Decorative
Glossar
Inhaltsverzeichnis
Textüberschrift Link

HIPAA

Patienten gehen davon aus – und das zu Recht –, dass die Informationen, die sie im Vertrauen weitergeben, vertraulich bleiben. Während es zahlreiche Datenschutzgesetze und -vorschriften gibt, die sich auf personenbezogene Daten (PII) und insbesondere auf besonders schützenswerte personenbezogene Daten (SPII) beziehen, gelten für Gesundheitsdaten spezielle Regelungen. In den Vereinigten Staaten wird der Schutz dieser Daten durch den Health Insurance Portability and Accountability Act von 1996 (HIPAA oder Kennedy–Kassebaum Act) geregelt, der am 21. August 1996 in Kraft getreten ist.

Im Kern besagt HIPAA, dass Informationen, die im Zusammenhang mit der Behandlung eines Patienten erhoben und aufgezeichnet werden, vertraulich sind. Die Weitergabe jeglicher PII oder SPII an Dritte zu kommerziellen Zwecken ohne Einwilligung untergräbt das Vertrauen und verstößt gegen die Grundsätze der informierten Einwilligung und Vertraulichkeit. Der Schaden betrifft jedoch auch die Integrität der Beziehung zwischen Patient und Arzt in Bezug auf Gesundheitsinformationen. HIPAA legt fest, wie die Gesundheits- und Krankenversicherungsbranche geschützte Gesundheitsinformationen (PHI) vor Betrug und Diebstahl schützen muss.

HIPAA hat fünf Titel:

  • Titel I schützt die Krankenversicherung von Arbeitnehmern und ihren Familien, wenn sie den Arbeitsplatz wechseln oder verlieren.
  • Titel II, auch bekannt als die Bestimmungen zur administrativen Vereinfachung (AS), verlangt die Einführung nationaler Standards für elektronische Gesundheitsdienstleistungen sowie nationaler Identifikationsnummern für Leistungserbringer, Krankenversicherungspläne und Arbeitgeber.
  • Titel III legt Richtlinien für medizinische Ausgabenkonten vor Steuern fest
  • Titel IV legt Richtlinien für Gruppenkrankenversicherungspläne fest
  • Titel V regelt firmeneigene Lebensversicherungen

Für Sicherheits- und Datenschutzbeauftragte gibt es zwei HIPAA-Regeln, die den Umgang mit und die Nutzung von Gesundheitsdaten schützen:

  • Datenschutzregel – gibt Patienten Rechte über ihre Gesundheitsdaten und legt Regeln und Grenzen dafür fest, wer diese Informationen einsehen und erhalten darf. Die Datenschutzregel gilt für alle Formen geschützter Gesundheitsinformationen von Einzelpersonen, egal ob elektronisch, schriftlich oder mündlich.
  • Sicherheitsregel – verlangt Sicherheit für Gesundheitsinformationen in elektronischer Form.

Welche Organisationen müssen HIPAA einhalten?

Die Organisationen, die den HIPAA-Bestimmungen unterliegen, werden als „gedeckte Einrichtungen“ bezeichnet. Zu den gedeckten Einrichtungen gehören:

  • Gesundheitspläne – diese Einrichtungen umfassen Krankenversicherungsunternehmen, Health Maintenance Organizations (HMOs), betriebliche Gesundheitspläne sowie einige staatliche Programme wie Medicare und Medicaid.
  • Gesundheitsdienstleister – diese Einrichtungen erstellen eine elektronische Dokumentation, die unter anderem Abrechnungsinformationen umfasst. Zu dieser Kategorie zählen Ärzte, Kliniken, Krankenhäuser, Psychologen, Chiropraktiker, Pflegeheime, Apotheken und Zahnärzte.
  • Gesundheitsdaten-Clearingstellen – diese Einrichtungen verarbeiten und standardisieren Gesundheitsinformationen, die sie von anderen Stellen erhalten 

„Geschäftspartner“ umfassen Auftragnehmer, Subunternehmer und andere Dritte, die im Rahmen der Erbringung einer Dienstleistung Zugang zu Gesundheitsinformationen haben können. Geschäftspartner sind verpflichtet, die HIPAA-Vorschriften einzuhalten, sofern zutreffend.

