Seit seinem Inkrafttreten im Jahr 1996 ist die Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) Ziel ist es, den Patienten Datenschutzrechte zu gewähren, sensible und persönliche Gesundheitsdaten der Patienten zu schützen vor Drohungen und Angriffe, modernisieren Sie den Fluss von Gesundheitsdaten, vereinfachen Sie die Gesundheitsverwaltung und verhindern Sie Betrug im Gesundheitswesen.
Die HIPAA-Bestimmungen werden regelmäßig aktualisiert, um sie an neue Technologien und veränderte Bedingungen. Selbst Unternehmen, die der HIPAA-Konformität und dem Schutz von PHI (geschützten Gesundheitsinformationen) höchste Priorität einräumen, stehen vor zahlreichen Hürden, die ständige Aufmerksamkeit und die Fähigkeit erfordern, bei Datenverfahren und -praktiken schnell Maßnahmen zu ergreifen.
Zu diesen Herausforderungen zählen neben häufigen Gesetzesaktualisierungen auch ständige Angriffsdrohungen auf äußerst begehrte Daten, Interoperabilitätsprobleme, ein täglicher gigantischer Zustrom von Patientendaten und vieles mehr.
Was ist HIPAA-Konformität?
HIPAA ist eine Bundesverordnung, die sich auf Organisationen im Gesundheitswesen sowie deren Tochtergesellschaften und Subunternehmer bezieht. Reguliert und durchgesetzt durch die Ministerium für Gesundheitspflege und Soziale Dienste (HHS) Amt für Bürgerrechte (OCR) – sowie einige staatliche Regierungsstellen – bezeichnet HIPAA diese Organisationen als „abgedeckte Einheiten“.
Zu den abgedeckten Einheiten können gehören:
- Krankenversicherungspläne: Umfasst Krankenversicherungsunternehmen, Gesundheitserhaltungsorganisationen, staatliche Programme, die Programme wie Medicare subventionieren, sowie Gesundheitsprogramme für Militärangehörige und Veteranen.
- Gesundheitsdienstleister: Umfasst Krankenhäuser, Kliniken, Ärzte, Psychologen, Zahnärzte, Chiropraktiker, Pflegeheime, Apotheken, häusliche Pflegedienste und alle Anbieter, die Gesundheitsinformationen elektronisch übermitteln.
- Clearingstellen im Gesundheitswesen: Organisationen, die nicht standardisierte Gesundheitsinformationen verarbeiten und Daten konvertieren.
Was sind geschützte Gesundheitsinformationen (PHI)?
Geschützte Gesundheitsinformationen (PHI) ist der Begriff, der vom HIPAA verwendet wird und alle Informationen über den früheren oder gegenwärtigen Gesundheitszustand oder die Behandlung einer Person beschreibt, die zur Identifizierung verwendet werden können. Dazu gehören alle Aufzeichnungen, Dokumente und sonstigen Informationen im Zusammenhang mit der Diagnose, dem Zahlungsverlauf, den Behandlungsprozessen, der Schadensabwicklung, der Schadensregulierung und der Streitbeilegung einer Person; Informationen zu klinischen Studien; Testergebnissen; Informationen zur psychischen Gesundheit; genetischen Informationen; biometrischen Identifikatoren zur Identifizierung und vielem mehr.
Das HIPAA-Gesetz verpflichtet alle betroffenen Einrichtungen – darunter Krankenversicherungen und Arztpraxen sowie alle im Gesundheitswesen tätigen Unternehmen – dazu, alle PHI-Daten zu schützen, die in ihren Besitz oder unter ihre Kontrolle gelangen.
PHI-Daten gemäß HIPAA können unter anderen Vorschriften unter eine andere Kategorie personenbezogener Daten fallen. Beispielsweise kann eine Sozialversicherungsnummer als PII (persönlich identifizierbare Informationen) gemäß der Datenschutz-Grundverordnung (DSGVO) der EU und PI (persönliche Informationen) unter der Kalifornisches Verbraucherschutzgesetz (CCPA), würde es gemäß HIPAA als PHI-Kennung betrachtet werden.
Um effektiv zu handhaben sensible Daten — insbesondere solche, die von mehr als einer Verordnung abgedeckt werden — müssen Organisationen Einführung einer Technologie, die alle sensiblen Daten und PHI automatisch finden, klassifizieren, zuordnen und katalogisieren kann über ein gesamtes Datenökosystem mit umfassender Abdeckung aller Datensysteme und -quellen.
