Was ist HIPAA? So stellen Sie sicher, dass Sie HIPAA-konform sind

Niemand sollte bei Gesundheit und Sicherheit Kompromisse eingehen, und genau das stellt HIPAA sicher.

Der Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 erlassen, um Patienten einen besseren Zugang zu ihren Gesundheitsinformationen zu ermöglichen und deren Schutz zu regeln. Im Laufe der Jahre hat sich HIPAA weiterentwickelt, um Anforderungen für die Benachrichtigung bei Datenschutzverletzungen zu schaffen und die Unternehmen zu bestimmen, für die es gilt.

Wenn Sie im Gesundheitswesen arbeiten, sprechen die Leute oft über HIPAA, aber was ist das und wie können Sie die Anforderungen erfüllen?

Was ist das Health Insurance Portability and Accountability Act?

Der Health Insurance Portability and Accountability Act (HIPAA) beschreibt die ordnungsgemäße Verwendung und Offenlegung von geschützten Gesundheitsinformationen (PHI), wie sie gesichert werden sollten und was im Falle eines Verstoßes zu tun ist. Das Department of Health and Human Services (HHS) regelt HIPAA, während das Office for Civil Rights (OCR) die Einhaltung durchsetzt.

Wenn gegen eine Gesundheitsorganisation eine Beschwerde wegen Nichteinhaltung eingereicht wird, untersucht die OCR die Organisation, um festzustellen, ob die Behauptungen wahr sind. Wenn festgestellt wird, dass die Organisation gegen HIPAA verstoßen hat, können Bußgelder und Korrekturmaßnahmen verhängt werden.

Die drei Regeln des Health Insurance Portability and Accountability Act

Die HIPAA-Verordnung besteht aus drei Hauptregeln. Die HIPAA Privacy, Security, and Breach Notification Rules bieten Richtlinien für Gesundheitsorganisationen, um Informationen auszutauschen, vertrauliche Patientendaten zu schützen und auf einen Verstoß zu reagieren und ihn zu melden.

HIPAA-Datenschutzregel

Die HIPAA-Datenschutzregel konzentriert sich in erster Linie auf die Verwendung und Offenlegung geschützter Gesundheitsinformationen. Die Verwendung und Offenlegung von PHI ist nur aus bestimmten Gründen gestattet, wie z. B. Behandlung, Zahlung und Gesundheitsversorgung. Jede andere Verwendung oder Offenlegung bedarf der vorherigen schriftlichen Zustimmung des Patienten.

Der HIPAA-Mindeststandard verlangt auch, dass der Zugang zu PHI eingeschränkt wird. Der Zugang zu PHI sollte nur Mitarbeitern gewährt werden, die ihn für ihre Arbeit benötigen. Dieser Zugriff sollte auch auf die Informationen beschränkt sein, die zur Erfüllung ihrer Aufgaben erforderlich sind.

Beispielsweise benötigt ein Verwaltungsassistent möglicherweise Zugriff auf einige Patienteninformationen, um einen Termin zu vereinbaren. Dieser Mitarbeiter müsste wahrscheinlich den Namen des Patienten, Kontaktinformationen, Versicherungsinformationen und in einigen Fällen grundlegende Verfahrensinformationen kennen, um die Dauer des Termins zu bestimmen. Sie benötigen keinen Zugriff auf die vollständige Patientenakte.

Ihre Hinweise zu Datenschutzpraktiken (NPP) müssen klar darlegen, wie Ihre Organisation Patientendaten verwendet und offenlegt. Es sollte auch die Rechte der Patienten in Bezug auf ihre Informationen erörtern. Den Patienten sollte bei der Einnahme ein NPP zur Überprüfung zur Verfügung gestellt werden.

Auch die Patientenrechte (HIPAA-Auskunftsrecht) werden in der Privacy Rule ausführlich behandelt. Der HIPAA Right of Access-Standard verpflichtet Gesundheitsdienstleister, Patienten auf Anfrage Zugang zu ihren Krankenakten zu gewähren. Angeforderte Aufzeichnungen müssen dem Patienten innerhalb von 30 Tagen nach der Anfrage zur Verfügung gestellt werden. Patienten haben auch das Recht, ihre Unterlagen gegebenenfalls in dem von ihnen gewünschten Format zu erhalten.

