HIPAA-Datenschutzgesetze

author
5 minutes, 10 seconds Read

Die Ziele der HIPAA-Datenschutzgesetze

Die HIPAA-Datenschutzgesetze wurden erstmals im Jahr 2002 mit dem Ziel erlassen, die Vertraulichkeit der Gesundheitsdaten von Patienten zu schützen, ohne den für die Behandlung erforderlichen Informationsfluss zu behindern. Die HIPAA-Datenschutzgesetze regeln, wer Zugang zu geschützten Gesundheitsinformationen (Protected Health Information, PHI) haben darf, unter welchen Bedingungen sie verwendet werden dürfen und an wen sie weitergegeben werden können.

Die HIPAA-Datenschutzgesetze gelten nicht nur für Gesundheitsdienstleister und die Organisationen, für die sie arbeiten. Die Gesetze gelten für jede Einrichtung, die Zugang zu Gesundheitsinformationen über einen Patienten hat, die – sollten sie in die falschen Hände geraten – ein Risiko für die Finanzen oder den Ruf des Patienten darstellen könnten. Daher müssen auch Krankenversicherer, Clearingstellen für das Gesundheitswesen und Arbeitgeber, die betriebliche Gesundheitspläne anbieten, die HIPAA-Datenschutzgesetze einhalten.

Die durch die HIPAA-Datenschutzgesetze geschützten Informationen

Die durch die HIPAA-Datenschutzgesetze geschützten Informationen sind als „individuell identifizierbare Gesundheitsinformationen“ bekannt. Dies sind alle Informationen, die die Identität eines Patienten in Bezug auf:

  • den vergangenen, gegenwärtigen oder zukünftigen körperlichen oder geistigen Zustand des Patienten,
  • die Bereitstellung von Gesundheitsbehandlung und Gesundheitsdienstleistungen für den Patienten oder
  • die vergangene, gegenwärtige oder zukünftige Bezahlung für die Bereitstellung von Gesundheitsdienstleistungen für den Patienten offenbaren können.

Da zu den geschützten Daten auch Zahlungsinformationen gehören, umfassen individuell identifizierbare Gesundheitsinformationen nicht nur Daten wie Namen, Geburtsdatum, Sozialversicherungsnummern und Telefonnummern, sondern auch Kfz-Kennzeichen, Kreditkarteninformationen und sogar Beispiele der Handschrift eines Patienten.

Es ist wichtig, dass die Datenschutzgesetze des HIPAA nicht nur für Daten gelten, die in schriftlicher Form gespeichert sind. Bilder und Videos, die individuell identifizierbare Gesundheitsdaten enthalten, sind ebenfalls durch die HIPAA-Datenschutzgesetze geschützt.

Wenn beispielsweise ein Gesundheitsdienstleister ein Foto von der Wunde eines Patienten macht – und die Identität des Patienten anhand eines beliebigen Merkmals festgestellt werden kann -, unterliegt die Vertraulichkeit und Offenlegung des Fotos den Bedingungen der HIPAA-Datenschutzgesetze.

PHI: Wer, wann und wie?

Die HIPAA-Datenschutzgesetze in Bezug auf PHI gelten für jede betroffene Einrichtung und jeden Drittdienstleister (oder „Geschäftspartner“), mit dem die betroffene Einrichtung Geschäfte tätigt. Dies sind die einzigen Parteien, die Zugang zu PHI haben sollten, es sei denn, der Patient hat seine Zustimmung erteilt, dass sie für Forschungs-, Marketing- oder Spendenzwecke offengelegt werden.

Die Offenlegung von PHI für die Zwecke der Behandlung, Zahlung oder Gesundheitsfürsorge muss innerhalb einer betroffenen Einrichtung oder eines Geschäftspartners erfolgen – es sei denn, die Offenlegung ist gesetzlich vorgeschrieben, liegt im Interesse der Öffentlichkeit oder im Interesse des Patienten (z. B. wenn der Patient ein Opfer von Kindesmissbrauch, Vernachlässigung oder häuslicher Gewalt ist).

Auch dann schreiben die HIPAA-Datenschutzgesetze vor, dass sich die betroffenen Einrichtungen an die „Minimum Necessary Rule“ halten sollten – eine Regel, die besagt, dass die Offenlegung von PHI nur das Minimum sein sollte, das zur Erreichung des angegebenen Zwecks erforderlich ist. Jeder Antrag auf Offenlegung sollte auch von Fall zu Fall geprüft werden, anstatt einem Geschäftspartner Zugang zu PHI zu gewähren, weil ihm zuvor Zugang gewährt wurde.

