Suchen Sie eine HIPAA-Zusammenfassung oder einen HIPAA 101-Leitfaden? Beginnen Sie hier.
Wenn es darum geht, die HIPAA-Grundlagen zu verstehen, kann die Aufgabe entmutigend erscheinen. Wenn Sie die Verordnung lesen, müssen Sie sich durch komplizierte Gesetzestexte durcharbeiten, und wenn Sie sich auf Hörensagen verlassen, kann das zu mehr Missverständnissen als zu Klarstellungen führen.
Deshalb haben wir diesen Leitfaden HIPAA 101 – Die Grundlagen zusammengestellt. In diesem leicht verständlichen Leitfaden finden Sie alles, was Sie brauchen, um das Gesetz zu verstehen.
Was ist HIPAA?
Der Health Insurance Portability and Accountability Act of 1996 (HIPAA) ist eine Reihe von nationalen Standards, die Gesundheitseinrichtungen einhalten müssen, um den Datenschutz und die Sicherheit geschützter Gesundheitsinformationen (PHI) zu gewährleisten. PHI sind alle demografischen, individuell identifizierbaren Informationen, die zur Identifizierung eines Patienten verwendet werden können. Gängige Beispiele für PHI sind Namen, Adressen, E-Mails, Telefonnummern, vollständige Gesichtsfotos,
Bevor wir beginnen, lassen Sie uns einige Schlüsseldefinitionen betrachten, die sich auf die HIPAA-Grundlagen beziehen.
Es gibt zwei Arten von Organisationen, die in der HIPAA-Verordnung beschrieben werden, darunter:
- Abgedeckte Einrichtungen (CE): Gesundheitsdienstleister, Krankenversicherungspläne und Clearingstellen für das Gesundheitswesen. CEs sind an der direkten Erstellung von PHI beteiligt und müssen die HIPAA-Bestimmungen in vollem Umfang einhalten.
- Business Associates (BA): Jede von einer CE (oder einem anderen BA) beauftragte Organisation, die im Rahmen ihrer Arbeit zwangsläufig mit PHI in Berührung kommt. Gängige Beispiele für BAs sind IT-Anbieter, Praxismanagementfirmen, Anbieter von physischen Speichern, Anbieter von Cloud-Speichern, E-Mail-Verschlüsselung, Datensicherung und viele andere. BAs sind nicht verpflichtet, die HIPAA Privacy Rule in ihrer Gesamtheit einzuhalten, müssen aber die übrigen geltenden Vorschriften einhalten.
Seit seiner Einführung im Jahr 1996 hat der HIPAA zahlreiche Änderungen, Überarbeitungen und Ergänzungen erfahren. Zusammengenommen sind diese als HIPAA-Regeln bekannt geworden. Zu den HIPAA-Regeln gehören:
- HIPAA Privacy Rule: Die Privacy Rule setzt nationale Standards für den Datenschutz, die Integrität und die Verfügbarkeit von PHI. Die Regel umreißt Schutzmaßnahmen, die vorhanden sein müssen, um sicherzustellen, dass PHI privat gehalten werden. Die Regel legt auch Richtlinien für die Rechte der Patienten auf Zugang zu ihren medizinischen Unterlagen fest, zusätzlich zu den Verwendungen, Offenlegungen und Genehmigungen, die CEs haben müssen.
- HIPAA Security Rule: Die Security Rule setzt nationale Standards für die Aufrechterhaltung der Sicherheit von PHI durch eine Reihe von technischen, physischen und administrativen Schutzmaßnahmen, die CEs und BAs implementieren müssen.
- HIPAA Breach Notification Rule: Die Breach Notification Rule umreißt die Prozesse, die HIPAA-pflichtige Einrichtungen im Falle einer Datenverletzung befolgen müssen. Je nach der Anzahl der von einem Verstoß betroffenen Personen gibt es unterschiedliche Fristen und Benachrichtigungsstandards, die die Regel vorschreibt.
- HIPAA Omnibus Rule: Mit der Omnibus-Regel wurden mehrere wichtige Änderungen an der HIPAA-Verordnung vorgenommen, insbesondere in Bezug auf die Rolle der BAs. Seit dem Inkrafttreten der Regel im Jahr 2013 sind BAs verpflichtet, HIPAA-konform zu werden. Darüber hinaus wurden mit der Omnibus-Regel strengere Regeln für die Durchführung von Geschäftspartnervereinbarungen festgelegt, die später in diesem Beitrag erörtert werden.
Nachdem Sie nun ein Gefühl für die Grundlagen der HIPAA-Compliance haben, werden wir uns damit befassen, was für Ihre Praxis notwendig ist, um das Gesetz effektiv einzuhalten.
Wie Sie HIPAA-konform werden
HIPAA-Audits
Der erste Schritt eines jeden effektiven Konformitätsprogramms ist die Durchführung einer Reihe von Audits. Diese Audits geben Ihnen einen Überblick darüber, wo Ihre Praxis in Bezug auf das HIPAA-Gesetz steht.