HIPAA-Sicherheitsregel

Die HIPAA-Sicherheitsregel verlangt, dass die Vertraulichkeit, Integrität und Verfügbarkeit von PHI gewahrt bleibt. Im Wesentlichen bedeutet dies, dass Gesundheitsorganisationen die Privatsphäre von PHI schützen und deren unbefugte Änderung oder Zerstörung verhindern müssen. HIPAA-Sicherheitsvorkehrungen helfen, eine optimale Datensicherheit zu erreichen.

Was sind HIPAA-Sicherheitsvorkehrungen?

HIPAA-Schutzmaßnahmen sind administrative, technische und physische Maßnahmen, die ergriffen werden, um unbefugten Zugriff, Verwendung oder Offenlegung von PHI zu verhindern.

Administrative Sicherheitsvorkehrungen sind Richtlinien und Verfahren, die den Mitarbeitern Richtlinien für die ordnungsgemäße Verwendung und Offenlegung von PHI geben. Sie skizzieren auch die HIPAA-Schulungs- und Sicherheitsrisikobewertungsanforderungen für Mitarbeiter.

Technische Sicherungsmaßnahmen sind Maßnahmen zum Schutz elektronischer PHI (ePHI). Gängige Beispiele für technische Sicherheitsvorkehrungen sind Verschlüsselung, Benutzerauthentifizierung, Zugriffskontrollen und Auditkontrollen.

• Verschlüsselung: codiert Daten, sodass Unbefugte die Informationen nicht lesen können.
• Benutzerauthentifizierung: Versieht jeden Benutzer mit einer eindeutigen Benutzer-ID für den Zugriff auf das Netzwerk Ihrer Organisation.
• Audit-Kontrollen: ermöglichen Administratoren die einfache Überwachung verdächtiger Aktivitäten in einem Netzwerk, z. B. wenn ein Benutzer von einem verdächtigen Ort auf ein Netzwerk zugreift, oder mehrere fehlgeschlagene Anmeldeversuche eines einzelnen Benutzers.
• Zugriffskontrollen: Ermöglichen Sie es Administratoren, verschiedene Zugriffsebenen für Patienteninformationen basierend auf der beruflichen Rolle des Mitarbeiters festzulegen.

Physische Sicherheitsvorkehrungen wie Schlösser und Alarmsysteme schützen den physischen Standort einer Organisation.

Regel zur Meldung von HIPAA-Verstößen

Die HIPAA Breach Notification Rule verlangt von betroffenen Unternehmen und Geschäftspartnern, PHI-Verstöße zu melden.

Nicht alle Vorfälle sind Verstöße. Häufige Beispiele für Verstöße sind Hacking-Vorfälle, unbefugter Zugriff auf PHI, Offenlegung von PHI an eine unbefugte Partei, Diebstahl oder Verlust von Papierunterlagen und Diebstahl oder Verlust unverschlüsselter tragbarer elektronischer Geräte.

Beispielsweise stellt der Diebstahl oder Verlust eines verschlüsselten Laptops keine Verletzung dar, da auf die Informationen nicht zugegriffen werden kann. Wenn die Informationen auf dem Laptop nicht sicher waren und Unbefugten zugänglich wurden, wäre dies ein Verstoß.

Verstöße gegen Patientendaten sind meldepflichtig. Die verletzte Organisation muss die betroffenen Patienten innerhalb von 60 Tagen nach Entdeckung des Vorfalls schriftlich benachrichtigen. Organisationen müssen den Verstoß auch dem Department of Health and Human Services (HHS) melden.

Wenn der Vorfall weniger als 500 Patienten betrifft, haben Organisationen bis zu sechzig Tage nach Ende des Kalenderjahres Zeit, um ihn dem HHS zu melden. Wenn der Vorfall 500 oder mehr Patienten betrifft, müssen Organisationen ihn 30 Tage nach Entdeckung an HHS melden. Verstöße, von denen 500 oder mehr Patienten betroffen sind, müssen auch den Medien gemeldet werden.

Welche Informationen schützt HIPAA?

HIPAA schützt Patientendaten, bekannt als Protected Health Information (PHI). PHI ist definiert als jede individuell identifizierbare Gesundheitsinformation im Zusammenhang mit der vergangenen, gegenwärtigen oder zukünftigen Bereitstellung von Gesundheitsleistungen.

Elektronisch geschützte Gesundheitsinformationen (ePHI) sind PHI, die in einem elektronischen Format gespeichert sind, z. B. auf einem Laptop oder in einer Plattform für elektronische Patientenakten. ePHI müssen auch unter HIPAA geschützt werden.

