{{{sourceTextContent.title}}}

Wer setzt den HIPAA durch: Was Sie wissen müssen, um die Vorschriften einzuhalten

{{{sourceTextContent.subTitle}}}

Wie das Amt für Bürgerrechte PHI geheim hält

{{{sourceTextContent.description}}}

Der Health Insurance Portability and Accountability Act, kurz HIPAA, hat seit seinem Inkrafttreten im Jahr 1996 massive Auswirkungen auf das amerikanische Gesundheitswesen. Viele im Gesundheitswesen sind sich dessen bewusst, aber viele müssen entweder lernen oder sind sich nicht sicher, wer den HIPAA tatsächlich durchsetzt.

Wir befassen uns heute mit diesem Thema, angefangen bei den beteiligten Regierungsstellen bis hin zu den verschiedenen Strafen, die gegen Unternehmen verhängt werden können, die sich nicht an das Gesetz halten.

Wer ist für die Durchsetzung der HIPAA-Vorschriften zuständig?

Ganz einfach: das Office of Civil Rights, oder OCR. Die Behörde untersteht dem US-Ministerium für Gesundheit und menschliche Dienstleistungen (HHS).

Das OCR ist für die Durchsetzung des HIPAA verantwortlich. Es stellt Informationen für Einzelpersonen im Rahmen des HIPAA und Regeln für abgedeckte Einrichtungen und Geschäftspartner bereit.

Wie bereits erwähnt, handelt es sich bei den "abgedeckten Einrichtungen" im Grunde um alle Personen, die gemäß der Definition des HHS über elektronisch geschützte Gesundheitsinformationen (PHI) verfügen. Sie werden normalerweise unterteilt in:

Gesundheitsfürsorgepläne wie Krankenversicherungen, staatliche Programme, die für die Gesundheitsfürsorge zahlen (Beispiel: Medicare), und Militär- und Veteranengesundheitsprogramme (Beispiel: das VA).

Clearingstellen für das Gesundheitswesen sind z. B. medizinische Abrechnungsdienste, Unternehmen für die Preisgestaltung oder kommunale Gesundheitsmanagement-Informationssysteme (HMI).

Ärzte, Apotheken und Pflegeheime

Die OCR ist auch an der Bewältigung der Opioid-Überdosis-Krise beteiligt, die in den USA grassiert.

Kürzlich kündigte die Behörde an, dass sie auch für die Cybersicherheit zuständig sein wird.

Neben dem HIPAA ist die OCR auch für Folgendes zuständig:

Durchsetzung von Bundesgesetzen zum Schutz der Rechte von Einzelpersonen und Einrichtungen vor rechtswidriger Diskriminierung aus Gründen der Rasse, der Hautfarbe, der nationalen Herkunft, einer Behinderung, des Alters oder des Geschlechts im Bereich der Gesundheits- und Humandienstleistungen.

Durchsetzung von Bundesgesetzen zum Schutz des Gewissens und der freien Religionsausübung im Gesundheits- und Sozialwesen. Dazu gehört das Verbot von Zwang und religiöser Diskriminierung.

Das OCR: Liste seiner Aufgaben

Der HIPAA enthält drei wichtige Regeln für den Schutz von PHI. Sie lauten:

Die Privacy Rule

Die Sicherheitsregel

Die Regel zur Benachrichtigung über Verstöße

Die Datenschutzregel

Die Privacy Rule dient dem Schutz von PHI. Sie kann in zwei Teilen betrachtet werden:

Abgedeckte Einrichtungen müssen Schutzmaßnahmen zum Schutz von Patientendaten ergreifen, die von der Festlegung von Grenzen und Bedingungen für die Verwendung der Daten bis hin zur Art des Zugriffs auf die Daten reichen.

Die Patienten haben bestimmte Rechte auf Zugang zu ihren PHI.

Die Sicherheitsvorschrift

Diese Standards und Anforderungen müssen angewandt werden, um PHI zu schützen, wenn sie von betroffenen Einrichtungen und Geschäftspartnern gespeichert werden oder wenn sie übertragen werden. Ein Beispiel für Letzteres wäre der Austausch zwischen dem medizinischen Tablet einer Krankenschwester und dem Smartphone eines Arztes.

Sicherheitsvorkehrungen sind eine Möglichkeit, diese Vorschrift zu erfüllen, z. B. die Verwendung eingebauter RFID-Lesegeräte und einer Single-Sign-On-Software wie Imprivata in einem solchen medizinischen Tablet.

Die Regel zur Benachrichtigung bei Datenschutzverletzungen

Diese Vorschrift legt fest, was passiert, wenn die betroffene Einrichtung und ihre Geschäftspartner von einer Datenschutzverletzung betroffen sind.

Wird zuerst der Patient benachrichtigt? Oder der Direktor des OCR? Was ist mit dem HHS oder gar den Medien?

Diese Vorschrift beantwortet diese Fragen und mehr.