Es gibt keine vordefinierte Liste von Audits, die durchgeführt werden müssen, jedoch sollten diese Audits in allen Bereichen Ihres Unternehmens durchgeführt werden, um die Einhaltung der HIPAA-Standards zu messen. Jede HIPAA-Regel setzt sich aus vielen HIPAA-Standards zusammen, die jeweils ihre eigenen Implementierungsspezifikationen haben. Um Ihr Unternehmen effektiv prüfen zu können, müssen Sie diese HIPAA-Standards als Grundlage für Ihre Prüfungen verwenden. Indem Sie Ihr Unternehmen anhand der HIPAA-Normen prüfen, erhalten Sie ein Gefühl dafür, wo Ihre Lücken bei der Einhaltung der Vorschriften liegen, so dass Sie diese später beheben können.
Sanierungspläne
Wenn Sie Ihre Prüfungen abgeschlossen und Ihre Lücken bei der derzeitigen Einhaltung der HIPAA-Vorschriften ermittelt haben, können Sie damit beginnen, diese Lücken zu schließen.
Für jede Lücke, die Ihre Prüfungen aufgedeckt haben, sollten Sanierungspläne erstellt werden. Diese müssen in einem zentralen Repository vollständig dokumentiert werden, wobei der Zugriff je nach den am Behebungsprozess beteiligten Parteien rollenbasiert begrenzt sein muss. Jeder Abhilfeplan muss jemandem aus Ihrem Personal die Verantwortung für die Behebung der Lücke zuweisen, zusammen mit Aktionspunkten und einem Zeitplan für die Fertigstellung.
Wenn Ihre Organisation jede Lücke schließt, müssen Sie den Prozess dokumentieren, bis alle Lücken geschlossen sind.
Richtlinien, Verfahren, Mitarbeiterschulung
Richtlinien und Verfahren sind der Eckpfeiler eines wirksamen Programms zur Einhaltung des HIPAA.
HIPAA-erhaltende Organisationen müssen über Richtlinien und Verfahren verfügen, die jeden HIPAA-Standard behandeln. Sie sollen in allen Bereichen Ihres Unternehmens einheitliche Prozesse für den Umgang mit PHI und alle anderen vom HIPAA vorgeschriebenen Implementierungsspezifikationen schaffen.
Auch wenn die Standards, auf die sich die Richtlinien und Verfahren beziehen müssen, für alle HIPAA-pflichtigen Unternehmen gleich sind, muss die eigentliche Sprache der Richtlinien und Verfahren auf die Bedürfnisse Ihres Unternehmens zugeschnitten sein. Aus diesem Grund wird eine Lösung wie ein Richtlinienordner nicht als effektive Lösung für die Einhaltung des HIPAA angesehen. Wenn die Richtlinien, die Ihr Unternehmen einführt, nicht für Ihren Geschäftsbereich gelten, können sie Sie im Falle eines HIPAA-Verstoßes nicht schützen.
Sobald Ihr Unternehmen HIPAA-Richtlinien und -Verfahren eingeführt hat, müssen Sie sicherstellen, dass alle Mitarbeiter in deren Inhalt geschult wurden. Um zu dokumentieren, dass diese Schulung stattgefunden hat, muss Ihr Unternehmen alle Mitarbeiter eine Bescheinigung unterschreiben lassen, in der sie bestätigen, dass sie den Inhalt der einzelnen Richtlinien gelesen und verstanden haben. Diese Bescheinigungen sollten vorhanden sein, um Ihre Organisation vor Haftungsansprüchen zu schützen, falls ein Mitarbeiter einen HIPAA-Verstoß im Widerspruch zu einer Ihrer Richtlinien verursacht.
Die Mitarbeiterschulung muss jährlich durchgeführt werden. Alle neuen Mitarbeiter, die in Ihre Organisation eintreten, müssen im Rahmen ihres Einführungsprozesses in den Richtlinien und Verfahren geschult werden.
BA/Vendor Management
Ein weiterer wesentlicher Bestandteil der HIPAA-Compliance ist das Verständnis dafür, wie PHI zu schützen sind, auf die von Lieferanten zugegriffen wird. Wie bereits erwähnt, ist ein BA ein von Ihnen beauftragter Anbieter, dessen Tätigkeit zwangsläufig mit PHI jeglicher Art in Berührung kommt.
Der HIPAA schreibt vor, dass Ihre Organisation vor der Weitergabe von PHI eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) mit diesem Anbieter abschließen muss. Dies gilt sowohl für Beziehungen zwischen CEs und BAs als auch für Beziehungen zwischen einem BA und einem anderen (ein BA eines BAs wird gemäß HIPAA als „Unterauftragnehmer“ bezeichnet).
BAAs MÜSSEN abgeschlossen werden, bevor PHI weitergegeben werden können. Eine wirksame BAA sollte Folgendes enthalten:
- Organisation 1 erkennt an, dass sie dem HIPAA verpflichtet ist.
- Die BA von Organisation 1 erkennt an, dass sie dem HIPAA verpflichtet ist.
- Die Haftung im Falle einer Datenverletzung liegt bei der Partei, die für die Verletzung verantwortlich ist.