18 HIPAA-Kennungen

Das Department of Health and Human Services (HHS) klassifiziert geschützte Gesundheitsinformationen in 18 eindeutige Kennungen. Jede der 18 Kennungen gilt als PHI, wenn sie mit der Bereitstellung von Gesundheitsdiensten verbunden ist.

Quelle: Compliance Group

Im Folgenden sind die 18 HIPAA-Kennungen aufgeführt:

1. Patientennamen
2. Geografische Elemente wie Straßenadresse, Stadt, Landkreis oder Postleitzahl
3. Daten im Zusammenhang mit der Gesundheit oder Identität von Personen, einschließlich Geburtsdaten, Aufnahmedatum, Entlassungsdatum, Todesdatum oder genaues Alter eines Patienten über 89
4. Telefonnummern
5. Faxnummern
6. E-mailadressen
7. Sozialversicherungsnummern
8. Krankenaktennummern
9. Begünstigtennummern der Krankenkassen
10. Kontonummern
11. Zertifikats- oder Lizenznummern
12. Fahrzeugkennungen
13. Geräteattribute oder Seriennummern
14. Digitale Identifikatoren wie Website-URLs
15. IP-Adressen
16. Biometrische Elemente, einschließlich Finger-, Netzhaut- und Stimmabdrücke
17. Fotografische Bilder mit vollem Gesicht
18. Andere Identifikationsnummern oder Codes

Wer muss HIPAA-konform sein?

Ein weit verbreitetes Missverständnis ist, dass HIPAA gilt, wenn auf Gesundheitsinformationen zugegriffen oder diese offengelegt werden. Während HIPAA die Verwendung und Offenlegung von PHI einschränkt, gilt HIPAA nur für Organisationen, die an Behandlungen, Zahlungen oder Gesundheitsoperationen beteiligt sind. Diese Organisationen werden als „Covered Entities“ und „Business Associates“ bezeichnet.

Organisationen mit dem Potenzial, auf PHI oder ePHI zuzugreifen, müssen HIPAA-konform sein.

Abgedeckte Einheiten

Zu den betroffenen Unternehmen gehören Gesundheitsdienstleister, Versicherungsunternehmen und Clearingstellen. Ärzte, Zahnärzte, Psychotherapeuten, Chiropraktiker und Krankenkassen sind alle versicherte Einrichtungen.

Geschäftspartner

Geschäftspartner sind Lieferanten, die von einer betroffenen Einheit unter Vertrag genommen werden und möglicherweise Zugang zu PHI haben. Plattformen für elektronische Gesundheitsakten (EHR), E-Mail-Dienstleister, Online-Terminplaner und Managed Service Provider sind gängige Beispiele für Geschäftspartner.

Wie man HIPAA-konform ist

Die HIPAA-Compliance umfasst mehrere Schritte. Es ist eher ein Pass or Fail. Sie sind konform, oder Sie sind es nicht. Sie müssen die Anforderungen für jeden Schritt erfüllen, um HIPAA-konform zu sein, und einige dieser Anforderungen jährlich erfüllen.

Quelle: Compliance Group

Führen Sie Sicherheitsrisikobewertungen durch, identifizieren Sie Lücken und integrieren Sie Abhilfepläne

Sicherheitsrisikobewertungen (SRAs) sind unerlässlich, um Ihre HIPAA-Anforderungen zu erfüllen. Um HIPAA-konform zu sein, müssen Sie jährlich eine HIPAA-Sicherheitsrisikobewertung durchführen. Dies liegt daran, dass SRAs Ihren aktuellen Schutz anhand der HIPAA-Standards messen. Eine Lücke tritt auf, wenn Ihre aktuelle Arbeit nicht ausreicht, um die HIPAA-Standards zu erfüllen.

„Lücken“ sind Mängel, die zu HIPAA-Verstößen und -Verstößen führen können. Hier kommen Sanierungspläne ins Spiel. Abhilfepläne schaffen umsetzbare Schritte, um Compliance-Lücken zu schließen. Um wirksam zu sein, müssen Sanierungspläne spezifisch sein, einschließlich der Maßnahmen zur Schließung der Lücke, der für die Sanierung verantwortlichen Personen und eines Zeitplans für die Sanierung.

Implementieren Sie Richtlinien und Verfahren

Richtlinien und Verfahren müssen unter Berücksichtigung der drei HIPAA-Regeln entworfen werden. Richtlinien und Verfahren sollten sich an die Art und Größe einer Organisation anpassen und jährlich überprüft und aktualisiert werden, um wirksam zu sein.

