Smart Business Magazine
Wenn es um das Thema Datenschutz in Bezug auf Mitarbeiter und deren Gesundheitsleistungen geht, ist der Health Insurance Portability and Accountability Act of 1996 (HIPAA) eines der am meisten missverstandenen und falsch kommunizierten Gesetze für Arbeitgeber und Arbeitnehmer gleichermaßen.
„HIPAA kann unklar erscheinen, und wenn es mit dem Gesundheitsvorsorgeplan eines Arbeitgebers gekoppelt ist, kann es zu weiterer Verwirrung und Frustration bei Arbeitgebern, Personalleitern und Mitarbeitern führen“, sagt Keith Kartman, Kundenberater bei JRG Advisors.
Smart Business sprach mit Kartman darüber, was Arbeitgeber in Bezug auf Datenschutzgesetze und Gesundheitsleistungen verstehen müssen.
Was ist HIPAA?
Die HIPAA Privacy Rule, wie sie vom U.S. Department of Health and Human Services umrissen wird, legt nationale Standards zum Schutz von Krankenakten und persönlichen Gesundheitsinformationen fest. Sie gilt für Gesundheitspläne, Verrechnungsstellen im Gesundheitswesen und Gesundheitsdienstleister, die bestimmte Transaktionen im Gesundheitswesen elektronisch durchführen. Die Vorschrift schreibt insbesondere angemessene Sicherheitsmaßnahmen zum Schutz der Privatsphäre von persönlichen Gesundheitsdaten vor und legt Grenzen und Bedingungen für die Verwendung und Weitergabe dieser Daten ohne die Zustimmung des Patienten fest.
Darüber hinaus sieht die Vorschrift die Rechte der Patienten in Bezug auf ihre Gesundheitsdaten vor, einschließlich des Rechts, ihre Gesundheitsdaten zu prüfen, eine Kopie davon zu erhalten und Korrekturen zu verlangen. Zu den Arten von Gesundheitsdaten von Patienten, die offengelegt werden müssen, um als „geschützt“ durch den HIPAA zu gelten, gehören Geburtsdatum, vollständiger Name, Diagnose und Krankenaktennummer.
Wie wirkt sich der HIPAA auf die Leistungen für Arbeitnehmer aus?
Als Arbeitgeber gelten Sie als Gesundheitsplan, wenn Sie einen Teil der Kosten für die medizinische Versorgung übernehmen. Wenn Sie für einen Teil der Gesundheitskosten eines Mitarbeiters aufkommen oder einen selbstfinanzierten Krankenversicherungsplan haben, fallen Sie unter die HIPAA Privacy Rule und deren Einhaltung.
HIPAA schreibt vor, wie ein Gesundheitsplan oder abgedeckte Gesundheitsdienstleister geschützte Gesundheitsinformationen an einen Arbeitgeber, einschließlich Manager oder Vorgesetzte, weitergeben. Als Arbeitgeber haben Sie Zugang zu Gesundheitsinformationen, die unter den HIPAA fallen, wie z. B. die Anmeldung zu Leistungen, Leistungsänderungen, den Family and Medical Leave Act of 1993 (FMLA) und alle Informationen zu Wellness-Programmen. Umgekehrt sind auch Mitarbeiter, die einen Teil der Gesamtkosten einer Krankenversicherung für Mitarbeiter bezahlen, verpflichtet, den HIPAA einzuhalten.
Unter dem HIPAA müssen Mitarbeiter zunächst eine Autorisierung an Gesundheitsdienstleister erteilen, bevor sie gesundheitsbezogene Informationen an einen Arbeitgeber weitergeben können. Aus diesem Grund müssen Mitarbeiter das Family Medical Leave-Formular ausfüllen, das die Freigabe ihrer Gesundheitsdaten genehmigt, bevor sie FMLA-Urlaub erhalten.
Unter HIPAA, wie sind Arbeitgeber verpflichtet, die Gesundheitsdaten eines Mitarbeiters zu schützen?
Arbeitgeber sind verpflichtet, sensible Gesundheitsinformationen und Änderungen an Leistungspapieren und alle damit verbundenen Planänderungen zu schützen, die alle Informationen enthalten, die aus einer elektronischen Gesundheitsakte stammen.
Arbeitgeber sind auch verpflichtet, Informationen über Flexible Spending Accounts (FSA) und Wellnessprogramme zu schützen. Das bedeutet, dass Programmadministratoren und andere beteiligte Mitarbeiter eine HIPAA-Schulung erhalten, um sicherzustellen, dass die Gesundheitsdaten der Mitarbeiter geschützt werden.
Berufsgesundheitsakten, die sich auf die ärztliche Untersuchung von Mitarbeitern, die Entschädigung von Arbeitnehmern oder Verletzungen am Arbeitsplatz gemäß der Occupational Safety and Health Administration beziehen, müssen ebenfalls gemäß HIPAA geschützt werden. Diese Informationen sollten an einem sicheren Ort aufbewahrt werden. Als Arbeitgeber sollten Sie allen Mitarbeitern, die Zugang zu sensiblen Gesundheitsdaten der Mitarbeiter haben, eine fortlaufende HIPAA-Schulung anbieten.
Schließlich sind Arbeitgeber verpflichtet, die HIPAA-Datenschutzgesetze am Arbeitsplatz auszuhängen und die Mitarbeiter über alle unternehmensspezifischen Datenschutzrichtlinien zu informieren. Als Arbeitgeber sollten Sie eine klar definierte Richtlinie für Datenschutzverletzungen haben, die den Prozess für die Benachrichtigung und Untersuchung potenzieller Datenschutzverletzungen umreißt.
Die HIPAA-Gesetze, die den Datenschutz geschützter Gesundheitsinformationen regeln, sind kompliziert und entwickeln sich ständig weiter, so dass Arbeitgeber über die neuesten Entwicklungen auf dem Laufenden bleiben und die Beratung durch sachkundige Sozialleistungsexperten oder ihren Rechtsberater in Anspruch nehmen müssen, um die Einhaltung der Vorschriften zu gewährleisten.
Insights Employee Benefits wird Ihnen von JRG Advisors
zur Verfügung gestellt