Der U.S. Health Insurance Portability and Accountability Act (HIPAA) verlangt von Unternehmen, die mit geschützten Gesundheitsinformationen arbeiten, dass sie physische, Netzwerk- und Prozesssicherheitsmaßnahmen implementieren und diese befolgen.

Jeder, der im Gesundheitswesen Behandlungen, Zahlungen und Operationen durchführt, unterliegt den HIPAA-Compliance-Regeln. Geschäftspartner, einschließlich aller Personen, die Zugang zu Patientendaten haben und Unterstützung bei der Behandlung, Zahlung oder dem Betrieb leisten, müssen ebenfalls die HIPAA-Regulations erfüllen. Auch andere Unternehmen, wie z. B. Unterauftragnehmer und verbundene Geschäftspartner, sind an den HIPAA gebunden.1

Definition

Der HIPAA besteht aus einer Reihe von bundesstaatlichen Regulierungsstandards, die die rechtmäßige Verwendung und Offenlegung geschützter Gesundheitsinformationen in den Vereinigten Staaten beschreiben. Die Einhaltung des HIPAA wird durch das Department of Health and Human Services (HHS) geregelt und durch das Office for Civil Rights (OCR) durchgesetzt.

HIPAA-Compliance ist eine gelebte Kultur, die Einrichtungen im Gesundheitswesen implementieren müssen, um die Privatsphäre, Sicherheit und Integrität geschützter Gesundheitsdaten zu bewahren.2

HIPAA-Compliance: Geschichte

Der Health Insurance Portability and Accountability Act von 1996 wurde vom US-Kongress verabschiedet und von Präsident Bill Clinton in Kraft gesetzt.

Die HIPAA-Regulations wurden in erster Linie erlassen, um:

  • den Informationsfluss im Gesundheitswesen zu modernisieren.
  • festzulegen, wie persönlich identifizierbare Informationen (PII), die von der Gesundheits- und Krankenversicherungsbranche verwaltet werden, vor Betrug und Diebstahl geschützt werden sollten.
  • Beschränkungen des Krankenversicherungsschutzes ansprechen, wie z. B. die Übertragbarkeit und der Schutz von Personen mit Vorerkrankungen.3

Der HIPAA legt nationale Standards fest, um zu verhindern, dass sensible Gesundheitsinformationen von Patienten ohne deren Wissen oder Zustimmung weitergegeben werden. Das U.S. Department of Health and Human Services (HHS) hat zur Umsetzung dieses Mandats die HIPAA Privacy Rule erlassen.4

Die Privacy Rule enthält 12 Ausnahmen, bei denen Patientendaten ohne die Zustimmung der Patienten weitergegeben werden können. Dazu gehören:

  • Opfer von häuslicher Gewalt oder anderen Übergriffen
  • Gerichtliche und administrative Verfahren
  • Organ-, Augen- oder Gewebespende
  • Arbeiterunfallversicherung5

Ein weiteres Schlüsselelement des HIPAA ist die Security Rule, die innerhalb der Privacy Rule existiert. Diese Untergruppe umfasst alle individuell identifizierbaren Gesundheitsinformationen, die eine betroffene Einrichtung in elektronischer Form erstellt, empfängt, aufbewahrt oder überträgt. Zu den Schlüsselelementen der HIPPA-Security Rule gehören folgende Aspekte:

  • Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller elektronischen geschützten Gesundheitsdaten
  • Erkennung und Schutz vor zu erwartenden Bedrohungen für die Sicherheit der Daten
  • Schutz vor zu erwartenden unzulässigen Verwendungen oder Offenlegungen
  • Zertifizierung der Einhaltung durch die Mitarbeiter

Geschützte Gesundheitsinformationen (Protected Health Information, PHI) sind alle demografischen Informationen, die zur Identifizierung von Patienten oder Kunden einer HIPAA-pflichtigen Einrichtung verwendet werden können. Übliche Beispiele für PHI sind u.a. Namen, Adressen, Telefonnummern, Sozialversicherungsnummern, medizinische Daten, finanzielle Informationen und Profilfotos.6

Analyse der HIPAA-Compliance

Gesundheitsdienstleister und andere Einrichtungen, die mit PHI zu tun haben, gehen immer häufiger zu automatisierten Abläufen über. Dazu gehören computergestützte Systeme zur Eingabe von Arztaufträgen, elektronische Gesundheitsakten sowie Radiologie-, Apotheken- und Laborsysteme. In ähnlicher Weise bieten auch Krankenkassen Zugang zu Leistungsansprüchen, Bescheinigungen sowie Tools zur Verwaltung persönlicher Informationen.

Zwar sorgen all diese elektronischen Methoden für mehr Effizienz und Mobilität, jedoch erhöhen sie gleichzeitig drastisch die Sicherheitsrisiken für die Gesundheitsdaten.7 Und durch diese neuen Risiken ist die Einhaltung des HIPAA wichtiger denn je.

