Die digitale Revolution hat die Gesundheitsbranche durch fortschrittliche klinische Unterstützungssysteme, elektronischen Gesundheitsakten (EHRs) und Elektronische Patientenakten (EMRs), mHealth-Apps und medizinische Wearables, Telehealth-Plattformen und vieles mehr auf ein neues Niveau gebracht. Aber da das Gesundheitswesen immer stärker digitalisiert wird, sind Datenlecks und -verstöße mittlerweile ein häufiges Phänomen, was zu durchschnittlichen Kosten von 7,1 Millionen Dollar für einen Datenverstoß im Gesundheitswesen führt.
Um sensible medizinische Daten zu schützen, gibt es verschiedene Standards, die von Land zu Land variieren. In unserem heutigen Interview tauchen wir in einen der bekanntesten und etabliertesten HIPAA-Standards. Es gibt viele offizielle Ressourcen, die den Standard im Detail abdecken, daher konzentrieren wir uns auf die wichtigsten Fragen im Zusammenhang mit HIPAA, um alle Aspekte zu klären.
Was ist HIPAA?
Am 21. August 1996 unterzeichnete Bill Clinton das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (Health Insurance Portability and Accountability Act, HIPAA) mit dem Ziel, die Sicherheit und Vertraulichkeit der medizinischen Aufzeichnungen und Daten von Patienten zu garantieren. Unter diesem Gesetz legte das US-Gesundheitsministerium (HHS) Regeln für die Umsetzung von Anforderungen hinsichtlich der Vertraulichkeit, Sicherheit und des elektronischen Austauschs von medizinischen Informationen fest.
Das zentrale Prinzip dieses Gesetzes besteht darin, sicherzustellen, dass Gesundheitsdienstleister und ihre Partner alle notwendigen Schritte unternehmen, um die vertraulichen medizinischen Daten der Patienten zu schützen, die als geschützte Gesundheitsinformationen (PHI) bezeichnet werden.
Was fällt genau unter den Begriff PHI (geschützte Gesundheitsinformationen)?
Da das gesamte Gesetz auf diesem Konzept beruht, ist es entscheidend, seinen genauen Bedeutungsumfang vollständig zu erfassen. Gemäß HIPAA umfasst PHI Gesundheitsinformationen, die verwendet werden können, um eine Person zu identifizieren. Wenn von PHI die Rede ist, denken die Menschen in der Regel an solche Gesundheitsinformationen wie demografische Daten, Krankengeschichte, Laborergebnisse usw.
In Wirklichkeit umfasst PHI jedoch ein breiteres Spektrum von Daten, das auch Versicherungs- und Zahlungsinformationen einschließt. Zum Beispiel fällt eine Rechnung unter geschützte medizinische Informationen, wenn sie spezifische diagnostische Prozedurcodes enthält, die einem bestimmten Patienten zugeordnet werden können. Daher ist die Offenlegung dieser Informationen ohne die entsprechende Einwilligung eine strafbare Verletzung nach HIPAA. Hier ist eine weitere Veranschaulichung: Selbst ein Foto eines Patienten im Wartezimmer einer Gesundheitseinrichtung gilt als geschützte Information, da es den Patienten mit den Aktivitäten dieser Einrichtung verbindet.
Was sind die Hauptregeln von HIPAA?
HIPAA besteht aus fünf Hauptregeln:
- Datenschutzregel setzt die Grenzen dafür fest, wie PHI verwendet und offengelegt werden darf.
- Die Sicherheitsregel schreibt technische, physische und administrative Sicherheitsvorkehrungen vor, die implementiert werden müssen, um PHI zu schützen.
- Die Regel für Transaktionen und Code-Sets ist darauf ausgelegt, den elektronischen Datenaustausch zu standardisieren.
- Die Regel für eindeutige Kennungen schreibt die Verwendung standardisierter Codes zur Identifizierung von Gesundheitseinrichtungen, Mitarbeitern und Patienten vor.
- Die Durchsetzungsregel legt Maßnahmen fest, die ergriffen werden müssen, wenn es zu einem Datenverstoß kommt.
