Ihre vollständige Checkliste für die Erreichung der HIPAA-Compliance

Der Health Insurance Portability and Accountability Act, kurz HIPAA, ist ein 1996 entwickeltes Rahmenwerk, das vom Department of Health and Human Services (HHS) und dem Office for Civil Rights (OCR) verwaltet wird. Es legt die gesetzlichen Verpflichtungen einer Organisation im Hinblick auf das Management von Gesundheitsdaten fest. Dazu gehören Patientenrechte auf Datenschutz, geeignete Sicherheitskontrollen zum Schutz der Datenschutz sowie Anforderungen an Gesundheitsorganisationen im Falle eines Datenschutzverstoßes durch eine böswillige Drittpartei.

Regulatorische Vorgaben sind erforderlich, um die Vertraulichkeit vertraulicher Patientendaten zu gewährleisten – insbesondere angesichts der Einführung elektronischer Aktenführung, digitaler Datenübertragung und Cloud-Services.

Daher sind die physische Sicherheit von Daten, eingesetzte Verschlüsselungsstandards sowie die Verfahren zur Dokumentation, Übertragung und Speicherung von Daten entscheidende Bestandteile der HIPAA-Compliance.

In diesem Beitrag betrachten wir HIPAA-Compliance im Detail: Wer ist betroffen? Was müssen diese Organisationen tun, um Compliance nachzuweisen? Welche Risiken birgt die Nichteinhaltung? Welche Strategien helfen beim Nachweis der HIPAA-Compliance? Und mehr.

Welche Organisationen müssen HIPAA einhalten?

HIPAA-Compliance gilt für jede Organisation oder Einzelperson, die geschützte Gesundheitsinformationen (PHI) erstellt, empfängt, verwaltet oder überträgt. Dazu zählen Gesundheitsdienstleister wie Ärzte und Krankenhäuser, Krankenversicherungen, Versicherungsgesellschaften und alle weiteren Organisationen im Gesundheitswesen.

HIPAA-Compliance betrifft auch Business Associates, wie Drittanbieter für Abrechnung, Transkriptionsdienste und IT-Dienstleister. Letztlich muss jede Instanz, die PHI speichert, überträgt oder verarbeitet, die HIPAA-Vorgaben erfüllen.

Konkret müssen folgende Organisationen HIPAA-Compliance nachweisen:

• Krankenversicherungen
• Clearingstellen im Gesundheitswesen
• Gesundheitsdienstleister (Krankenhäuser, Ärzte, Zahnärzte usw.)
• Business Associates von betroffenen Organisationen (z. B. Abrechnungsunternehmen und Dokumentenarchivierungsdienste)
• Apotheken
• Pflegeeinrichtungen für Langzeitpflege
• Forschungseinrichtungen
• Öffentliche Gesundheitsbehörden
• Arbeitgeber
• Schulen und Universitäten

Diese Organisationen müssen HIPAA einhalten, um sicherzustellen, dass sensible Patientendaten geschützt und nicht an unbefugte Personen oder Organisationen weitergegeben werden. Mit dem Nachweis der HIPAA-Compliance schaffen sie zudem Schutzmechanismen, die gewährleisten, dass Daten ausschließlich zu den vorgesehenen Zwecken genutzt und nicht anderweitig verwendet oder offengelegt werden.

Welche Organisationen sind von der HIPAA-Compliance ausgenommen?

Organisationen, die keine PHI erstellen, empfangen, verwalten oder übertragen, müssen keine HIPAA-Compliance nachweisen. Beispiele sind Einzelhändler und Restaurants. Allerdings können auch Organisationen, die nicht direkt im Gesundheitswesen tätig sind, unter HIPAA fallen – etwa, wenn sie Cloud-Speicher für gesundheitsbezogene Informationen bereitstellen. Dann müssen sie ebenfalls HIPAA-Compliance nachweisen.

Wichtige HIPAA-Regulierungs- und Compliance-Begriffe

Um zu verstehen, was HIPAA-Compliance bedeutet und für wen sie gilt, sind einige Schlüsselbegriffe wichtig:

Betroffene Organisation (Covered Entity)

Hierzu zählen Krankenhäuser, Ärzte, Kliniken, Versicherungsagenturen oder alle, die regelmäßig mit Patienten und deren vertraulichen Daten arbeiten.

Business Associate

Dienstleister, die eng mit betroffenen Organisationen zusammenarbeiten, ohne direkt mit Patienten zu arbeiten. Business Associates verarbeiten häufig vertrauliche Daten, etwa durch Technologieprodukte, Beratung, Finanzverwaltung, Datenanalyse oder andere Dienstleistungen.

Geschützte Gesundheitsinformationen (PHI)

PHI bezeichnet alle Gesundheitsdaten, die eine Person identifizieren können und im Rahmen von Gesundheitsdienstleistungen erstellt, genutzt oder offengelegt werden. Dazu zählen: ausgedruckte Krankenakten, handschriftliche Notizen von Ärzten und Gespräche zwischen Pflegekräften über Patienten.

