Geschichte des HIPAA: 8 Dinge, die Sie wissen sollten

Der Health Insurance Portability and Accountability Act (HIPAA) wurde 1996 erlassen, um amerikanische Familien vor den Gefahren des Verlusts des Krankenversicherungsschutzes zu schützen. In erster Linie sollte er Arbeitnehmern bei einem Arbeitsplatzwechsel oder -verlust die Übertragbarkeit der Versicherung ermöglichen. Ein zweiter Zweck ist die Gewährleistung der Sicherheit und des Datenschutzes für individuelle Gesundheitsinformationen. Der HIPAA ist letztes Jahr 20 Jahre alt geworden, aber das Gesundheitssystem ist noch weit davon entfernt, ihn vollständig zu erfüllen.

PHI deckt einen großen Bereich ab.

Seit der Unterzeichnung des Gesetzes hat es mehrere Änderungen am HIPAA gegeben. Die erste aus dem Jahr 2003, die so genannte Privacy Rule, definiert geschützte Gesundheitsinformationen (Protected Health Information, PHI) als alle gesundheitsbezogenen Informationen, die zur Identifizierung einer bestimmten Person verwendet werden können. Dabei kann es sich um Informationen handeln, die sich auf die frühere, gegenwärtige oder künftige körperliche oder geistige Gesundheit oder den Gesundheitszustand einer Person beziehen, auf die Gesundheitsversorgung einer Person und auf frühere, gegenwärtige oder künftige Zahlungen für die Gesundheitsversorgung einer Person.

Organisationen können bei der Umsetzung langsam sein.

Die Sicherheitsregel wurde 2005 erlassen, um den Umgang mit elektronischen PHI zu standardisieren, indem spezifische Richtlinien für physische, technische und administrative Schutzmaßnahmen festgelegt wurden. Leider ergab die letztjährige HIPAA-Compliance-Umfrage von NueMD, dass nur 70 Prozent der Gesundheitseinrichtungen die Einhaltung der HIPAA-Vorschriften anstreben. Diese Zahl ist sicherlich enttäuschend, wenn man bedenkt, dass die Einführungsrate bei Arbeitgebern, die Gruppengesundheitspläne anbieten, bei Geschäftspartnern und Krankenversicherungsagenturen noch niedriger ist. Dies beruht auf der Einschätzung von Total HIPAA in Bezug auf diese anderen Gruppen.

HHS OCR setzt die Einhaltung der Vorschriften durch.

Im Rahmen der Enforcement Rule von 2006 wurde dem Department of Health and Human Services Office for Civil Rights (HHS OCR) die Verantwortung übertragen, Organisationen zu überwachen, die die HIPAA-Vorschriften einhalten sollten. HHS OCR ist befugt, Beschwerden im Zusammenhang mit den Datenschutz- und Sicherheitsvorschriften zu untersuchen und Bußgelder gegen diejenigen zu verhängen, die die HIPAA-Bestimmungen nicht einhalten. Die Strafen reichen von 100 bis zu 1,5 Millionen Dollar pro Verstoß, aber die von HHS OCR erzielten Einigungen gehen in die Hunderttausende bis in die Millionen, wobei mehrfach 5 Millionen Dollar überschritten wurden.

Alle gesundheitsbezogenen Unternehmen zählen.

Alle Unternehmen, die mit gesundheitsbezogenen Informationen über eine Person in Berührung kommen, müssen die HIPAA-Vorschriften einhalten. Der Health Information Technology for Economic and Clinical Health (HITECH) Act verlangt von Gesundheitsorganisationen, ihre Geschäftspartner und Unterauftragnehmer darüber zu informieren, dass von ihnen rechtlich erwartet wird, dass sie im Einklang mit dem HIPAA arbeiten. Die NueMD-Umfrage von 2016 ergab, dass sich nur 60 Prozent der befragten Gesundheitsorganisationen dieser Erwartung bewusst waren.

Ihre Organisation kann einem Audit unterzogen werden.