Richtlinien und Verfahren skizzieren:

• Die ordnungsgemäße Verwendung und Offenlegung von PHI durch Ihr Unternehmen und Ihre Mitarbeiter
• Wie Ihre Organisation PHI sichert
• Was ist im Falle eines Verstoßes oder vermuteten Verstoßes zu tun?

In der Vergangenheit haben Organisationen HIPAA-Handbücher für ihre Richtlinien und Verfahren verwendet. Da HIPAA-Handbücher jedoch sofort einsatzbereit sind, gehen sie nicht auf die Nuancen der Arbeitsweise Ihres Unternehmens ein.

Richtlinien und Verfahren, die für eine kleine medizinische Praxis geeignet sind, sind für eine große Krankenhausgruppe möglicherweise nicht wirksam, ebenso wie Richtlinien und Verfahren, die für eine betroffene Einheit geschrieben wurden, möglicherweise nicht auf einen Geschäftspartner anwendbar sind.

Führen Sie HIPAA-Schulungen für Mitarbeiter durch

Mitarbeiter mit potenziellem Zugang zu PHI oder ePHI müssen jährlich geschult werden. Die Schulung sollte Best Practices für HIPAA, einen Überblick über die Richtlinien und Verfahren Ihres Unternehmens sowie Best Practices für Cybersicherheit umfassen.

HIPAA empfiehlt, dass Mitarbeiter bei ihrer Einstellung geschult werden sollten, daher reicht es nicht aus, einmal im Jahr einen Schulungskurs abzuhalten. Ein flexibles HIPAA-Schulungsprogramm für Mitarbeiter ist unerlässlich, um den Schulungsbedarf zu decken.

Die Verwendung eines Online-Schulungstools ist der beste Weg, dies zu erreichen. Mit einem Online-Schulungsprogramm können Mitarbeitern bei Bedarf Schulungen zugewiesen werden, sie können ihre Schulungen in ihrem eigenen Tempo absolvieren, und Administratoren können den Fortschritt der Mitarbeiter verfolgen.

Geschäftspartnerverträge unterzeichnen

HIPAA Business Associate Agreements (HIPAA BAAs) sind rechtsgültige Verträge, die zwischen einer betroffenen Einheit und ihrem Geschäftspartner (oder zwischen zwei Geschäftspartnern) unterzeichnet werden müssen. HIPAA BAAs sollten vor dem Austausch von PHI oder ePHI unterzeichnet werden. Nicht jeder Anbieter ist bereit oder in der Lage, als Geschäftspartner aufzutreten; unterschreibt der Anbieter keine BAA, kann er keine Geschäftspartnerpflichten erfüllen.

Angenommen, Sie suchen nach einem Online-Terminplaner, mit dem Patienten ihre eigenen Termine buchen können. Sie finden einen Anbieter, der Ihre administrativen Anforderungen erfüllt, aber er möchte keine Affiliate-Vereinbarung unterzeichnen. Sie können keinen Vertrag mit diesem Anbieter für die Patientenplanung abschließen, bis sie eine BAA unterzeichnet haben.

Incident Management und Reaktion

Ein Teil der HIPAA-Compliance ist die Implementierung eines getesteten Incident-Response-Plans. Mit einem Incident-Response-Plan können Sie Incidents schnell erkennen, darauf reagieren und sie melden. Unternehmen mit einem getesteten Incident-Response-Plan reduzieren die Zeit, die für die Wiederherstellung nach einem Incident erforderlich ist, erheblich und senken gleichzeitig die Kosten.

HIPAA-Verstöße und Bußgelder

Während viele Verstöße zu HIPAA-Verstößen führen, ist der Verstoß selbst nie der Grund, warum ein Unternehmen mit einer Geldstrafe belegt wird. HIPAA-Verstöße treten auf, wenn eine Organisation die HIPAA-Standards nicht einhält. HIPAA-Bußgelder können je nach Schwere des Verstoßes verhängt werden.

Quelle: Compliance Group

Häufige Beispiele für HIPAA-Verstöße sind das Versäumnis:

• Führen Sie eine genaue und gründliche Risikobewertung durch
• Bieten Sie Patienten rechtzeitig Zugang zu ihren Krankenakten
• Reagieren Sie richtig auf Online-Patientenbewertungen
• Haben Sie eine unterzeichnete Geschäftspartnervereinbarung mit einem Geschäftspartner
• Patientenakten ordnungsgemäß entsorgen

Wann würde also eine Organisation wegen eines Verstoßes mit einer Geldstrafe belegt?

