Articles

Was ist HIPAA? Oder ist es HIPPA?

Wie groß ist die HIPAA-Branche? - PauboxWenn Sie auch nur im Entferntesten mit dem Gesundheitswesen zu tun haben, dann haben Sie wahrscheinlich schon einmal von etwas namens HIPAA (manchmal fälschlicherweise als HIPPA bezeichnet) gehört.

Aber was ist HIPAA, abgesehen davon, dass es ein zentraler Aspekt für Gesundheitsdienstleister ist?

Wofür steht HIPAA?

Das verwirrende Akronym HIPAA steht für den Health Insurance Portability and Accountability Act von 1996, ein US-amerikanisches Gesetz, das Datenschutz- und Sicherheitsbestimmungen zum Schutz medizinischer Informationen, wie z. B. Krankenakten und andere identifizierbare Gesundheitsinformationen, festlegt.

Das Gesetz enthält fünf Abschnitte, die als Titel bezeichnet werden:

  • Titel I schützt den Krankenversicherungsschutz für Einzelpersonen, die ihren Arbeitsplatz verlieren oder wechseln, und verhindert außerdem, dass Gruppenkrankenversicherungen bestimmte Leistungen verweigern oder einschränken.
  • Titel II gibt dem US-Gesundheitsministerium die Befugnis, nationale Standards für die Gesundheitsbranche bei der Verarbeitung elektronischer Transaktionen festzulegen. Titel III enthält steuerliche Bestimmungen und Richtlinien für die medizinische Versorgung.
  • Titel IV definiert die Reform der Krankenversicherung weiter, einschließlich der Bestimmungen für Personen mit Vorerkrankungen und für diejenigen, die weiterhin versichert sein wollen.
  • Titel V enthält Bestimmungen zu firmeneigenen Lebensversicherungen und zur Behandlung von Personen, die ihre US-Staatsbürgerschaft für Einkommenssteuerzwecke verlieren.

Die meisten Nachrichten über HIPAA-Verstöße beziehen sich auf HIPAA Titel II, insbesondere auf die Abschnitte, die die Anforderungen an die Einhaltung des HIPAA und die Sicherung von Gesundheitsdaten von Patienten enthalten:

  • HIPAA Privacy Rule. Die Privacy Rule behandelt die Verwendung und Offenlegung von geschützten Gesundheitsinformationen (PHI) und die Standards, die eingehalten werden müssen, damit Einzelpersonen verstehen und kontrollieren können, wie ihre individuell identifizierbaren Gesundheitsinformationen von einer Organisation verwendet werden.
  • HIPAA Security Rule. Die Security Rule legt fest, welche Sicherheitsstandards vorhanden sein müssen, um elektronische geschützte Gesundheitsinformationen (ePHI) zu schützen, d. h. Gesundheitsinformationen oder -daten, die in elektronischer Form gespeichert oder übertragen werden. Dies beinhaltet die Definition von technischen Schutzmaßnahmen, physischen Schutzmaßnahmen und administrativen Schutzmaßnahmen.
  • HIPAA Enforcement Rule. Die Enforcement Rule legt fest, wie HIPAA durchgesetzt wird und was passiert, wenn eine Nichteinhaltung entdeckt wird.

Ein unterschätzter Teil des HIPAA Title II sind jedoch die zusätzlichen Bestimmungen, die 2010 durch den Affordable Care Act (ACA) hinzugefügt wurden und die HIPAA-Transaktionen abdecken.

Auch bekannt als HIPAA Administrative Simplification, war der Zweck, die geschäftliche Seite der Gesundheitsversorgung zu vereinfachen. Dies ist der Schlüssel zur Interoperabilität und stellt sicher, dass Organisationen aller Größen innerhalb des Gesundheitswesens mit den gleichen Standards arbeiten können.

Siehe hierzu: Complete Guide to HIPAA Compliance for Busy Professionals

SEE RELATED: Was bedeutet eine HIPAA-Transaktion für mich?

Für wen gilt HIPAA?