Als Anbieter maßgeschneiderter IT-Lösungen im Gesundheitswesen sind wir hauptsächlich besorgt über die HIPAA-Sicherheitsregel und ihre Bedeutung für die Softwareentwicklung. Das Wichtigste, was man über die HIPAA-Sicherheitsregel verstehen muss, ist, dass sie dazu dient, persönliche Gesundheitsinformationen zu schützen, egal ob sie in elektronischer, schriftlicher oder gesprochener Form vorliegen. Ein weiteres Hauptziel dieser Regel ist es, Situationen aufzudecken und zu verhindern, in denen eine Organisation die Daten einer Person missbrauchen oder offenlegen könnte.
Das heißt, Organisationen müssen dem Prinzip des Mindestbedarfs folgen. Dies bedeutet, dass sie jede Anstrengung unternehmen sollten, um nur die geringste Menge an medizinischen Informationen zu verwenden, zu teilen oder offenzulegen, die für einen bestimmten Zweck erforderlich ist. In einigen Situationen ist es Organisationen nicht gestattet, die vollständige Krankengeschichte offenzulegen, zu übermitteln oder anzufordern.
Es ist auch erwähnenswert, dass die HIPAA-Sicherheitsregel staatliche Gesetze nur außer Kraft setzt, wenn die Vorschriften des Bundesstaates keinen höheren Schutz für sensible medizinische Daten bieten. Andernfalls gilt das Landesgesetz weiterhin.
Wer muss sich an HIPAA halten?
Nun, in erster Linie gilt HIPAA für abgedeckte Entitäten – Gesundheitsdienstleister, Krankenhäuser, Gesundheitseinrichtungen und Versicherungsgesellschaften, die direkt mit Patientendaten arbeiten.
Eine weitere Kategorie umfasst Geschäftspartner, das sind Dienstleister, die für die Verwaltung elektronischer PHI im Auftrag einer abgedeckten Entität verantwortlich sind. Darüber hinaus sind auch Unterauftragnehmer, die mit Geschäftspartnern zusammenarbeiten und ebenfalls ePHI verarbeiten, verpflichtet, diese Vorschriften einzuhalten.
Die letzte Kategorie umfasst die Belegschaft und umfasst alle Mitarbeiter und Freiwilligen, die mit einer abgedeckten Entität oder einem Geschäftspartner verbunden sind. Es umfasst Personen unter direkter Kontrolle der Organisation, unabhängig davon, ob sie bezahlt werden oder nicht.
Im Wesentlichen werden von allen Akteuren im Gesundheitssystem, die mit medizinischen Daten umgehen, erwartet, dass sie sich an diese Vorschriften halten.
Die nächste logische Frage ist, wie wirken sich die HIPAA-Vorschriften auf die Anbieter von IT-Dienstleistungen aus?
Da IT-Dienstleister im Wesentlichen als Unterauftragnehmer für ihre Kunden in der Gesundheitsbranche fungieren, gelten sie in der Regel als Geschäftspartner und unterliegen daher ebenfalls den HIPAA-Vorschriften. Darüber hinaus schreibt HIPAA vor, dass abgedeckte Organisationen ausschließlich mit Geschäftspartnern zusammenarbeiten dürfen, die die Vertraulichkeit und Sicherheit von Gesundheitsdaten gewährleisten können.
Um diese Zusicherungen formal zu gestalten, wird ein Business Associate Agreement (BAA) unterzeichnet, das die Verantwortlichkeiten beider Parteien für die Sicherheit von medizinischen Informationen während ihrer Übertragung festlegt. Eine solche Vereinbarung beschreibt, auf welche PHI ein Geschäftspartner Zugriff haben wird, und die Sicherheitsmaßnahmen, die zum Schutz von PHI getroffen werden müssen. Das BAA sollte auch die Anforderungen an die Schulung der Mitarbeiter definieren und Verfahren im Falle eines Datenverstoßes festlegen sowie Bedingungen für die Beendigung der Vereinbarung.
Es ist wichtig zu beachten, dass IT-Dienstleister auch ähnliche Partnerschaftsvereinbarungen unterzeichnen müssen, bevor sie externe Software oder Produkte verwenden dürfen. Angenommen, ein Drittanbieter-Server wird verwendet, um PHI zu übertragen oder zu speichern, dann muss dieser Server auch den HIPAA-Anforderungen entsprechen. Darüber hinaus schreibt HIPAA vor, dass jeder Server, der HIPAA-konform sein möchte, über die bloße Sicherung elektronischer medizinischer Daten hinausgehen muss. Er sollte auch Funktionen wie die Erstellung umfassender Risikobewertungsberichte, die Verfolgung von Benutzeraktivitäten, die Verschlüsselung von Daten während der Übertragung, die Verhinderung unberechtigter Änderungen oder Löschungen von Dateien und die Festlegung von Verfahren für den Notfallzugriff bieten.
