icon

Was ist HIPAA-Compliance? HIPAA-Anforderungen 2020

hipaa laws compliance

HIPAA ist ein Gesetz, das die Regeln zum Schutz von Patientendaten festlegt. Es ermöglicht es Patienten im Gesundheitswesen, ihre sensiblen Informationen zu kontrollieren und sich auf Organisationen zu verlassen, die standardisierte Strukturen für den Schutz der Privatsphäre und Sicherheit von Patienten implementieren müssen. Aber obwohl es schon eine Weile existiert, sind seine Regeln, Anforderungen und Sicherheitsstandards vielen Menschen nicht vertraut. Lesen Sie diese Seite weiter und erhalten Sie alle Informationen zu HIPAA-Compliance-Regeln, Strafmaßnahmen bei Verstößen und weiteren wichtigen Details in der HIPAA-Checkliste.

Die HIPAA-Datenschutz- und Sicherheitsregeln

Der Health Insurance Portability and Accountability Act wurde in erster Linie entworfen, um die Art und Weise, wie persönlich identifizierbare Gesundheitsinformationen elektronisch übertragen, verwaltet und gesichert werden sollten, zu modernisieren. Es wurde 1996 verabschiedet und ist seitdem ein kritischer Standard in jeder Compliance-Überprüfungsliste im Gesundheitswesen. Als technologie-neutrales Gesetz hat HIPAA während seiner Existenz gut gealtert und blieb trotz der raschen Fortschritte des Internets in den letzten zwei Jahrzehnten unverändert. Im Kern ist HIPAA ein Gesetz, das aus Regeln besteht, die die grundlegenden Compliance-Anforderungen festlegen. Die beiden wichtigsten Regeln in diesem Gesetz sind die HIPAA-Sicherheitsregel und die Datenschutzregel.

Was ist die HIPAA-Sicherheitsregel?

Die HIPAA-Sicherheitsregel wurde erstmals 1998 eingeführt und seit ihrer ersten Genehmigung mehrfach geändert. Als sie erstmals entworfen wurde, waren moderne Smartphones noch nicht auf dem Markt und die ersten sozialen Medienplattformen tauchten gerade im Internet auf. In diesem Zusammenhang ist es verständlich, dass die HIPAA-Risikoanalyse-Checkliste erheblich aktualisiert wurde, um mit der sich ständig weiterentwickelnden Gesellschaft Schritt zu halten. Trotzdem blieb die meiste der ursprünglichen Sprache, die in der ersten HIPAA-Sicherheitsregel verwendet wurde, im Laufe der Jahre weitgehend unverändert.

Was ist die HIPAA-Datenschutzregel?

Die Datenschutzregel wurde erstmals 2003 eingeführt. Im Gegensatz zur HIPAA-Sicherheitsregel, die die grundlegenden Sicherheitsstandards festlegt, legt die Datenschutzregel spezifische Grenzen für die Verwendung sensibler Patientendaten ohne die Zustimmung des Patienten fest. Die Datenschutzregel ist ein wesentlicher Bestandteil von HIPAA, da eines ihrer Hauptziele darin besteht, den Patienten das Recht zu garantieren, eine Kopie ihrer Gesundheitsakten zu erhalten und gegebenenfalls Korrekturen zu verlangen. Mit über 400 Seiten im Bundesregister steht sie hoch auf der HIPAA-Risikoanalyse-Checkliste.

Für wen gilt HIPAA?

HIPAA gilt für alle Gesundheitsdienstleister, Krankenversicherungspläne und Gesundheitsinformationszentren, wenn diese Organisationen Gesundheitsinformationen elektronisch übermitteln. Um ein vollständiges Verständnis aller und allem zu haben, was in diese drei Kategorien fällt, lassen Sie uns jede von ihnen im Detail untersuchen:

  • Gesundheitsdienstleister – Krankenhäuser, Kliniken, Ärzte, Zahnärzte, Pflegeheime, Apotheken, Psychologen und Chiropraktiker.
  • Krankenversicherungspläne – HMOs, betriebliche Gesundheitspläne, staatliche Programme (z. B. Medicare, Medicaid), Krankenversicherungen und Gesundheitsprogramme für Veteranen.
  • Gesundheitsinformationszentren – Einheiten, die nicht standardisierte Gesundheitsinformationen für Gesundheitsorganisationen verarbeiten.

Jede Organisation, die in eine der oben genannten Kategorien fällt, muss die HIPAA-Compliance-Checkliste einhalten. Gedeckte Einheiten, die die HIPAA-Checkliste nicht einhalten, können mit schweren finanziellen und strafrechtlichen Sanktionen belegt werden, die bis zu 250.000 $ und zehn Jahre Gefängnis betragen können.

