Zusammenfassung: Dieser Artikel informiert kurz über die Folgen der Nichteinhaltung der HIPAA-Sicherheitsregel, eines wichtigen Gesetzes, das die Sicherheit der Gesundheitsdaten von Personen gewährleistet. Der Artikel erläutert, warum es für Gesundheitsdienstleister wichtig ist, den HIPAA einzuhalten, und welche Geldstrafen bei Nichteinhaltung drohen. Lesen Sie diesen Artikel, um sich über den HIPAA zu informieren und zu verstehen, welche PHI-Daten geschützt werden müssen, und erfahren Sie mehr über den Anwendungsbereich und die Personen, für die er gilt.
"Obwohl OCR es vorzieht, Probleme durch freiwillige Einhaltung der Vorschriften zu lösen, [...] werden wir die notwendigen Schritte unternehmen, einschließlich Rechtsstreitigkeiten, um angemessene Abhilfemaßnahmen für Verstöße gegen die HIPAA-Regeln zu erreichen."
Das sagte Jocelyn Samuels, Direktorin des Office of Civil Rights (OCR), U.S. Department of Health and Human Services, im Februar 2016.
Es gibt genügend Beweise dafür, dass es dem OCR mit der Durchsetzung des HIPAA sehr ernst ist. Im Jahr 2015 zahlte die Phonix Herzchirurgie eine Geldstrafe von 100.000 US-Dollar wegen Nichteinhaltung des HIPAA.
HIPAA-Nichteinhaltung: Eine Momentaufnahme
Bis zum 29. Februar 2020 hat die OCR mehr als 116 Millionen US-Dollar als Zivilstrafen für HIPAA-Verstöße erhoben, informiert die HIPAA-Durchsetzungs-Highlightseite des HHS.
Die Zahl der Fälle, die das OCR bis zu diesem Zeitpunkt wegen HIPAA-Verstößen untersucht und gelöst hatte, betrug 27.829.
Zivilrechtliche Geldbußen sind nicht die einzige Strafe für die Nichteinhaltung des HIPAA. Auch eine strafrechtliche Verurteilung durch das US-Justizministerium ist möglich.
Im Oktober 2016 verurteilte ein Bundesrichter einen ehemaligen Atmungstherapeuten zu zwei Jahren auf Bewährung, einer Geldstrafe von 500 US-Dollar und einem Tag im Gefängnis. Die Täterin hatte sich in dem Krankenhaus, in dem sie damals beschäftigt war, illegal Zugang zu Patientendaten verschafft.
Das ist ein Fall von strafrechtlicher Verurteilung und Anklage wegen Verletzung des HIPAA.
Was uns diese Momentaufnahme verrät
Die oben dargestellte Momentaufnahme enthält eine wichtige Aussage. Der Stichtag für die Einhaltung der HIPAA-Sicherheitsrichtlinien war der 20. April 2005. Nur kleine Krankenversicherungen hatten eine Fristverlängerung bis zum 20. April 2006.
>
Doch die US-Gesundheitsbranche scheint die Bedeutung des HIPAA und die Wichtigkeit seiner Einhaltung noch nicht ganz begriffen zu haben. Das zeigt die Zahl der Fälle, die das OCR untersucht und beigelegt hat.
Das gilt auch für die beiden genannten Bußgeldfälle. Ein umfassendes Verständnis des HIPAA und der nachteiligen Auswirkungen, die eine Nichteinhaltung haben kann, scheint sich den Organisationen und Fachleuten im Gesundheitswesen der USA zu entziehen.
Dieser Artikel stellt in einer klaren, leicht verständlichen Sprache alles dar, was Sie über die HIPAA-Sicherheitsvorschrift wissen müssen. Die Einfachheit bedeutet nicht, dass es an Gründlichkeit mangelt oder die Informationen unvollständig sind.
Es gibt jedoch noch einen anderen Teil des HIPAA: die HIPAA Privacy Rule. Wir haben sie in einem anderen Artikel behandelt.
HIPAA in Kürze
Health Insurance Portability and Accountability Act: das ist der HIPAA. Es handelt sich um ein Gesetz von 1996, das zuletzt 2003 geändert wurde. Das Hauptziel des HIPAA besteht darin, den Zugang des Einzelnen zu und die Kontrolle über persönliche Gesundheitsinformationen zu verbessern.
Die natürliche Folge davon ist die Einschränkung der Möglichkeiten der Gesundheitsbranche, individuelle Gesundheitsinformationen zu nutzen. Das Konzept der geschützten Gesundheitsinformationen (PHI) ist von zentraler Bedeutung für den HIPAA. Alle Gesundheitsinformationen, die eine Person identifizieren können, sind geschützt.