HIPAA ist auch für seine hohen Geldstrafen bei Verstößen bekannt. Wie ernst sind sie?
In der Tat können HIPAA-Verstöße zu erheblichen Strafen führen, und das U.S. Office for Civil Rights ist für die Durchsetzung der HIPAA-Konformität verantwortlich. Die Strafen variieren: Einzelne Verstöße können Geldstrafen im Bereich von 100 bis 50.000 US-Dollar nach sich ziehen, und es gibt eine Obergrenze von 1,5 Millionen US-Dollar pro Kalenderjahr für Verstöße.
Laut dem offiziellen HIPAA-Journal stammen die häufigsten Verstöße aus:
- dem Versäumnis, eine umfassende Risikoanalyse durchzuführen;
- der falschen Offenlegung geschützter medizinischer Informationen;
- dem Unterlassen rechtzeitiger Benachrichtigungen bei Datenlecks;
- dem Vernachlässigen der Verschlüsselung von medizinischen Informationen der Patienten;
- dem Nichtabschließen einer Geschäftspartnervereinbarung, die mit HIPAA konform ist.
Diese Strafen kommen in vier Stufen, je nach Ernsthaftigkeit der Handlungen.
Stufe 1: Diese Stufe befasst sich mit Verstößen, die auftraten, als eine abgedeckte Entität keine Kenntnis von dem Verstoß hatte und diesen vernünftigerweise nicht hätte vermeiden können.
Stufe 2: Diese Stufe betrifft Verstöße, von denen eine abgedeckte Entität hätte wissen müssen, die sie jedoch auch bei angemessenem Maß an Vorsicht nicht hätte verhindern können.
Stufe 3: Auf dieser Stufe tritt ein Verstoß aufgrund eines vorsätzlichen Missachtens der HIPAA-Regeln auf, wird jedoch innerhalb von 30 Tagen nach seiner Entdeckung umgehend behoben.
Stufe 4: Diese Stufe umfasst Verstöße aufgrund vorsätzlicher Vernachlässigung, ohne dass innerhalb des 30-Tage-Zeitrahmens versucht wird, sie anzugehen.
Bisher haben wir über die Haftung eines Unternehmens gesprochen, aber die HIPAA-Gesetzgebung schreibt auch zivilrechtliche Haftung vor und in einigen Fällen könnten Personen, die gegen HIPAA-Regeln verstoßen, strafrechtlich verfolgt werden. Die schwerste strafrechtliche Strafe kann bis zu 10 Jahre Gefängnis zur Folge haben, wenn die Person vorsätzlich beabsichtigte, den Verstoß zu begehen.
Zusammenfassend
In der heutigen digitalen Ära kann die Bedeutung des zuverlässigen Schutzes von Gesundheitsinformationen nicht überschätzt werden, und HIPAA zielt darauf ab, die sensiblen Gesundheitsdaten der Patienten durch strenge Standards und Regeln zu schützen. Und obwohl HIPAA keine spezifischen Schutzmaßnahmen vorschreibt, legt es den Umfang und die Bedingungen fest, unter denen diese Daten gespeichert, übertragen und verarbeitet werden sollten. Die Wahl der Sicherheits- und Vertraulichkeitsmaßnahmen obliegt letztendlich dem Ermessen des Auftragnehmers oder des Unternehmens, das medizinische Daten verarbeitet.
Mit Dutzenden erfolgreicher Gesundheitsprojekte in ihrem Portfolio verfügen die Ingenieure von Elinext über praktische Erfahrung in der Bereitstellung hochsicherer, HIPAA-konformer Lösungen. Von Ende-zu-Ende-Verschlüsselung über rollenbasierte Zugriffssteuerung bis hin zur Anonymisierung und Pseudonymisierung von Daten nutzen unsere Ingenieure modernste Technologien und bewährte Verfahren, um einen robusten Schutz von Gesundheitsdaten zu gewährleisten.