Seit über sechs Jahren führt die HHS OCR Compliance-Audits durch, in der Hoffnung, die Einhaltung des HIPAA zu verbessern. Im Jahr 2011 führte OCR ein Pilot-Auditprogramm (Phase Eins) ein, um die Kontrollen und Prozesse zu bewerten, die von 115 betroffenen Einrichtungen zur Einhaltung der HIPAA-Anforderungen implementiert wurden. Die zweite Phase des HIPAA-Auditprogramms der OCR begann im vergangenen Jahr mit der Auswahl von über 200 betroffenen Einrichtungen und Geschäftspartnern, die im Sommer und Herbst per Brief darüber informiert wurden, dass sie für eine Schreibtischprüfung ausgewählt wurden. Laut der NueMD-Umfrage wussten im vergangenen Jahr nur 40 Prozent der Gesundheitseinrichtungen, dass diese Prüfungen durchgeführt wurden. Derzeit wurden die Vor-Ort-Prüfungen durch OCR auf Ende 2017 oder Anfang 2018 verschoben.

PHI müssen mindestens sechs Jahre lang aufbewahrt werden.

HIPAA verlangt von den betroffenen Einrichtungen und Geschäftspartnern, dass sie die Dokumentation der von ihnen gesammelten PHI mindestens sechs (6) Jahre lang aufbewahren, gerechnet ab dem Datum ihrer Erstellung oder dem Datum, an dem sie zuletzt gültig war, je nachdem, was später eintritt. Organisationen, die im Besitz von PHI sind, müssen die Aufbewahrungsanforderungen ihres Staates überprüfen, bevor sie PHI ordnungsgemäß entsorgen, um die Einhaltung des Staates zu gewährleisten.

Die Einhaltung des HIPAA geht zurück.

Die NueMD-Umfragen haben auch gezeigt, dass die Zahl der angestellten Sicherheits- und Datenschutzbeauftragten von 2014 bis 2016 von 56 bzw. 55 Prozent auf 53 bzw. 54 Prozent gesunken ist. Es gibt auch weniger Gesundheitsorganisationen, die HIPAA-Compliance-Schulungen anbieten, von 62 auf 58 Prozent.

Der Beginn der elektronischen Kommunikation.

Immer mehr Gesundheitsdienstleister nutzen Telefon-Apps, E-Mails und soziale Medien, um mit Patienten in Kontakt zu treten. Da immer mehr Organisationen dazu übergehen, elektronisch zu kommunizieren, ist es wichtig, die Sicherheit dieser Prozesse zu überwachen. Total HIPAA hat HIPAA-konforme Software für die elektronische Kommunikation wie E-Mail-Verschlüsselung und Textnachrichten geprüft, um Organisationen bei der Auswahl einer geeigneten Lösung zu helfen.

Wie geht es weiter?

Zusammenfassend lässt sich sagen, dass die Einführung der HIPAA-Konformität noch in den Kinderschuhen steckt. OSHA brauchte mehr als 20 Jahre, um von den Unternehmen in den USA weitgehend übernommen zu werden. Obwohl der erste Teil des HIPAA vor 20 Jahren in Kraft getreten ist, sind wichtige Teile des Gesetzes erst seit 2009 in Kraft.

Das HHS hat noch immer nicht entschieden, ob Patienten, Mitarbeiter oder Kunden an den Geldbußen beteiligt werden können, die das HHS bei Verstößen gegen die Datenschutzbestimmungen dieser Personen verhängt. Wenn das HHS entscheidet, dass Einzelpersonen im Falle einer Verletzung ihrer PHI erstattet werden können, werden sich die Schleusen öffnen. Diejenigen Gruppen, die die HIPAA-Vorschriften einhalten müssen, werden sich beeilen, um den Prozess abzuschließen, und könnten in eine Aufholjagd verwickelt werden. Lassen Sie sich nicht von der Eile treiben. Handeln Sie jetzt und werden Sie HIPAA-konform.

Außerdem haben vier oberste Gerichte in den Bundesstaaten (Missouri, North Carolina, Connecticut und West Virginia) den HIPAA als Standard of Care bestätigt. Das bedeutet, dass Einrichtungen, die PHI nicht ordnungsgemäß schützen, nicht nur vom HHS, sondern auch von Privatpersonen verklagt werden können.

Die Menschen sind sich ihrer Rechte im Rahmen des HIPAA stärker bewusst, als Sie vielleicht denken. Die Nichteinhaltung des HIPAA setzt Ihre Praxis oder Ihr Unternehmen einer ganzen Reihe von rechtlichen Problemen aus, die Sie am besten vermeiden, bevor es zu Problemen kommt. In Wirklichkeit ist die Einhaltung der Vorschriften viel erschwinglicher als je zuvor, und die Nichteinhaltung der Vorschriften ist viel teurer als je zuvor.

Sind Sie HIPAA-konform?

Von: Total HIPAA Guest Bloggers

Sharing is caring!