Welche Organisationen sind von HIPAA ausgenommen?

Obwohl „gedeckte Einrichtungen“ nicht die einzigen Organisationen mit PHI sind, stehen sie im Fokus der Aufsichtsbehörden. Bestimmte Organisationen können ebenfalls PHI oder andere gesundheitsbezogene Informationen besitzen, sind jedoch in der Regel von der HIPAA-Regulierung ausgenommen. Dazu gehören unter anderem Lebensversicherungen, Schulen, staatliche Behörden, Strafverfolgungsbehörden und andere Gruppen.

Welche Daten sind betroffen?

Die Art von Daten, die unter den Geltungsbereich von HIPAA fallen, umfasst Informationen, die von Gesundheitsdienstleistern und verwandten Einrichtungen erzeugt und weitergegeben werden.

  • Medizinische Unterlagen
  • Behandlung 
  • Krankenversicherung 
  • Abrechnung
  • Weitere Gesundheitsinformationen

Wie sollten Gesundheitsinformationen geschützt werden?

HIPAA bietet umfassende Richtlinien zum Schutz von Gesundheitsinformationen. Diese Empfehlungen richten sich an verpflichtete Stellen und Geschäftspartner, um:

  • Schutzmaßnahmen einsetzen
  • Nutzung und Offenlegung einschränken
  • Zugriff beschränken
  • Schulungen für Mitarbeitende durchführen

Was sind die Patientenrechte in Bezug auf ihre Gesundheitsinformationen?

Patienten haben in Bezug auf ihre Gesundheitsinformationen folgende Rechte:

  • Eine Kopie erhalten
  • Stellen Sie sicher, dass es korrekt ist
  • Nutzung oder Weitergabe einschränken, bevor es passiert 
  • Einschränken, wie es verwendet oder offengelegt wird
  • Erhalten Sie einen Bericht darüber, wann und warum es geteilt wurde 

Patienten können auch eine Beschwerde beim HHS einreichen, wenn sie glauben, dass ihnen das Recht verweigert wird, ihre eigenen Gesundheitsinformationen zu kennen und zu kontrollieren.

Was sind die zulässigen Verwendungen von Gesundheitsinformationen?

Gesundheitsinformationen können für die folgenden Zwecke verwendet und weitergegeben werden:

  • Ermöglichung von Behandlung und Koordination der Versorgung
  • Bezahlung von Leistungserbringern für Ihre Behandlungen 
  • Familienangehörigen, Freunden und anderen Personen ermöglichen, die Versorgung eines Patienten zu unterstützen oder zu verwalten
  • Sicherstellung einer qualitativ hochwertigen Behandlung
  • Sicherstellen, dass Pflegeeinrichtungen sauber und sicher sind
  • Schutz der öffentlichen Gesundheit
  • Meldung an die Strafverfolgungsbehörden

Sofern nicht gesetzlich anders geregelt, entscheiden die Patienten, wer Zugriff auf ihre Informationen hat.

Analyze this article with AI:
chatgpt Summarize in ChatGPT
Summarize in Claude
Ask Perplexity
grok--v2 Summarize in Grok

Verwandte Begriffe

Datenschutz zur Verhinderung von Datenverlust

Was ist DLP?

Mehr erfahren →
Zweckbindung

Die Zweckbindung oder Nutzungsbeschränkung von Daten verlangt, dass Unternehmen sicherstellen, dass sie die Verwendung personenbezogener Daten (PI) auf die Zwecke beschränken, für die sie erhoben wurden. Die DSGVO bietet in Bezug auf die Zweckbindung mehr Spielraum.

Mehr erfahren →