betrieb des Gesundheitswesens
- Möglichkeit, der Weitergabe von PHI zuzustimmen oder zu widersprechen (Eine informelle Zustimmung kann eingeholt werden, indem die Einzelperson direkt gefragt wird, oder durch Umstände, die dem Individuum eindeutig die Möglichkeit geben, zuzustimmen, zu dulden oder zu widersprechen)
- Inzident zu einer anderweitig erlaubten Nutzung und Offenlegung
- Aktivitäten im öffentlichen Interesse und zum Nutzen – Die Privacy Rule erlaubt die Nutzung und Offenlegung geschützter Gesundheitsinformationen, ohne die Autorisierung oder Erlaubnis des Individuums, für 12 nationale Prioritätszweckeexternes Symbol:
- Wenn gesetzlich vorgeschrieben
- Aktivitäten des öffentlichen Gesundheitswesens
- Opfer von Missbrauch oder Vernachlässigung oder häuslicher Gewalt
- Aktivitäten der Gesundheitsaufsicht
- Gerichts- und Verwaltungsverfahren
- Gesetzesvollzug
- Funktionen (wie z. B. Identifizierung) in Bezug auf verstorbene Personen
- Organ-, Augen- oder Gewebespende
- Forschung, unter bestimmten Bedingungen
- Um eine ernsthafte Bedrohung der Gesundheit oder Sicherheit zu verhindern oder zu vermindern
- Wesentliche Regierungsfunktionen
- Arbeitnehmerentschädigung
- Begrenzter Datensatz für Forschung, öffentliche Gesundheit, oder Operationen im Gesundheitswesen
HIPAA Security Rule
Während die HIPAA Privacy Rule geschützte Gesundheitsinformationen (PHI) schützt, schützt die Security Rule eine Untergruppe von Informationen, die unter die Privacy Rule fallen. Diese Untergruppe sind alle individuell identifizierbaren Gesundheitsinformationen, die eine betroffene Einrichtung in elektronischer Form erstellt, empfängt, aufbewahrt oder überträgt. Diese Informationen werden als „elektronische geschützte Gesundheitsinformationen“ (e-PHI) bezeichnet. Die Security Rule gilt nicht für mündlich oder schriftlich übermittelte PHI.
Um die HIPAA Security Rule einzuhalten, müssen alle betroffenen Einrichtungen Folgendes tun:
- Sichern Sie die Vertraulichkeit, Integrität und Verfügbarkeit aller elektronischen geschützten Gesundheitsdaten
- Erkennen Sie voraussichtliche Bedrohungen für die Sicherheit der Daten und schützen Sie sich dagegen
- Schützen Sie sich gegen voraussichtliche unzulässige Verwendungen oder Offenlegungen
- Zertifizieren Sie die Einhaltung durch Ihre Mitarbeiter
Die betroffenen Einrichtungen sollten sich bei der Prüfung von Anträgen auf diese zulässigen Verwendungen und Offenlegungen auf die Berufsethik und das beste Urteilsvermögen verlassen. Das HHS Office for Civil Rights setzt die HIPAA-Regeln durch, und alle Beschwerden sollten diesem Büro gemeldet werden. Verstöße gegen den HIPAA können zivil- oder strafrechtliche Sanktionen nach sich ziehen.
Weitere Informationen finden Sie auf der HIPAA-Website des US-Gesundheitsministeriums (Department of Health and Human Services).
HIPAA Enforcementexternal icon. US Department of Health and Human Services.