HHS beschreibt sowohl die physischen als auch die technischen Sicherheitsvorkehrungen, die Einrichtungen, die mit sensiblen Patientendaten umgehen, befolgen müssen:

  • Begrenzter Zugang zur Einrichtung und Kontrolle mit autorisiertem Zugang
  • Richtlinien über die Nutzung und den Zugang zu Arbeitsplätzen und elektronischen Medien
  • Beschränkungen für die Übertragung, Entfernung, Entsorgung und Wiederverwendung von elektronischen Medien und ePHI

Ebenso erfordern die technischen Sicherheitsvorkehrungen des HIPAA eine Zugriffskontrolle, die es nur autorisiertem Personal erlaubt, auf ePHI zuzugreifen. Die Zugriffskontrolle umfasst:

  • Verwendung eindeutiger Benutzer-IDs
  • Zugriffsverfahren für Notfälle
  • Automatische Abmeldung
  • Verschlüsselung und Entschlüsselung
  • Audit-Berichte oder Verfolgungsprotokolle, die Aktivitäten auf Hardware und Software aufzeichnen

Weitere technische Richtlinien für die Einhaltung des HIPAA umfassen die Notwendigkeit von Integritätskontrollen oder Maßnahmen, die sicherstellen, dass elektronische Gesundheitsdaten von Patienten (ePHI) nicht verändert oder zerstört werden. IT-Notfallwiederherstellung und Offsite-Backup sind Schlüsselkomponenten und garantieren, dass Fehler und Ausfälle elektronischer Medien schnell behoben werden, damit die Gesundheitsdaten der Patienten korrekt und unversehrt wiederhergestellt werden können.

Eine letzte technische Schutzmaßnahme ist die Netzwerk- oder Übertragungssicherheit, die sicherstellt, dass HIPAA-konforme Hosts vor unbefugtem Zugriff auf ePHI geschützt sind. Diese Schutzmaßnahme betrifft alle Methoden der Datenübertragung, einschließlich E-Mail, Internet oder private Netzwerke, wie z. B. eine private Cloud.

Die besten Lösungen zum Schutz von Daten im Gesundheitswesen erkennen, dass Daten nicht von selbst verloren gehen. Sie sind durch Menschen gefährdet – Menschen, die fahrlässig oder böswillig handeln oder durch einen Angreifer von außen kompromittiert wurden.

Aus diesem Grund steht bei einer effektiven Compliance-Lösung der Mensch im Mittelpunkt. Sie konzentriert sich auf alle Möglichkeiten, wie Menschen versehentlich oder absichtlich Patientendaten preisgeben können – einschließlich strukturierter und unstrukturierter Daten, E-Mails, Dokumente und Scans – und ermöglicht es Gesundheitsdienstleistern, die Daten sicher auszutauschen, um die bestmögliche Patientenversorgung zu gewährleisten.

Patienten vertrauen ihre Daten den Einrichtungen des Gesundheitswesens an, und es ist die Pflicht dieser Einrichtungen, den Schutz der Gesundheitsinformationen zu gewährleisten.5

Die sieben Elemente eines effektiven Compliance-Programms

Das HHS Office of Inspector General (OIG) hat die "Seven Elements of an Effective Compliance Program" erstellt, um Einrichtungen einen Leitfaden an die Hand zu geben, wenn sie Compliance-Lösungen prüfen oder eigene Compliance-Programme erstellen wollen.

Dies sind die grundlegenden, absoluten Mindestanforderungen, die ein effektives Compliance-Programm erfüllen muss. Ein effektives Compliance-Programm muss nicht nur den vollen Umfang der vorgeschriebenen HIPAA-Datenschutz- und Sicherheitsstandards abdecken, sondern auch in der Lage sein, jedes der sieben Elemente abzudecken.

Die sieben Elemente eines effektiven Compliance-Programms:

  1. Implementierung von schriftlichen Richtlinien, Verfahren und Verhaltensstandards
  2. Ernennung eines Compliance-Beauftragten und eines Compliance-Komitees
  3. Durchführung von effektiven Schulungen und Trainings
  4. Entwicklung effektiver Kommunikationswege
  5. Durchführung von internen Überwachungen und Audits
  6. Durchsetzung von Standards durch gut publizierte Disziplinarrichtlinien
  7. Unverzügliche Reaktion auf erkannte Verstöße und Ergreifen von Korrekturmaßnahmen

Im Laufe einer HIPAA-Untersuchung, die von OCR als Reaktion auf einen HIPAA-Verstoß durchgeführt wird, werden die HIPAA-Auditoren das Compliance-Programm Ihrer Einrichtung mit diesen sieben Elementen abgleichen, um dessen Effektivität zu beurteilen.8

1 Digital Guardian. “A Definition of HIPAA Compliance.”
2 Compliancy Group. “What is HIPAA Compliance?”
3 The HIPAA Guide. “HIPAA for Dummies.”  2007-2018
4 Centers for Disease Control and Prevention.
5 Ibid.
6 Compliancy Group. “What is Protected Health Information?”
7 Digital Compliance. “The need for HIPAA compliance”
8 Compliancy Group. “What are the Seven Elements of an Effective Compliance Program?”