Die unbefugte Offenlegung von PHI

Jede betroffene Einrichtung muss Schutzmaßnahmen ergreifen, um die unbefugte Offenlegung von PHI zu verhindern. Diese Schutzmaßnahmen variieren je nach Größe der betroffenen Einrichtung und der Art der Gesundheitsversorgung, die sie anbietet, aber die Strafen für das Versäumnis, die Integrität von PHI zu schützen, können extrem hoch sein. Organisationen des Gesundheitswesens, die vorsätzlich oder fahrlässig gegen die HIPAA-Datenschutzgesetze verstoßen, können mit einer Geldstrafe von bis zu 50.000 Dollar pro Tag und Verstoß belegt werden.

Nach Angaben des Department of Health and Human Resources‘ Office for Civil Rights ist der häufigste Grund für die unbefugte Weitergabe von PHI der Verlust oder Diebstahl von persönlichen mobilen Geräten und tragbaren Mediengeräten (Laptops, Smartphones und USB-Sticks). Aus diesem Grund haben sich viele Organisationen des Gesundheitswesens dafür entschieden, sichere Nachrichtenübermittlungslösungen als geeigneten Ersatz für unsichere Kommunikationskanäle wie SMS und E-Mail zu implementieren.

Sichere Nachrichtenübermittlungslösungen verschlüsseln PHI, so dass sie unentzifferbar und unbrauchbar sind, falls sie während der Übertragung abgefangen werden, und sie verfügen auch über Sicherheitsmechanismen, die sicherstellen, dass PHI nicht versehentlich oder böswillig außerhalb des privaten Kommunikationsnetzwerks einer betroffenen Einrichtung gesendet oder auf einen USB-Stick kopiert werden können. Für den Fall, dass ein persönliches mobiles Gerät verloren geht oder gestohlen wird, gibt es Verwaltungskontrollen, mit denen alle von dem Gerät empfangenen PHI aus der Ferne gelöscht und die für die sichere Nachrichtenübermittlung verwendete App gesperrt werden können. Diese Kontrollen funktionieren auch auf Desktop-Computern.

Die Vorteile von Secure Messaging-Lösungen

Sichere Messaging-Lösungen erfüllen nicht nur die HIPAA-Datenschutzgesetze, sondern auch die administrativen, physischen und technischen Anforderungen der HIPAA-Sicherheitsregel. Dies bedeutet, dass Mechanismen vorhanden sind, um sichere Nachrichten zu überwachen und eine 100 %ige Nachvollziehbarkeit der Nachrichten zu gewährleisten, was wiederum den Zeitaufwand für Telefonanrufe reduziert, d. h. die Zeit, die medizinisches Fachpersonal mit dem Warten auf eine Empfangsbestätigung oder eine Antwort vergeudet.

In einem kürzlich erschienenen Artikel in CNN Money wurde berichtet, dass Telefonanrufe die US-Gesundheitsbranche jedes Jahr mehr als 7 Milliarden Dollar kosten und dass die Einführung von Secure-Messaging-Lösungen Prozesse im Gesundheitswesen, wie z. B. Krankenhausaufnahmen und Patientenentlassungen, beschleunigen könnte. Getrennte Studien haben auch gezeigt, dass Secure Messaging die Kommunikation beschleunigt, die Zusammenarbeit fördert und, wenn es in ein EHR integriert ist, die Zahl der Zwischenfälle im Bereich der Patientensicherheit und der Medikationsfehler verringert.

Mit Secure Messaging bleiben die durch die HIPAA-Datenschutzgesetze geschützten Informationen geschützt, nur befugte Benutzer erhalten Zugang zu PHI, und Gesundheitsdienstleister können mit der gleichen Geschwindigkeit und dem gleichen Komfort wie bei SMS oder E-Mail kommunizieren, ohne jedoch die unbefugte Offenlegung von PHI zu riskieren. Secure Messaging erfüllt die Bedingungen der HIPAA-Datenschutzgesetze in Bezug auf die Frage, wer Zugang zu PHI haben darf, unter welchen Bedingungen sie verwendet werden dürfen und an wen sie weitergegeben werden dürfen.

Weitere Informationen zu den HIPAA-Datenschutzgesetzen

Wenn Sie mehr über die HIPAA-Datenschutzgesetze wissen möchten, finden Sie hier zusätzliche Informationen.

Similar Posts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.