BigIDs Plattformlösung verwendet einen auf maschinellem Lernen basierenden Ansatz, um alle PHI-, ePHI-, HIPAA- und sensiblen Daten automatisch zu klassifizieren und zu kennzeichnen – nach Vorschriften, Dokumenttypen, Richtlinien, Attributen, Einzelpersonen und mehr.
Was sind die drei Regeln des HIPAA?
HIPAA-Datenschutzbestimmungen
Die Datenschutzbestimmungen des HIPAA geben Einzelpersonen Rechte an ihren Gesundheitsdaten. Patienten haben das Recht, auf ihre Gesundheitsakten zuzugreifen und Kopien davon zu erhalten – und die Korrektur unrichtiger oder veralteter Informationen zu verlangen.
Die Datenschutzbestimmungen schreiben außerdem vor, dass die betroffenen Gesundheitsorganisationen angemessene Schritte unternehmen müssen, um die Vertraulichkeit der Patientendaten zu gewährleisten, Offenlegungen zu verfolgen, nur die Mindestmenge an Informationen offenzulegen, die zur Erfüllung einer bestimmten Funktion erforderlich ist, und Einzelpersonen über die Verwendung ihrer PHI zu informieren.
Die HIPAA-Anforderungen besagen außerdem, dass die betroffenen Unternehmen ihre Mitarbeiter im Umgang mit PHI schulen und einen Datenschutzbeauftragten ernennen müssen, der Beschwerden über falsch behandelte PHI entgegennimmt.
Während für die meisten Offenlegungen eine schriftliche Genehmigung der betreffenden Person erforderlich ist, gestattet HIPAA den betroffenen Unternehmen die Offenlegung geschützter Gesundheitsinformationen ohne ausdrückliche Zustimmung, wenn es um die Erleichterung von Behandlungen, Zahlungen oder Gesundheitsdienstleistungen geht.
Um Daten den richtigen Personen zum richtigen Zeitpunkt ordnungsgemäß offenzulegen und gleichzeitig die Vertraulichkeit der Patientendaten zu gewährleisten, müssen Organisationen alle ihre Daten überall vollständig abdecken.
BigID ermöglicht Unternehmen, kennen ihre Daten — alles davon, über alle Typen hinweg, in jeder Sprache, im Rechenzentrum oder im Wolke, strukturiert oder unstrukturiert, im Ruhezustand oder in Bewegung, im Petabyte-Bereich – und ermöglichen Workflows zum Löschen redundanter, veralteter oder trivialer Daten (ROT). Dies umfasst Dateien und Dokumente, Bilder und E-Mails, Big Data und mehr – unabhängig davon, wie isoliert, versteckt, veraltet oder schwer auffindbar die Daten sind.
HIPAA-Sicherheitsregel
Die Sicherheitsregel gemäß HIPAA deckt drei Bereiche ab und schreibt vor, dass die betroffenen Einrichtungen Best Practices zum Schutz von PHI und ePHI (elektronisch geschützten Gesundheitsinformationen) in den folgenden Bereichen anwenden müssen:
- Administrative SicherheitDie betroffenen Unternehmen müssen über schriftliche Richtlinien und Verfahren verfügen, die ihre HIPAA-Konformität klar darlegen. Diese Richtlinien müssen alle Bereiche abdecken, von der Aufsicht über Mitarbeiterschulungen und Zugriffskontrollen bis hin zur sicheren Handhabung und Überwachung der an Dritte ausgelagerten Daten. Sie regeln außerdem die Dokumentation routinemäßiger und anlassbezogener Audits sowie die Nutzung von Notfallplänen.
- Physische Sicherheit: Die betroffenen Einrichtungen müssen physische Zugangskontrollen und -überwachungen implementieren – einschließlich der Entfernung von Hardware und Software sowie der Sicherung von Arbeitsplätzen –, um den unbefugten Zugriff auf vertrauliche Daten zu verhindern. Zu den physischen Schutzmaßnahmen gehören Sicherheitspläne für Einrichtungen, Besucher- und Begleitprotokolle sowie der Zutritt für Auftragnehmer. Dazu gehört auch die Schulung von Dritten zu Verantwortlichkeiten und Einschränkungen des physischen Zugangs.
- Technische Sicherheit: Die betroffenen Unternehmen müssen über technische Sicherheitsvorkehrungen verfügen, um unbefugten Zugriff auf elektronisch übertragene geschützte Gesundheitsinformationen zu verhindern. Dazu gehören die Wahrung der Datenintegrität, Authentifizierungskontrollen, ordnungsgemäße Dokumentations- und Berichtspraktiken sowie die Verschlüsselung von Daten, die über offene Netzwerke übertragen werden.
