HIPAA, oder der Health Insurance Portability and Accountability Act von 1996, ist ein US-Bundesgesetz zum Schutz sensibler Gesundheitsdaten. Es gilt für:

- Erfasste Einrichtungen: Gesundheitsdienstleister (z. B. Krankenhäuser, Kliniken), Gesundheitspläne (z. B. Versicherungsgesellschaften) und Clearingstellen für das Gesundheitswesen.

- Business Associates: Drittanbieter oder Auftragnehmer, die geschützte Gesundheitsinformationen (PHI) im Auftrag von betroffenen Einrichtungen verarbeiten, wie z. B. Abrechnungsunternehmen oder Cloud-Speicheranbieter.

Der HIPAA regelt den Datenschutz, die Sicherheit und die Benachrichtigung bei Verstößen im Umgang mit PHI und gewährleistet Patientenrechte und Datensicherheit.

1. PHI bezieht sich auf alle Informationen, die eine Person identifizieren können und sich auf ihren Gesundheitszustand, Gesundheitsdienstleistungen oder die Bezahlung der Gesundheitsversorgung beziehen. Dazu gehören: - Patientennamen, Adressen, Geburtsdaten und Sozialversicherungsnummern. - Krankenakten, Testergebnisse und Behandlungspläne. - Abrechnungs- und Versicherungsinformationen.

   PHI sind gemäß HIPAA geschützt, wenn sie von betroffenen Einrichtungen oder deren Geschäftspartnern erstellt, aufbewahrt oder übermittelt werden.

Der HIPAA umfasst vier zentrale Vorschriften:

1. Datenschutz-Regel: Regelt die Verwendung und Weitergabe von PHI und räumt den Patienten Rechte an ihren Daten ein.

2. Sicherheitsbestimmung: Setzt Standards für den Schutz elektronischer PHI (ePHI) durch administrative, technische und physische Sicherheitsvorkehrungen.

3. Regel zur Benachrichtigung bei Verstößen: Verlangt von betroffenen Einrichtungen und Geschäftspartnern, die betroffenen Personen, das HHS und manchmal auch die Medien nach einer Datenschutzverletzung zu benachrichtigen.

4. Durchsetzungsregel: Umreißt die Sanktionen bei Nichteinhaltung, die von Abhilfemaßnahmen bis zu erheblichen Geldstrafen reichen.

Zusammen bilden diese Vorschriften einen umfassenden Rahmen für den Schutz von Gesundheitsinformationen

Ein Verstoß gegen den HIPAA liegt vor, wenn eine der HIPAA-Anforderungen nicht eingehalten wird, einschließlich: - Unbefugter Zugang oder Offenlegung von PHI. - Fehlen geeigneter Sicherheitsvorkehrungen, wie Verschlüsselung oder Zugangskontrollen. - Versäumnis, die betroffenen Personen innerhalb des vorgeschriebenen Zeitrahmens über eine Datenschutzverletzung zu informieren.

Die Strafen für Verstöße hängen vom Grad der Fahrlässigkeit ab und können von $100 pro Vorfall bis zu über $1,5 Millionen jährlich für schwere oder vorsätzliche Verstöße reichen.

Organisationen können die Einhaltung des HIPAA durch folgende Maßnahmen sicherstellen:

1. Regelmäßige Durchführung von Risikobewertungen um Schwachstellen in ihren Systemen zu ermitteln und zu beheben.

2. Umsetzung von administrative Sicherheitsvorkehrungen wie z. B. Mitarbeiterschulungen und Reaktionspläne für Zwischenfälle.

3. Durchsetzung von physische Sicherheitsvorkehrungen wie z. B. den sicheren Zugang zu Einrichtungen und die Geräteverwaltung.

4. Bereitstellung von technische Sicherheitsvorkehrungen wie Verschlüsselung, Multi-Faktor-Authentifizierung und Prüfpfade.

5. Pflege von Vereinbarungen für Geschäftspartner (BAAs) mit allen Anbietern, die mit PHI umgehen.

Regelmäßige Überwachung und Dokumentation sind auch für die kontinuierliche Einhaltung der Vorschriften unerlässlich.

Ein BAA ist ein rechtsverbindlicher Vertrag zwischen einer betroffenen Einrichtung und einem Geschäftspartner. Es stellt sicher, dass der Geschäftspartner: - PHI nur so verwendet und offenlegt, wie es der HIPAA erlaubt. - Sicherheitsvorkehrungen zum Schutz von PHI einführt. - Verstöße oder die unbefugte Nutzung von PHI meldet.

Ohne eine BAA können sowohl die betroffene Einrichtung als auch der Geschäftspartner bei Nichteinhaltung mit Strafen belegt werden.

- Datenschutz-Regel: Gilt für alle Formen von PHI (schriftlich, elektronisch oder mündlich) und konzentriert sich auf die Kontrolle des Zugangs zu und der Verwendung von PHI zum Schutz der Patientenrechte.

- Sicherheitsbestimmung: Gilt speziell für elektronische PHI (ePHI) und erfordert administrative, physische und technische Sicherheitsvorkehrungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von ePHI.

Zusammen gewährleisten diese Vorschriften einen umfassenden Schutz von Gesundheitsinformationen.

Die Breach Notification Rule des HIPAA verpflichtet betroffene Einrichtungen und Geschäftspartner zu folgenden Maßnahmen: - Betroffene Personen innerhalb von 60 Tagen nach Entdeckung des Verstoßes zu benachrichtigen. - Verstöße, die mehr als 500 Personen betreffen, dem HHS und manchmal den Medien zu melden. - Maßnahmen zur Schadensbegrenzung und zur Vermeidung künftiger Verstöße zu ergreifen.

Unternehmen müssen Verstöße dokumentieren und gründliche Untersuchungen durchführen, um den HIPAA einzuhalten.

Ja, der HIPAA schreibt vor, dass betroffene Unternehmen und Geschäftspartner ihre Mitarbeiter regelmäßig schulen müssen. Die Schulung muss Folgendes umfassen: - Richtiger Umgang mit PHI. - Sicherheits- und Datenschutzrichtlinien. - Erkennen von und Reagieren auf mögliche Verstöße. Die Mitarbeiter müssen bei ihrer Einstellung und danach in regelmäßigen Abständen eine Schulung absolvieren.

Bei einem HIPAA-Audit, das vom Office for Civil Rights (OCR) durchgeführt wird, wird die Einhaltung der HIPAA-Anforderungen durch eine Organisation überprüft. Die Prüfer untersuchen: - Risikobewertungen und Managementpläne. - Richtlinien und Verfahren zum Schutz von PHI. - Sicherheitsmaßnahmen, einschließlich Verschlüsselung und Zugangskontrollen. - Schulungsunterlagen und Vereinbarungen mit Geschäftspartnern.

Die Nichteinhaltung kann zu Strafen, Plänen für Abhilfemaßnahmen und öffentlicher Berichterstattung über Verstöße führen.