HIPAA-Bußgelder werden basierend auf dem Grad der wahrgenommenen Fahrlässigkeit verhängt.

• Stufe 1 ist für die am wenigsten schwerwiegenden Verstöße. Tier 1-Strafen werden verhängt, wenn ein HIPAA-Verstoß auftritt, weil eine betroffene Einheit oder ein Geschäftspartner die Regel, gegen die er verstoßen hat, nicht kannte. Um als Tier-1-Strafe eingestuft zu werden, muss der Verstoß auch ein Verstoß sein, der nicht hätte vermieden werden können, wenn eine Organisation angemessene Sorgfalt walten ließ, um HIPAA einzuhalten. Bußgelder auf dieser Ebene reichen von 120 bis 60.226 US-Dollar pro Verstoß.
• Tier-2- Verstöße treten auf, wenn ein betroffenes Unternehmen oder ein Geschäftspartner Kenntnis von dem begangenen Verstoß hat. Um als Tier-2-Verstoß zu gelten, handelt es sich um einen Verstoß, der selbst mit einem angemessenen Maß an Sorgfalt hätte vermieden werden können. Die Bußgelder dieser Stufe reichen von 12.045 $ bis 60.226 $ pro Verstoß.
• Tier-3- Verstöße gelten als schwerwiegender als Tier-1- oder Tier-2-Verstöße und unterliegen kostspieligeren Bußgeldern. Tier-3-Verstöße resultieren aus vorsätzlicher Vernachlässigung von HIPAA. Um als Tier 3-Verletzer zu gelten, sollte die Organisation wissen, dass sie gegen HIPAA verstoßen hat, während sie Due Diligence durchführt. Diese Verstöße müssen innerhalb von 30 Tagen korrigiert werden, um als Tier-3-Verstöße zu gelten. Bußgelder auf dieser Ebene reichen von 1.205 $ bis 12.045 $ pro Verstoß.
• Tier-4 -Verstöße beinhalten vorsätzliche Missachtung der HIPAA-Regeln. OCR verhängt Tier-4-Strafen, wenn das betroffene Unternehmen oder der Geschäftspartner nicht versucht hat, den Verstoß zu beheben. Bußgelder auf dieser Ebene reichen von 60.226 $ bis 1.806.757 $ pro Verstoß.

Organisationen, die gegen HIPAA verstoßen, unterliegen häufig OCR-Überwachung und Korrekturmaßnahmen. Korrekturmaßnahmenpläne werden von OCR nach Abschluss der HIPAA-Verletzungsuntersuchungen entwickelt, wenn Organisationen Mängel feststellen. Sie sollen weitere Verstöße und Vorfälle verhindern, indem sie das Compliance-Programm der Organisation an den HIPAA-Standards ausrichten.

Bleiben Sie konform; bleib sicher

Der Health Insurance Portability and Accountability Act sollte höchste Priorität für jede Organisation haben, die im Gesundheitswesen tätig ist (betroffene juristische Person oder Geschäftspartner). Einfach ausgedrückt: Um im Gesundheitswesen zu arbeiten, müssen Sie HIPAA-konform sein.

Ohne HIPAA sind Patientendaten anfällig für unbefugte Nutzung und Offenlegung. Wenn ein Verstoß auftritt, verlieren Patienten nicht nur das Vertrauen in die Fähigkeit eines Unternehmens, ihre vertraulichen Informationen zu schützen, sondern es kann auch zu HIPAA-Verstößen und kostspieligen Bußgeldern kommen.

Durch die Implementierung eines effektiven HIPAA-Compliance-Programms, das alle HIPAA-Standards erfüllt, verbessern Sie Ihre allgemeine Sicherheitslage und verringern die Wahrscheinlichkeit von Verstößen und Verstößen.

Die Patienten sind sich jetzt HIPAA und ihrer Rechte besser bewusst. Die HIPAA-Konformität gibt ihnen die Gewissheit, dass sie Ihnen ihre sensiblen Informationen anvertrauen können.

Das Datenschutzmanagement endet nicht mit der Erlangung einer Art von Compliance. Erfahren Sie alles über das Datenschutzmanagement und die Sicherheit Ihres Unternehmens.