Im Wesentlichen schreibt die Sicherheitsregel vor, dass Organisationen Aufzeichnungen sichern, Daten verschlüsseln, vor Verstößen und böswilligen Angriffen schützen, den Verlust oder Diebstahl von Geräten verhindern, Mitarbeiter in soliden Sicherheitspraktiken schulen, PHI bei Dritten sichern und Aufzeichnungen gegebenenfalls entsorgen – neben anderen Anforderungen.
Mit der skalierbaren und erweiterbaren Datenschutzfunktion von BigID können Gesundheitsorganisationen Risiken reduzieren, indem sie sensible PHI gemäß allen Sicherheitsregelanforderungen effektiv sichern – und Nutzen Sie Abhilfe-Workflows um Maßnahmen bei risikoreichen und übermäßig exponierten Daten zu ergreifen. Erhalten Sie umfassende Berechtigungsanalysen für gezielte Datensätze basierend auf Kategorie und Typ und überwachen Sie Benutzer mit Zugriff auf große, vertrauliche Datensätze.
HIPAA-Benachrichtigungsregel bei Verstößen
Die HIPAA-Regel zur Meldung von Datenlecks schreibt vor, dass betroffene Einrichtungen, die von einem Datenleck betroffen sind, den Vorfall melden müssen. Die HIPAA-Anforderungen unterscheiden sich je nach Anzahl der betroffenen Patienten.
- Verstöße, die 500 oder mehr Patienten betreffen, müssen dem OCR, den betroffenen Patienten und den Medien innerhalb von 60 Tagen nach Feststellung gemeldet werden. Diese Verstöße werden vom OCR auch öffentlich bekannt gegeben.
- Verstöße, die 499 oder weniger Patienten betreffen, müssen dem OCR und den betroffenen Patienten innerhalb von 60 Tagen nach dem Ende des Kalenderjahres, in dem der Verstoß festgestellt wurde, gemeldet werden.
Mit der App „Breach Data Investigation“ von BigID können Organisationen im Gesundheitswesen den vollen Umfang einer Datenschutzverletzung, wissen, wessen Daten betroffen sind, einen Notfallreaktionsplan umsetzen und Meldestandards sowohl für Aufsichtsbehörden als auch für betroffene Personen einhalten – alles innerhalb des für die HIPAA-Konformität erforderlichen Zeitrahmens.
HIPAA-Regel für das erforderliche Minimum
Diese Regel besagt, dass diese Organisationen bei der Offenlegung geschützter Gesundheitsinformationen (PHI) Maßnahmen ergreifen müssen, um die Menge der weitergegebenen Informationen auf das zur Erreichung des beabsichtigten Offenlegungszwecks erforderliche Minimum zu beschränken.
In der Praxis bedeutet dies, dass Gesundheitsdienstleister und andere betroffene Einrichtungen angemessene Anstrengungen unternehmen müssen, um die Menge der offengelegten geschützten Gesundheitsinformationen (PHI) zu minimieren, sei es in elektronischer oder Papierform. Dies ist insbesondere im heutigen digitalen Zeitalter wichtig, in dem personenbezogene Daten leicht weitergegeben und übermittelt werden können.
Für Organisationen im Gesundheitswesen ist es von entscheidender Bedeutung, sich der HIPAA-Mindestanforderungen bewusst zu sein und die erforderlichen Maßnahmen zu ergreifen, um sicherzustellen, dass sie die Vorschriften einhalten und die vertraulichen Informationen ihrer Patienten schützen.
Aktualisierungen der HIPAA-Vorschriften 2023
Zu den vorgeschlagenen Änderungen der HIPAA-Datenschutzbestimmungen gehört, dass Patienten ihre PHI persönlich einsehen können, die maximale Zeit für den Zugriff auf PHI verkürzt wird, Anfragen zur Übertragung von ePHI an Dritte eingeschränkt werden, Einzelpersonen die Möglichkeit gegeben wird, die Übertragung ihrer PHI an eine persönliche Gesundheitsanwendung zu beantragen, und dass die betroffenen Einrichtungen Einzelpersonen über ihr Recht informieren müssen, Kopien ihrer PHI zu erhalten oder anzufordern.
Darüber hinaus müssen die betroffenen Unternehmen voraussichtliche Gebührenpläne für den Zugriff auf und die Offenlegung von PHI veröffentlichen, individuelle Kostenvoranschläge für die Bereitstellung einer Kopie der eigenen PHI an Einzelpersonen bereitstellen und auf Anweisung einer Einzelperson auf bestimmte Anfragen zu Aufzeichnungen reagieren.