Das OCR setzt auch andere, spezifischere HIPAA-Regeln wie die Transaktionsregel, die Kennzeichnungsregel und die Durchsetzungsregel durch,

Wie die OCR Entscheidungen durchsetzt

Die OCR setzt den HIPAA auf verschiedene Weise durch.

Eine davon ist die Untersuchung von Beschwerden. Jede Beschwerde muss strengen Richtlinien entsprechen, damit die Behörde sie berücksichtigen kann.

Der mögliche Verstoß muss innerhalb der letzten sechs Jahre erfolgt sein.

Die betroffene Einrichtung oder der beteiligte Geschäftspartner fällt unter die HIPAA-Vorschriften.

Die von der Einrichtung oder dem Geschäftspartner begangene Handlung verstößt gegen die HIPAA-Bestimmungen.

Die Person, die die Beschwerde einreicht, muss diese innerhalb von 180 Tagen nach Entdeckung des möglichen Verstoßes einreichen.

Eine weitere Möglichkeit der OCR, den HIPAA durchzusetzen, sind Compliance-Überprüfungen oder Audits. Sie setzt sich mit den betroffenen Einrichtungen in Verbindung, um sicherzustellen, dass ihre Verfahren den Vorschriften entsprechen. Dies kann im Rahmen einer Untersuchung einer Beschwerde oder nach dem Zufallsprinzip geschehen.

Wenn die OCR feststellt, dass eine betroffene Einrichtung den HIPAA nicht einhält, wird sie mit ihr zusammenarbeiten:

Freiwillige Einhaltung durch die betroffene Einrichtung

Durchführung von Abhilfemaßnahmen.

Abschluss einer Lösungsvereinbarung.

Die Art der Beschwerde, der Verstoß und die betroffenen Einrichtungen beeinflussen die Verhandlungen des OCR mit der jeweiligen Einrichtung oder dem Geschäftspartner.

Zivilrechtliche Geldstrafen

Leider kann es vorkommen, dass einige betroffene Einrichtungen oder ihre Geschäftspartner ihren Teil der Abmachung mit dem OCR nicht einhalten. Wenn die Behörde dies feststellt, kann sie zivilrechtliche Geldstrafen (CMPs) verhängen:

$100 bis $50.000 für jeden Verstoß, den die Einrichtung begangen hat, aber "nicht wusste"

1.000 bis 50.000 US-Dollar für jeden Verstoß, den die Einrichtung begangen hat und für den sie einen so genannten "vernünftigen Grund" hatte

10.000 $ bis 50.000 $ für jeden Verstoß, den das Unternehmen "vorsätzlich fahrlässig" begangen hat, wobei Abhilfemaßnahmen erforderlich sind.

Ein Satz von 50.000 $, wenn sie "vorsätzliche Nachlässigkeit" ohne Abhilfemaßnahmen begehen.

Betroffene Einrichtungen oder Geschäftspartner können mit einer Geldstrafe von bis zu 1.500.000 $ für alle Verstöße gegen eine identische Bestimmung innerhalb eines Kalenderjahres (vor Inflation) belegt werden.

Strafrechtliche Sanktionen

Bei schwereren Verstößen kann das OCR strafrechtliche Sanktionen verhängen:

50.000 $ und bis zu einem Jahr Haft für den vorsätzlichen Missbrauch von PHI.

100.000 Dollar und bis zu fünf Jahre Gefängnis, wenn ein falscher Eindruck erweckt wird.

250.000 $ und bis zu 10 Jahre Gefängnis für Verstöße, die zum persönlichen Vorteil begangen wurden.

Beachten Sie, dass das OCR bei der Durchsetzung des HIPAA nicht allein tätig ist. Falls erforderlich, kann das OCR auf die Durchsetzungsbefugnisse von:

Centers for Medicare and Medicaid Services

U.S. Food and Drug Administration

Bundeskommission für Kommunikation

HHS

Schließlich können viele Generalstaatsanwälte der Bundesstaaten den HIPAA durchsetzen.

Abschließende Überlegungen

Das Office of Civil Rights (OCR) setzt die HIPAA-Vorschriften durch. Als Teil der US-Gesundheitsbehörde stellt das OCR sicher, dass die betroffenen Einrichtungen die Vorschriften einhalten und bei Nichteinhaltung angemessen behandelt werden. Dabei handelt es sich um Leistungserbringer, Versicherungsgesellschaften und alle anderen Einrichtungen und deren Geschäftspartner, die unter den HIPAA fallen.

Wenden Sie sich an einen Experten von Cybernet, wenn Sie sicherstellen möchten, dass Ihre medizinischen Computer und ähnliche Geräte HIPAA-konform sind. Wir können Ihnen auch vorschlagen, wie Sie bei Ihren Bemühungen um die Einhaltung des HIPAA unterstützt werden können, wozu auch die Einhaltung der von der OCR verhängten Strafen gehören kann.