Angesichts all dessen ist es wichtig zu beachten, dass nicht alle Gesundheitsorganisationen HIPAA-Compliance erfüllen müssen. Dieses Gesetz gilt nur für Organisationen, die geschützte Gesundheitsinformationen für Transaktionen übertragen, für die das HHS Standards verabschiedet hat. Dies ist ein wesentlicher Aspekt von HIPAA, den alle Patienten kennen sollten, bevor sie sensible Gesundheits- und persönliche Daten teilen.

HIPAA-Melderegel für Datenschutzverletzungen

Die detaillierte HIPAA-Checkliste enthält präzise Anforderungen für die Benachrichtigung bei Datenschutzverletzungen, die gedeckte Einheiten im Falle einer solchen Situation erfüllen müssen. Die Liste umfasst die folgenden Maßnahmen:

  • Einzelbenachrichtigung – Das Unternehmen muss alle betroffenen Personen nach der Entdeckung einer Verletzung schlecht geschützter Informationen benachrichtigen. Diese Benachrichtigungen müssen ohne unangemessene Verzögerung und spätestens 60 Tage nach der Entdeckung einer Verletzung versendet werden. Die Einzelbenachrichtigung umfasst auch eine Reihe von Nutzerschutzoptionen, einschließlich einer gebührenfreien Telefonnummer, über die betroffene Personen hilfreiche Informationen und Ratschläge erhalten können, um weiteren potenziellen Schaden zu vermeiden.
  • Medienbenachrichtigung – Gedeckte Einheiten, die eine Verletzung erleiden, die mehr als 500 Einwohner eines einzelnen Bezirks oder Bundesstaates betrifft, müssen ebenfalls eine Benachrichtigung an prominente Medienunternehmen in diesem Bezirk oder Bundesstaat senden. Genau wie bei der vorherigen Benachrichtigung muss die Medienbenachrichtigung innerhalb eines angemessenen Zeitraums, jedoch spätestens 60 Tage, erfolgen.
  • Benachrichtigung des Sekretärs – Zusätzlich zu den ersten beiden Benachrichtigungspflichten müssen gedeckte Einheiten auch den Sekretär über Verstöße gegen ungesicherte geschützte Gesundheitsinformationen informieren. Wenn ein Verstoß mehr als 500 Personen betrifft, muss die gedeckte Einheit den Sekretär innerhalb von 60 Tagen benachrichtigen. Wenn der Verstoß jedoch weniger als 500 Personen betrifft, kann die gedeckte Einheit den Sekretär jährlich benachrichtigen.

HIPAA-Compliance-Anforderungen

Wir haben bereits festgestellt, dass der Health Insurance Portability and Accountability Act präzise Schutzstandards für sensible Patientendaten definiert. Neben der HIPAA-Sicherheitsregel und der Datenschutzregel hat HIPAA auch eine Reihe von Sicherheitsrichtlinien für spezifische Patientendaten festgelegt, die in elektronischer Form gespeichert oder übertragen werden. Natürlich gehen solche Standards mit physischen, technischen und administrativen Sicherheitsmaßnahmen einher, die jedes Unternehmen befolgen muss, um HIPAA-konform zu sein.

Technische Standards

Gemäß den offiziellen Informationen von HIPAA sind technische Standards die Technologie und Richtlinien, die zum Schutz und zur Verwaltung des Zugriffs auf sensible Patientendaten eingerichtet wurden. Mit anderen Worten, es verpflichtet die gedeckte Einheit, alle notwendigen Maßnahmen zu ergreifen, um angemessene und geeignete Sicherheitsstandards einzuhalten. Gesetzgeber haben absichtlich den Teil „angemessen und geeignet“ betont, da er es jeder Gesundheitsorganisation ermöglicht, einen Sicherheitsmechanismus entsprechend ihrer Datenbank, ihres Budgets und der Komplexität der Daten selbst zu etablieren.

Physische Standards

Physische Schutzmaßnahmen umfassen alle physischen Maßnahmen, Verfahren und Richtlinien zum Schutz elektronischer Systeme vor unbefugtem physischem Eindringen sowie vor Umwelt- und Naturgefahren. Dies betrifft alles, von den Büroräumen des Unternehmens bis hin zu separaten physischen Speichern oder den Geräten der Mitarbeiter, die sensible Informationen enthalten und eine ordnungsgemäße Lagerung erfordern. Auch wenn sie nicht so ausgefeilt sind wie technische und administrative Sicherheitsstandards, sind physische Schutzmaßnahmen eine notwendige Sicherheitsmaßnahme, die jede Organisation implementieren sollte.

