Die Einführung des HIPAA
Der Health Insurance Portability and Accountability Act, auch bekannt als HIPAA, wurde am 21. August 1996 eingeführt. HIPAA wurde geschaffen, um die Übertragbarkeit und Rechenschaftspflicht des Krankenversicherungsschutzes zu fördern. Infolgedessen hat es sich auf die Art und Weise ausgewirkt, wie Organisationen im Gesundheitswesen mit allen Aspekten des Informationsmanagements umgehen, einschließlich Kostenerstattung, Kodierung, Sicherheit, Patientenakten und Pflegemanagement. Jede Praxis in den Vereinigten Staaten, die mit geschützten Gesundheitsdaten arbeitet, muss diese Vorschriften und die nach der ursprünglichen Ankündigung entwickelten Vorschriften einhalten.
Die Bedeutung von HIPAA heute
HIPAA ist heute ein wichtiger Bestandteil des Gesundheitswesens, weil es die Umsetzung von Schutzmaßnahmen zum Schutz sensibler persönlicher und gesundheitlicher Daten gewährleistet. HIPAA One hat es sich zur Aufgabe gemacht, jeden Aspekt der HIPAA-Vorschriften zu verstehen und mit seinen Kunden zusammenzuarbeiten, um eine vollständige Einhaltung der Vorschriften zu erreichen. Jede Organisation, die mit ePHI umgeht, muss einen Plan zur Einhaltung der Vorschriften haben, der den Schutz und die Sicherheit von Gesundheitsdaten und die Privatsphäre der Patienten in den Vordergrund stellt.
Die Einführung von Datenschutz- und Sicherheitsstandards
Am 14. April 2003 veröffentlichte das US-Gesundheitsministerium die erste HIPAA-Datenschutzvorschrift, in der geschützte Gesundheitsinformationen (Protected Health Information, PHI) definiert wurden als „alle Informationen, die sich im Besitz einer betroffenen Einrichtung befinden und die den Gesundheitszustand, die Bereitstellung von Gesundheitsleistungen oder die Bezahlung von Gesundheitsleistungen betreffen und mit einer Person in Verbindung gebracht werden können“.
Die HIPAA-Datenschutzvorschriften wurden später eingeführt, um zu veranschaulichen, wie PHI gehandhabt, übertragen, empfangen oder weitergegeben werden sollten. Gesundheitsdienstleister und Organisationen sowie ihre Geschäftspartner mussten diese Regeln für alle Formen von PHI einhalten.
Am 21. April 2005 wurde die HIPAA-Sicherheitsregel eingeführt. Diese Regel befasst sich direkt mit elektronisch gespeicherten PHI (ePHI) durch drei Sicherheitsvorkehrungen: physische, administrative und technische.
- Physische Sicherheitsvorkehrungen – Physische Maßnahmen, Richtlinien und Verfahren zum Schutz der elektronischen Informationssysteme einer betroffenen Einrichtung und der zugehörigen Gebäude und Geräte vor natürlichen und umweltbedingten Gefahren und unbefugtem Eindringen.
- Administrative Sicherheitsvorkehrungen – Richtlinien und Verfahren zur Verwaltung der Auswahl, Entwicklung, Implementierung und Wartung von Sicherheitsmaßnahmen.
- Technische Sicherheitsvorkehrungen – Richtlinien und Verfahren für Technologie und deren Verwendung, die ePHI schützen und den Zugriff darauf kontrollieren.
HIPAA Regulation Enforcement
Im März 2006 wurde die Enforcement Rule eingeführt. Die Enforcement Rule erlaubte es dem Department of Health and Human Services, gegen betroffene Einrichtungen zu ermitteln, die wegen Nichteinhaltung der HIPAA-Vorschriften angezeigt wurden. Zusätzlich zu einer Untersuchung erlaubt die Enforcement Rule dem Office for Civil Rights, zivilrechtliche Anklagen gegen Einrichtungen zu erheben, die die Vorschriften nicht einhalten.
Der Zusatz von ARRA und HITECH
Im Jahr 2009 wurde der American Recovery and Reinvestment Act (ARRA) eingeführt, der eine wichtige Ergänzung zur HIPAA-Durchsetzung darstellte: den Health Information Technology for Economic and Clinical Health Act (HITECH). Mit dem HITECH-Gesetz wurden Bestimmungen für das Management von Gesundheitsinformationen eingeführt, die unter anderem vorsehen, dass alle Verletzungen von ePHI, die mehr als 500 Personen betreffen, dem Office for Civil Rights (OCR) des Department of Health and Human Services (HHS) gemeldet werden müssen. Neben der Breach Notification Rule wurde mit dem HITECH Act das Meaningful Use“-Anreizprogramm eingeführt, das Gesundheitseinrichtungen dazu ermutigen soll, ihre Daten durch die Einführung einer elektronischen Patientenakte (EHR) elektronisch zu erfassen. Heute heißt dieses Anreizprogramm „Promoting Interoperability“ (Förderung der Interoperabilität).
Die endgültige Omnibus-Regel
Im März 2013 wurde die endgültige Omnibus-Regel eingeführt und mit ihr viele endgültige Änderungen. Mit der endgültigen Omnibus-Regel wurden Verordnungen wie HIPAA und HITECH hinsichtlich der Anwendung von ePHI sowie die Formulierungen in den Gesetzen selbst präzisiert. Die Datenschutz- und Sicherheitsvorschriften wurden ebenfalls geändert, um die angemessene Dauer für den Erhalt von Gesundheitsinformationen eines Patienten zu ändern. Bisher durften sie die Informationen 50 Jahre lang aufbewahren, doch mit der Änderung wurde diese Regel auf unbestimmte Zeit ausgedehnt. Zu den Änderungen gehörten auch Spezifikationen für sich ändernde Arbeitspraktiken bei technologischen Fortschritten, die 1996 noch nicht anwendbar waren, wie z. B. mobile Geräte und Telemedizin.
Sind Sie HIPAA-konform?
Die Durchsetzung des HIPAA erfolgt kontinuierlich durch Untersuchungen des Office of Civil Rights. Wenn die Kunden von HIPAA One überprüft werden, müssen sie sich keine Sorgen machen. Mit einer Erfolgsquote von 100 % begleitet HIPAA One sie bei jedem Schritt. Überprüfen Sie, ob Ihr Unternehmen alle HIPAA-Vorschriften einhält, indem Sie unser kostenloses Compliance-Quiz durchführen.