Compliance HIPAA - US Datenschutz von Patientendaten

Spricht man von HIPAA, so ist der Healthcare Insurance Portability and Accountability Act gemeint, der ein im Jahr 1996 verabschiedetes US-amerikanisches Gesetz darstellt, welches sich auf den Schutz von privaten und somit personenbezogenen Gesundheitsdaten bezieht. Die HIPAA-Compliance ist bindend und aus diesem Grund müssen sich Dienstleister aus dem Bereich des Gesundheitswesens und auch deren Geschäftskontakte an die vorgegebenen Regeln und Vorschriften halten, um vertrauliche Patientendaten zu schützen.

HIPAA ist auf den ersten Blick ein Gesetz, das sich auf den US-amerikanischen Raum bezieht, aber betrachtet man die fortschreitende Digitalisierung und Vernetzung von Daten, so sind auch Unternehmen aus dem deutschsprachigen Raum betroffen und müssen die Anforderungen beachten.

Wie definiert sich die HIPAA-Compliance?

Bewegt man sich im Internet, so liegt die Entscheidung, ob man persönliche Informationen teilt, in allen Fällen nicht bei einem:einer Anwender:in. Menschen können nicht frei entscheiden, ob Bilder oder andere kritische Informationen den Weg in das Word Wide Web finden. Es ist gut möglich, dass sie auch von anderen Personen hochgeladen werden. Es ist faktisch unmöglich, Informationen und deren Nutzung zu kontrollieren. Auch Informationen aus dem Gesundheitsbereich liegen oft außerhalb des Einflussbereiches des Patienten, werden elektronisch gespeichert, verarbeitet und auch weitergegeben. Um diese empfindlichen Daten zu schützen und einen Zugriff von Unbefugten auszuschließen, wurde HIPAA eingeführt und per Gesetz erlassen. Betrachtet man die zu beachtenden Compliance-Richtlinien, so beinhaltet HIPAA Regeln und Verordnungen in Bezug auf Datenlecks, Verstöße, Sicherheitskonzepte und den allgemeinen Datenschutz. Werden die Vorgaben von HIPAA missachtet, drohen hohe Geldstrafen und auch straf- oder zivilrechtliche Klagen.

Welche Daten beinhaltet HIPAA?

Patientendaten werden innerhalb des Health Insurance and Accountability Acts als Protected Heath Information (PHI) benannt. Dies bedeutet, dass die gewonnenen Gesundheitsdaten, als schützenswert zu definieren sind. Betrachtet man die PHI allgemein, so fallen in diesen Bereich alle Daten, die Rückschlüsse auf den Gesundheitszustand, die Behandlungskosten und die medizinische Versorgung bieten können. Diese Patientendaten werden von Gesundheits- und Krankenversicherungsdienstleistern, Verrechnungsstellen, Drittunternehmern und Verrechnungsstellen genutzt, um den Patienten zu identifizieren. Werden von diesen Stellen die gewonnenen Daten erstellt, gespeichert, übermittelt oder bezogen, so spricht man von elektronisch erfassten Patientendaten (ePHI).

Betrachtet man die personenbezogenen Daten, mit welchen gearbeitet wird, so werden beispielsweise folgende Daten erstellt, bezogen, übermittelt oder gespeichert:

• Adressdaten
• Geburtsdatum
• Sterbedatum
• Telefon und E-Mail
• Kontonummern
• IP-Adressen
• Fotos
• Befunde
• Verordnungen und Rezepte

Wer ist von der HIPAA-Gesetzgebung betroffen?

HIPAA soll Patientendaten schützen und wird bei allen Gesundheitsorganisationen angewendet, die Zugang zu privaten Gesundheitsdaten erlangen können. Grundsätzlich kann man hierbei von drei Hauptkategorien ausgehen, auf die das Gesetz angewendet wird.

Unter der Bezeichnung Covered Entities versteht man unmittelbare betroffene Einrichtungen, welche Verrechnungsstellen und Gesundheits- und Krankenversicherungen darstellen können. Beispielhaft sind hier Kliniken, Ärzte, Krankenkassen, Pflegeheime und Pflegepersonal zu nennen, wenn diese Gruppen Patientendaten übermitteln, speichern oder verarbeiten.

Als Business Associates werden Geschäftspartner bezeichnet, welche nicht direkt an der Versorgung des Patienten beteiligt sind, aber durch eine Zusammenarbeit mit den Einrichtungen, Zugang zu Patientendaten erlangen können. Dies können u.a. Steuerberater, IT-Dienstleister oder Rechtsanwälte sein.

Die letzte Kategorie stellen die Subcontractors dar. Diese Subunternehmen werden als Firmen und Personen bezeichnet, die durch ihre Geschäftstätigkeit einen Zugang zu den personenbezogenen Informationen erlangen. Als Dienstleister können hier Aktenvernichter oder auch Anbieter im Bereich des Hostings genannt werden.

Welche vier Grundregeln umfasst die HIPAA-Compliance?

Um eine gesetzeskonforme Wahrung der HIPAA-Compliance zu gewährleisten, wurde HIPAA in vier Hauptkategorien unterteilt. Diese Regeln umfassen technische, physische und administrative Maßnahmen, die von allen betroffenen Subunternehmen, Partnern und den betroffenen Einrichtungen umzusetzen sind. Grundsätzlich ist hierbei auch zu gewährleisten, dass alle betroffenen Personen über die Maßnahmen aufgeklärt werden und deren Einhaltung beachten. Besonders die Aufklärungsarbeit ist sehr wichtig und im deutschsprachigen Bereich wird bei datenschutzrechtlichen Fragestellungen oft ein Dienstleister mit der Expertise von HEYDATA kontaktiert, um den Schutz von personenbezogenen Daten sicherzustellen und alle Vorgaben der Europäischen Datenschutzgrundverordnung einzuhalten.