Administrative Standards

Genauso wie technische Schutzmaßnahmen den Zugriff auf sensible Informationen kontrollieren und verwalten, dienen administrative Schutzmaßnahmen dazu, die Belegschaft der Organisation im Hinblick auf den Schutz dieser Informationen zu verwalten. Das bedeutet, dass jede gedeckte Einheit Richtlinien und Verfahren implementieren muss, die den Mitarbeitern helfen, Gesundheitsinformationen ordnungsgemäß zu verwenden und zu verwalten. Um dies ein wenig auszuweiten, legen administrative Standards fest, dass jede Organisation die Verantwortungsdelegation, Schulungsanforderungen für Mitarbeiter und die Dokumentation aller Entscheidungen angemessen umsetzen und überwachen muss.

Wie man HIPAA-konform wird

Die Wahrheit ist, dass es keine speziellen Insidertipps gibt, die einem Unternehmen helfen können, die HIPAA-Überprüfungsliste zu bestehen, ohne alle notwendigen Arbeiten zu erledigen. HIPAA-Compliance erfordert, dass eine gedeckte Einheit (das Unternehmen) die maximale Vertraulichkeit, Integrität und Verfügbarkeit von geschützten Gesundheitsinformationen sicherstellt und Schutzverfahren und -richtlinien gemäß der HIPAA-Checkliste entwickelt.

Um HIPAA-konform zu werden, muss das Unternehmen jede Regel auf den 115 Seiten von HIPAA studieren und anwenden. Da ein so tiefgehender Prozess auf die Mehrheit der Anbieter entmutigend wirken kann, entscheiden sich die meisten Unternehmen dafür, mit Drittanbieter-HIPAA-IT-Compliance-Firmen zusammenzuarbeiten, die ihnen helfen können, alle erforderlichen Richtlinien ordnungsgemäß umzusetzen.

Hideez Enterprise Solution für das Gesundheitswesen ist ein einfacher Schritt, um HIPAA-konform zu werden. Es beseitigt das Risiko von Phishing-Angriffen, verschlüsselt die Anmeldeinformationen und macht sie für die Mitarbeiter unsichtbar, um Sie vor versehentlicher Offenlegung zu schützen. Die Hideez-Lösung ermöglicht das nahtlose Sperren und Entsperren von Computern durch Nähe, was besonders in Umgebungen mit mehreren gemeinsam genutzten Computern nützlich ist.

Wie man HIPAA-konform bleibt

Durch eine einfache Online-Suche finden Sie Dutzende von Ergebnissen, wie Sie sich an die durch HIPAA festgelegten Gesetze halten können. Es versteht sich von selbst, dass nicht alle garantieren können, dass Sie den HIPAA-Bericht zur Compliance bestehen und den HIPAA-Compliance-Status beibehalten. Abgesehen davon, hier sind drei sichere Methoden, um dies zu erreichen:

  • Regelmäßige Risikoanalyse
  • Detaillierte Compliance-Dokumentation
  • Hochgeschultes Personal

Verstöße gegen HIPAA-Compliance-Gesetze

Jetzt, da wir die grundlegenden HIPAA-Compliance-Regeln und die wichtigsten Maßnahmen zur Einhaltung der Vorschriften verstanden haben, lassen Sie uns einen Blick auf einige der häufigsten Ursachen für HIPAA-Compliance-Verstöße werfen. Es gibt Hunderte von Möglichkeiten, wie die HIPAA-konformen Daten-Regeln verletzt werden können, aber die häufigsten sind:

  • Unterlassen einer umfassenden Risikoanalyse im Unternehmen
  • Versäumnis, Sicherheitsrisiken zu verwalten
  • Schnüffeln in privaten Gesundheitsakten
  • Offenlegung geschützter Gesundheitsinformationen
  • Verweigerung des Zugangs von Einzelpersonen zu ihren Gesundheitsakten
  • Versäumnis, Compliance-Bemühungen zu dokumentieren
  • Unzureichende HIPAA-Schulung

Natürlich müssen wir zur vollständigen Transparenz erwähnen, dass einige Verstöße gegen die HIPAA-Datenschutz-Compliance aus versehentlichen Vergehen resultieren.

Dennoch erfordern Unwissenheit und versehentliche Verstöße immer noch bestimmte Korrekturmaßnahmen gegen das Unternehmen, wenn auch wahrscheinlich ohne bedeutende finanzielle Strafen. Darüber hinaus möchten wir auch erwähnen, dass HIPAA das Landesrecht nicht außer Kraft setzt. Die einzige Ausnahme, wenn dies der Fall ist, ist in Situationen, in denen die Vorschriften eines Staates schwächer sind als die auf der HIPAA-Checkliste.