Der Anwendungsbereich von PHI
Jede individuell identifizierbare gesundheitsbezogene Information fällt in den Bereich der PHI. Im Folgenden finden Sie eine fertige Checkliste:
- Alle demografischen Angaben
- Andere allgemeine Identifikatoren wie Adresse, Geburtsdatum, Sozialversicherungsnummer usw.
- Die physische und psychische Gesundheitsgeschichte einer Person, die Vergangenheit, Gegenwart und Zukunft umfasst
- Die für eine Person geltende Gesundheitsversorgung
- Die Zahlung für alle Gesundheitsleistungen in der Vergangenheit, Gegenwart und Zukunft für eine Person
Es ist jedoch möglich, einige Gesundheitsinformationen zu de-identifizieren, indem die individuellen Identifikatoren in ihnen entfernt werden. De-identifizierte Informationen fallen nicht in den Geltungsbereich von PHI.
>
Die HIPAA Security Rule gilt für PHI in elektronischem Format (e-PHI).
HIPAA-Sicherheitsvorschrift
Die Sicherheitsstandards für den Schutz elektronischer geschützter Gesundheitsinformationen: so lautet der formale Name des Dokuments, das die vom HHS-Sekretariat herausgegebenen nationalen Standards enthält. Im Volksmund ist es als HIPAA-Sicherheitsvorschrift bekannt.
Das Ziel dieser Standards ist es, die Sicherheit der individuellen Gesundheitsdaten zu gewährleisten, da das Gesundheitswesen zunehmend technologieabhängig wird. Die HIPAA Security Rule erläutert die Maßnahmen, die zur Umsetzung der HIPAA Privacy Rule erforderlich sind.
Der HIPAA gewährt dem Einzelnen das Recht, seine Privatsphäre zu wahren und die Kontrolle über gesundheitsbezogene Daten zu behalten. Die HIPAA Privacy Rule formuliert diese Rechte. Die Security Rule informiert die Gesundheitsbranche in den USA darüber, was zu tun ist, um die Privacy Rule einzuhalten.
Die Integration von Informationstechnologie (IT) und künstlicher Intelligenz (KI) ist notwendig, um die Erbringung von Gesundheitsdienstleistungen effizienter und effektiver zu gestalten. Eine solche Integration führt jedoch zur Entstehung von Bedrohungen durch Datenverletzungen.
Die Verletzung von Gesundheitsdaten gefährdet das Recht des Einzelnen auf den Schutz von individuell identifizierbaren Gesundheitsdaten. Die HIPAA Security Rule soll eine solche Situation verhindern.
Gleichzeitig fördert sie die Einführung neuer Technologien durch die Gesundheitsbranche, um den Patienten eine hochwertige Gesundheitsversorgung zu bieten. Um der Vielfalt der Anbieter und Fachkräfte im Gesundheitswesen Rechnung zu tragen, ist die Sicherheitsvorschrift sowohl flexibel als auch skalierbar.
Die Organisationen des Gesundheitswesens und die einzelnen Angehörigen der Gesundheitsberufe können die Sicherheitsregel entsprechend der Größe ihrer Praxis und den von ihnen angebotenen Dienstleistungen anpassen.
Für wen gilt die Sicherheitsvorschrift?
Organisationen und Einzelpersonen im Gesundheitswesen, die unter die HIPAA-Sicherheitsrichtlinie fallen, werden als "betroffene Einrichtungen" bezeichnet. Geschäftspartner von Einrichtungen, die unter die HIPAA Privacy Rule fallen, sind Einrichtungen, die unter die Security Rule fallen.
Nachfolgend finden Sie eine Liste der von der HIPAA Privacy Rule erfassten Einrichtungen:
- Gesundheitspläne, zu denen Krankenversicherungen, Krankenpflegeorganisationen (HMOs), von Arbeitgebern gesponserte Gesundheitspläne und staatlich unterstützte Zahlungspläne für das Gesundheitswesen gehören.
- Clearingstellen des Gesundheitswesens, die nicht standardisierte Gesundheitsinformationen in die erforderlichen Standards umwandeln oder umgekehrt.
- Gesundheitsdienstleister:
- Ärzte
- Zahnärzte
- Psychologen
- Fachärzte für Chiropraktik
- Kliniken
- Pflegeheime
- Apotheken
- Geschäftspartner einer der oben genannten Einrichtungen
.
Wer sind Business Associates?