Die HIPAA-Vorschriften gelten für abgedeckte Einrichtungen und deren Geschäftspartner. Eine abgedeckte Einheit ist definiert als:

  • Ein Gesundheitsdienstleister wie Ärzte, Kliniken oder Apotheken
  • Ein Gesundheitsplan wie Krankenversicherungen, HMOs und betriebliche Gesundheitspläne
  • Eine Clearingstelle des Gesundheitswesens, die nicht standardisierte Gesundheitsinformationen, die sie von einer anderen Einrichtung erhält, in einen Standard umwandelt

Geschäftspartner, wie z. B. Partner, sind Dritte, die eine abgedeckte Einrichtung benennen kann, um bestimmte Funktionen oder Aktivitäten durchzuführen, die die Verwendung von PHI in ihrem Namen beinhalten. Einige Beispiele sind:

  • Ein Drittverwalter, der einen Krankenversicherer bei der Bearbeitung von Ansprüchen unterstützt
  • Ein Anwalt, dessen Dienste den Zugriff auf PHI beinhalten
  • Ein Anbieter von E-Mail-Verschlüsselung wie Paubox

In jedem Fall ist es wichtig, eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) zu unterzeichnen, um sicherzustellen, dass der Drittanbieter die richtigen Schritte unternimmt, um die Anforderungen des HIPAA zu erfüllen.

HITECH Act und die Omnibus Rule

Im Jahr 2009 wurde der Health Information Technology for Economic and Clinical Health (HITECH) Act unterzeichnet, um die Einführung und den sinnvollen Einsatz von Technologie im Gesundheitswesen zu fördern.

Die damit verbundenen Anreize, Anforderungen und Vorschriften waren äußerst wirkungsvoll, und das Gesundheitswesen versucht immer noch, Schritt zu halten. Im HITECH Act ist festgelegt, dass Technologien nicht gegen die HIPAA-Regeln verstoßen dürfen.

Die HIPAA Omnibus Rule wurde 2013 vom HHS eingeführt, um den HIPAA gemäß den Richtlinien des HITECH Acts bezüglich der Verantwortlichkeiten von Geschäftspartnern betroffener Unternehmen zu modifizieren. Außerdem wurden die Strafen für Verstöße gegen den HIPAA auf maximal 1,5 Millionen US-Dollar pro Vorfall erhöht.

Stellen Sie sicher, dass Ihre E-Mails HIPAA-konform sind. Wir haben diesen kostenlosen Leitfaden für HIPAA-konforme E-Mails zusammengestellt.
Jetzt herunterladen

HIPAA-Verstöße vermeiden

HIPAA-Verstöße können für Organisationen im Gesundheitswesen sehr kostspielig werden.

Im einfachsten Fall liegt ein HIPAA-Verstoß vor, wenn eine betroffene Einrichtung keine angemessenen Sicherheitsvorkehrungen trifft, um die absichtliche oder unabsichtliche Nutzung oder Offenlegung von PHI zu verhindern, wie es in den Richtlinien der HIPAA Privacy Rule vorgesehen ist.

Kosten können entstehen, wenn betroffene Einrichtungen und alle betroffenen Geschäftspartner Patienten nach einer Datenverletzung benachrichtigen. Zu den Kosten für die Benachrichtigung kommen eventuelle Bußgelder hinzu, die vom Office for Civil Rights (OCR) nach der Überprüfung von HIPAA-Verstößen erhoben werden.

Die Bußgelder für HIPAA-Verstöße selbst können bis zu 1,5 Millionen US-Dollar betragen und Gefängnisstrafen einschließen, wenn es zu strafrechtlichen Anklagen im Zusammenhang mit den Verstößen kommt.

Verstöße zu vermeiden, erfordert Planung. Abgedeckte Unternehmen und Geschäftspartner können die Risiken mindern, indem sie sicherstellen, dass ihre Mitarbeiter an HIPAA-Compliance-Schulungen teilnehmen. Berater können auch an Bord kommen, um sicherzustellen, dass die richtigen Prozesse vorhanden sind, um Verstöße zu vermeiden und damit umzugehen.

Siehe hierzu: The Complete Guide to HIPAA Violations

Abschluss

Obwohl es kein offizielles Gütesiegel oder Zertifizierungsprogramm für HIPAA-Compliance gibt, gibt es viele Unternehmen, die Zeugnisse anbieten, die zeigen, dass eine Organisation die richtigen Schritte unternommen hat, um die Anforderungen des HIPAA zu erfüllen.

Da die Technologie weiterhin ein Teil des Gesundheitswesens wird, wird es immer neue potenzielle Orte geben, an denen ein Verstoß auftreten kann. Aber indem sie die HIPAA-Regeln beachten, können alle Organisationen sicher sein, dass sie ihr Bestes tun, um PHI zu schützen.

Try Paubox today.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.