HIPAA Datenschutzregel

Mithilfe der HIPAA Datenschutzregel erlangen Patienten eine Mitbestimmung über den Zugriff von externen Personen auf die persönlichen Gesundheitsdaten. Der betroffene Patient kann über die Verwendung und Weitergabe der persönlichen Informationen mitbestimmen und erhält somit bestimmt Rechte und Befugnisse.

Die HIPAA Datenschutzregel greift aber nur bei den betroffenen Einrichtungen und nicht bei den zwei weiteren Gruppen, die sich aus Geschäftspartnern und Subunternehmern zusammensetzten. Die HIPAA Datenschutzregel ist von allen Einrichtungen im Bereich des Gesundheitswesens in den internen Arbeitsablauf aufzunehmen. Hierbei muss zwingend sichergestellt werden, dass alle Mitarbeiter hinsichtlich der Datenschutzregeln jährlich eine Schulung und Unterweisung erhalten.

HIPAA Sicherheitsregel

Die HIPAA Sicherheitsregel beschreibt alle Standards, die einzuhalten sind, um die elektronischen, personenbezogenen Patientendaten gegen einen unbefugten Zugriff abzusichern und diese gleichermaßen vor einer Manipulation zu schützen. Der Bereich der Sicherheitsregeln wird in drei Kernbereiche aufgeteilt, welche die ePHI absichern.

Sicherheitsmaßnahmen im administrativen Bereich

Diese Art der Sicherheitsmaßnahmen umfassen die Verwaltung, die interne Strategie und die Verfahren, welche die elektronischen Gesundheitsdaten absichern. Hierzu gehören insbesondere:

• Eine interne Risikobewertung
• Beschränkung von Zugriffsrechten (insbesondere von Dritten)
• Regelmäßige Schulungen
• Strategien zur Begrenzung des Zugriffs auf die ePHI
• Konzepte bei dem Erkennen von Sicherheitslücken
• Verhalten bei einem Verstoß
• Krisenmanagement
• Regelmäßige Audits und Bewertungen

Sicherheitsmaßnahmen im technischen Bereich

Mit Sicherheitsmaßnahmen im technischen Bereich ist insbesondere der Schutz aller Systeme gemeint, welche der Speicherung und Übertragung von Daten der ePHI beinhalten. Grundsätzlich finden sich technisch- organisatorische Maßnahmen (TOM) auch in der europäischen Datenschutzverordnung. Möchte man sich als Unternehmen über diesen Bereich informieren, so freut sich HEYDATA über Ihre Anfrage. Als Sicherheitsmaßnahmen im technischen Bereich wären beispielhaft zu nennen:

• Zugangskontrollen
• Daten-Backups
• Security Software
• Audit-Berichte
• Tracking von verdächtigen Aktivitäten
• Verschlüsselung
• Digitale Signaturen
• Abmelden von nicht genutzten Geräten

Sicherheitsmaßnahmen im physischen Bereich

Spricht man von Sicherheitsmaßnahmen im physischen Bereich, so sind dies Sicherheitsvorkehrungen auf Geräten, die zur Speicherung der ePHI verwendet werden. Dazu gehören Computer, Router und Speichersysteme. Um diese Geräte zu schützen, muss das Büro oder die Einrichtung abgesichert werden. Dies gilt insbesondere für eine unbefugte Nutzung oder Diebstahl. Um sich diesbezüglich abzusichern, sollten folgende Maßnahmen ergriffen werden:

• Securitypersonal
• Hardware-Inventarlisten
• Regeln zur Arbeitsplatznutzung
• Ausweise und Zutrittskarten
• Schließtechnik

Benachrichtigung bei Verstößen

Werden alle Sicherheitsregeln eingehalten, aber es kommt trotzdem zu einem Missbrauch in Bezug auf PHI, so lautet eine Regel der HIPAA Breach Notification Rule, dass alle betroffenen Personenkreise innerhalb von 60 Tagen zu kontaktieren sind. Wird festgestellt, dass der betroffene Personenkreis die Anzahl von 500 übersteigt, so muss die örtliche Presse und das Gesundheitsministerium informiert werden.

HIPAA Omnibus-Regel

Die HIPPA-Regeln wurden um zwei Anforderungen erweitert, welche sich aus dem Genetic Information Nondiscrimination Act und dem Information Technology for Economic and Clinical Health Act ergeben. Diese entstandene Omnibus-Regel besagt, dass auch die Geschäftspartner von betroffenen Einrichtungen für Missbräuche haftbar gemacht werden können.

Wie wird ein Verstoß gegen HIPAA-Vorgaben geahndet?

Wie bei einem Verstoß gegen die Europäische Datenschutzgrundverordnung kann auch ein Verstoß gegen HIPAA sehr kostenintensiv werden. Jedes Unternehmen, welches von einem PHI-Verlust betroffen ist, kann mit einer Strafe von bis zu 1,5 Millionen Dollar rechnen. Natürlich wird hierbei die Schwere des Verstoßes bewertet und somit ergeben sich vier Schweregrade.

Es wird unterschieden, ob sich die Einrichtung eines Verstoßes nicht bewusst war oder das Verhindern zu diesem Zeitpunkt als nicht möglich einzustufen ist. In diesem Fall werden Geldstrafen von 100 $ bis 50.000 $ fällig. Je nach Schwergrad erhöhen sich die Geldstrafen und betrachtet man die vierte Stufe, so wird bei einer vorsätzlichen Vernachlässigung der HIPAA-Regeln eine maximale Strafzahlung von 1,5 Millionen Euro fällig.