Ein Geschäftspartner in diesem Zusammenhang ist eine Agentur oder eine Person, die bestimmte Handlungen im Namen einer der betroffenen Einrichtungen durchführt. Solche Funktionen müssen den Zugang zu e-PHI beinhalten.
Nachfolgend finden Sie eine Liste typischer Geschäftspartner, die gemäß der HIPAA-Sicherheitsregel zu den betroffenen Einrichtungen gehören:
- Jeder Drittverwalter, der einen Gesundheitsplan bei der Bearbeitung von Ansprüchen unterstützt.
- Jeder einzelne Berater oder eine Beratungsorganisation, die für ein Krankenhaus Nutzungsprüfungen durchführt.
- Clearingstellen des Gesundheitswesens, die die nicht standardisierten Anspruchsdaten der Leistungserbringer in standardisierte Formate umwandeln und für die Kostenerstattung weiterleiten.
- Selbstständige medizinische Transkriptionisten, die Transkriptionsdienste für eine erfasste Einrichtung erbringen
Der HITECH Act von 2009 hat die Verantwortlichkeiten von Geschäftspartnern im Rahmen der HIPAA Security Rule erweitert. Der HHS-Sekretär hat Vorschriften entwickelt, die diese Änderungen berücksichtigen.
Ihre Aktionspunkte als Geschäftspartner einer betroffenen Einrichtung
Sind Sie ein Geschäftspartner einer Organisation des Gesundheitswesens oder eines einzelnen Leistungserbringers? Es gibt Maßnahmen, die Sie umsetzen müssen, um HIPAA-konform zu sein.
Grundlegende Maßnahmen erfordern administrative, physische und technische Sicherheitsvorkehrungen zum Schutz von e-PHI. Die typischen Aktionspunkte sind:
- Sichern Sie die Verfügbarkeit, Vertraulichkeit und Integrität aller e-PHI, mit denen Sie umgehen. Dazu gehören alle e-PHI, die Sie erstellen, empfangen, pflegen und übertragen.
- Implementieren Sie Maßnahmen zum Schutz der Integrität und Sicherheit von e-PHI vor Bedrohungen, die Sie vernünftigerweise vorhersehen können.
- Verhindern Sie die Verwendung und Weitergabe von e-PHI, die nach dem HIPAA nicht zulässig ist.
- Sicherstellen, dass Ihre Mitarbeiter die Vorschriften einhalten.
Nach der HIPAA Security Rule bedeutet "Verfügbarkeit", dass e-PHI für die Nutzung durch eine autorisierte Person zugänglich bleiben muss. "Vertraulichkeit" bedeutet in diesem Zusammenhang, dass e-PHI für Unbefugte nicht zugänglich sind. "Integrität" bedeutet, dass e-PHI nicht auf unbefugte Weise verändert oder zerstört werden dürfen.
Die Sicherheitsvorschrift legt nicht fest, welche Maßnahmen erforderlich sind, um dies zu gewährleisten. Das liegt daran, dass die relevanten Maßnahmen von der Größe der betroffenen Einrichtung sowie von der Art der von ihr verwendeten Hard- und Software abhängen.
Jede betroffene Einrichtung muss selbst entscheiden, welche Maßnahmen für sie notwendig sind. Eine solche Anpassung erfordert eine Risikoanalyse zur Ermittlung und Bewältigung potenzieller Sicherheitsbedrohungen für e-PHI.
Was ist eine Risikoanalyse?
Ein Risikoanalyseprozess hilft einer betroffenen Einrichtung zu bestimmen, welche spezifischen Maßnahmen sie für die Einhaltung der HIPAA-Sicherheitsregel umsetzen muss. Ein solcher Prozess umfasst die folgenden Punkte:
- Abschätzung der Wahrscheinlichkeit von Sicherheitsbedrohungen für e-PHI und Bewertung der Auswirkungen einer Sicherheitsverletzung.
- Einführen von Maßnahmen, die geeignet sind, die im Rahmen des obigen Prozesses ermittelten potenziellen Sicherheitsrisiken abzuwehren.
- Dokumentieren Sie, welche Sicherheitsmaßnahmen ergriffen wurden und warum.
- Sicherheitsmaßnahmen, die angemessen und vernünftig sind, kontinuierlich aufrechterhalten.
Administrative Sicherheitsvorkehrungen
- Administrative Sicherheitsvorkehrungen erfordern, dass eine betroffene Einrichtung eine Person in ihrer Belegschaft benennt, die für die Aufrechterhaltung und Überwachung der geeigneten Sicherheitsvorkehrungen verantwortlich ist, die durch den Prozess der Risikobewertung ermittelt wurden.