Die Anforderung einer schriftlichen Bestätigung der Datenschutzhinweise wurde aufgehoben. Betroffene Unternehmen dürfen geschützte Gesundheitsinformationen unter bestimmten Bedingungen offenlegen, um eine Gefährdung der Gesundheit oder Sicherheit abzuwenden. Für die Nutzung und Offenlegung von Informationen zur individuellen Pflegekoordination und zum Fallmanagement wurde eine Mindeststandardausnahme eingeführt.
Was gilt als Verstoß gegen HIPAA?
Wenn betroffene Unternehmen eine oder mehrere HIPAA-Bestimmungen nicht einhalten, können ihnen hohe Geldbußen und Strafen drohen. HIPAA-Verstöße lassen sich in vier Stufen einteilen die abhängen von:
- die Schwere der Straftat
- die Höhe des durch den Verstoß verursachten Schadens
- das Ausmaß der vorsätzlichen Vernachlässigung
- die bisherige Compliance-Geschichte des Unternehmens
- andere Faktoren, die das OCR für relevant hält
Je nach Stufe reichen die Geldstrafen von mindestens $100 pro Verstoß bis zu $50.000 pro Verstoß. Es gibt Hunderte von möglichen Gründen für einen Verstoß, aber einige der häufigsten sind:
Mit BigID Gesundheitsorganisationen können detaillierte Aufzeichnungen über Informationssysteme und aktuelle Informationen zu Audits führen – und in der Lage sein, über die HIPAA-Konformität zu berichten.
Was löst ein HIPAA-Audit aus?
Interne Audits und Selbstauskünfte decken viele HIPAA-VerstößeDarüber hinaus priorisiert das OCR – die wichtigste Durchsetzungsbehörde des HIPAA – die Untersuchung von betroffenen Unternehmen, die Verstöße gegen 500 oder mehr Datensätze melden. Das OCR führt außerdem regelmäßige Audits der HIPAA-betroffenen Unternehmen und Geschäftspartner durch.
Auch die Generalstaatsanwälte der Bundesstaaten können Verstöße untersuchen. Diese Untersuchungen werden häufig aufgrund von Beschwerden über mögliche HIPAA-Verstöße und als Reaktion auf Berichte über die Verletzung von Patientenakten eingeleitet.
BigIDs Ansatz zur HIPAA-Konformität
Um die HIPAA-Konformität mit Vorschriften wie der HIPAA-Datenschutzregel, der HIPAA-Sicherheitsregel und der HIPAA-Regel zur Benachrichtigung bei Datenverletzungen zu erreichen und aufrechtzuerhalten, können Gesundheitsorganisationen und ihre Partner eine einzige Datenintelligenzplattform implementieren, um vollständige Transparenz über ihre Daten zu erlangen.
Die Datenverwaltungsplattform von BigID — bietet maßgeschneiderte, Datenermittlung und skalierbare Automatisierung – ermöglicht es Gesundheitsorganisationen, sofort mit der Erfüllung der HIPAA-Anforderungen zu beginnen.
Mit BigID können Sie:
Kennen Sie Ihre Daten: Mit BigID können Unternehmen all ihre sensiblen PHI und ePHI im gesamten Unternehmen - unabhängig von der Silo-Struktur - erkennen, verwalten und katalogisieren und Richtlinien für alle Daten überall durchsetzen.
Erhalten Sie eine vollständige Datenabdeckung: Unternehmen benötigen einen vollständigen Einblick in alle ihre Daten - nicht nur in einen Teil davon. BigID bietet eine breite Abdeckung von unstrukturierten, strukturierten und halbstrukturierten Daten, Big Data, Daten in Bewegung und mehr - alles in einem einzigen Fenster.
Überwachen der Datenqualität: Führen Sie eine umfassende Übersicht über alle PHI - vor Ort und in der Cloud -, warnen Sie vor Verletzungsrisiken und erstellen Sie Berichte über alle sensiblen Patientendaten zur Einhaltung des HIPAA.
Reduzieren Sie Risiken – überall: Reduzieren Sie das Risiko für PHI durch Risikobewertungen, die Kennzeichnung von Datenflüssen und Zugriffsmustern sowie die kontinuierliche Überwachung des Dateizugriffs.
Korrektur aktivieren: Ergreifen Sie schnell Maßnahmen, um Hochrisikodaten, sensible und dunkle Daten sowie alle Ihre regulierten Gesundheitsinformationen zu bereinigen.
Vereinbaren Sie eine kostenlose 1:1-Demo um zu sehen, wie BigID Ihrem Unternehmen dabei helfen kann, kontinuierliche HIPAA-Konformität.
Autor