- Eine betroffene Einrichtung muss über Richtlinien und Verfahren verfügen, die sicherstellen, dass nur autorisierte Personen Zugang zu e-PHI haben.
- Die Mitarbeiter einer betroffenen Einrichtung müssen geschult werden, damit sie die Vorschriften einhalten können.
- Eine betroffene Einrichtung muss in regelmäßigen Abständen bewerten, wie robust ihre Sicherheitsmaßnahmen sind.
Physikalische Sicherheitsmaßnahmen
- Eine betroffene Einrichtung muss den physischen Zugang zu e-PHI begrenzen, ohne den autorisierten Zugang zu gefährden.
- Eine betroffene Einrichtung muss Richtlinien und Verfahren einführen, die erforderlich sind, um die ordnungsgemäße Nutzung von und den Zugang zu Arbeitsplätzen und elektronischen Medien zu gewährleisten, damit e-PHI nicht für Unbefugte physisch zugänglich bleiben.
Technische Sicherheitsvorkehrungen
- Eine betroffene Einrichtung muss technische Richtlinien und Verfahren implementieren, die den unbefugten Zugriff auf e-PHI verhindern.
- Eine betroffene Einrichtung muss regelmäßige Prüfungen der Angemessenheit ihrer technischen Maßnahmen durchführen.
- Eine betroffene Einrichtung muss elektronische Sicherheitsvorkehrungen treffen, um eine unbefugte Änderung oder Zerstörung von e-PHI zu verhindern.
- Eine betroffene Einrichtung muss technische Maßnahmen ergreifen, um einen unbefugten Zugriff auf e-PHI während der elektronischen Übertragung zu verhindern.
Strafe bei Nichteinhaltung der HIPAA-Sicherheitsregeln
Das Office for Civil Rights (OCR), HHS, ist für die Untersuchung und Feststellung von Beschwerden über HIPAA-Verstöße zuständig. Die Strafen für Verstöße gegen die Sicherheitsregel sind an die Anforderungen der HIPAA-Datenschutzregel geknüpft.
Grundsätzlich betrachtet das OCR Verstöße nach einem mehrstufigen Ansatz und erhebt dementsprechend Strafen.
Wenn sich eine betroffene Einrichtung eines Verstoßes nicht bewusst ist und ihn auch nach Anwendung angemessener Sorgfalt bei der Einhaltung der HIPAA-Vorschriften nicht hätte vermeiden können, wird dies als Verstoß der Stufe 1 betrachtet. In diesem Fall kann eine Geldstrafe von mindestens 100 US-Dollar pro Verstoß verhängt werden, mit einer Obergrenze von 25.000 US-Dollar pro Kalenderjahr.
Ein Verstoß der Stufe 2 ist ein Verstoß, der einer betroffenen Einrichtung hätte bekannt sein müssen, den sie aber bei angemessener Sorgfalt nicht hätte vermeiden können. Die Strafe beträgt mindestens 1000 US-Dollar pro Verstoß, mit einer Obergrenze von 100.000 US-Dollar pro Kalenderjahr.
Ein Verstoß, der auf einer absichtlichen Vernachlässigung der HIPAA-Vorschriften beruht, bei dem aber inzwischen Abhilfemaßnahmen getroffen wurden, ist ein Verstoß der Stufe 3. Die Strafe beträgt mindestens 10.000 US-Dollar pro Verstoß, wobei die Gesamtstrafe in einem Kalenderjahr 250.000 US-Dollar nicht überschreiten darf.
Eine vorsätzliche Vernachlässigung der HIPAA-Vorschriften, ohne dass Abhilfemaßnahmen getroffen werden, ist ein Verstoß der Stufe 4. Die Strafe dafür beträgt mindestens 50.000 US-Dollar pro Verstoß. Die Höchstgrenze in einem Kalenderjahr liegt bei 1,5 Millionen US-Dollar.
In begrenzten Fällen kann die Nichteinhaltung des HIPAA auch strafrechtlich verfolgt werden, was vom US-Justizministerium festgelegt wird. Bis zu 10 Jahre Gefängnis sind möglich.
Es ist wirtschaftlich sinnvoll, die Einhaltung des HIPAA ernst zu nehmen
Wie bereits eingangs erwähnt, scheint die US-Gesundheitsbranche bei der Einhaltung des HIPAA im Rückstand zu sein. Das ist eine schlechte Geschäftsentscheidung. Die Umsetzung der in diesem Artikel beschriebenen Maßnahmen wird Ihnen helfen, HIPAA-konform zu sein.