Elektronische persönliche Gesundheitsinformationen (ePHI)

ePHI ist eine Teilmenge von PHI und umfasst PHI, die elektronisch erstellt, gespeichert, übertragen oder empfangen wird. Beispiele: elektronische Krankenakten in EHR-Systemen, E-Mails mit Gesundheitsinformationen, in der Cloud gespeicherte Röntgenbilder und Abrechnungsdaten, die über sichere Webportale versendet werden.

Warum ist HIPAA-Compliance notwendig?

HIPAA-Compliance ist notwendig, um die Sicherheit vertraulicher Gesundheitsdaten zu gewährleisten. Es handelt sich um ein Bundesgesetz, das Organisationen – etwa Gesundheitsdienstleister – verpflichtet, die Vertraulichkeit und Sicherheit der Patientendaten zu schützen. Die Einhaltung dieser Standards ist entscheidend für den Schutz sensibler Daten wie Patientenakten, Versicherungsinformationen und anderer personenbezogener und geschützter Gesundheitsinformationen (PII/PHI).

Risiken und Strafen für Organisationen, die HIPAA nicht einhalten

Organisationen, die HIPAA nicht einhalten, drohen erhebliche Strafen. Das Office for Civil Rights des US-Gesundheitsministeriums kann Sanktionen verhängen, darunter Bußgelder, Korrekturmaßnahmen und zivilrechtliche Geldstrafen. Darüber hinaus können Unternehmen strafrechtlich belangt werden.

Wenn eine Organisation die HIPAA-Compliance nicht erfüllt oder aufrechterhält, gilt sie als nicht konform. Typische HIPAA-Verstöße sind:

• Unrechtmäßige Offenlegung von ePHI an unbefugte Dritte – absichtlich oder versehentlich
• Nichtumsetzung angemessener Sicherheitsprotokolle gemäß HIPAA Security Rule
• Fehlende administrative oder Schulungsprotokolle, die die Anforderungen erfüllen
• Versäumnis, betroffene Personen und Behörden nach relevanten Datenschutzverstößen ordnungsgemäß zu benachrichtigen
• Unwilligkeit, bestehende Compliance-Lücken zu aktualisieren, zu verbessern oder zu schließen

Zivilrechtliche vs. strafrechtliche HIPAA-Verstöße

HIPAA-Verstöße können zivilrechtlicher oder strafrechtlicher Natur sein. Es ist wichtig, den Unterschied zu kennen.

Zivilrechtliche Verstöße sind Fälle, in denen die Nichteinhaltung versehentlich oder ohne böswillige Absicht geschieht – etwa durch Fahrlässigkeit oder Unwissenheit. Die Strafen sind hier geringer:

• Für Personen, die Verstöße nicht kannten, beträgt das Bußgeld 100 US-Dollar pro Vorfall.
• Bei begründetem Anlass ohne Fahrlässigkeit mindestens 1.000 US-Dollar.
• Vorsätzliche Fahrlässigkeit mindestens 10.000 US-Dollar pro Vorfall.
• Vorsätzliche Fahrlässigkeit ohne sofortige Behebung mindestens 50.000 US-Dollar pro Verstoß.

Strafrechtliche Verstöße hingegen werden mit böswilliger Absicht begangen, etwa Diebstahl, Betrug oder Bereicherung. Die Strafen umfassen:

• Wissentliche Beschaffung oder Offenlegung von ePHI: bis zu 50.000 US-Dollar und 1 Jahr Haft.
• Betrug im Zusammenhang mit dem Verstoß: bis zu 100.000 US-Dollar und 5 Jahre Haft.
• Verstöße mit Bereicherungsabsicht: bis zu 250.000 US-Dollar und bis zu 10 Jahre Haft.
• Zahlreiche und wiederholte Verstöße können Organisationen Millionenbeträge pro Jahr kosten.

Beispiele für HIPAA-Verstöße

Es gibt verschiedene typische Verstöße. Zu den häufigsten HIPAA-Verstößen zählen:

• Betrug. Die offensichtlichste Form ist der Diebstahl von ePHI zu Profitzwecken. Hacker oder Insider sind zwar selten, aber mit zunehmender Nutzung von Cloud-Technologien und unerprobten Dienstleistern nehmen solche Fälle zu.
• Verlust oder Diebstahl von Geräten. Früher war der Diebstahl von Desktop-Arbeitsplätzen seltener. Mit der verstärkten Nutzung mobiler Geräte wie Laptops, Tablets und Smartphones steigt jedoch das Risiko, dass Geräte in falsche Hände geraten.
• Fehlender Schutz. Die Security Rule definiert die erforderlichen HIPAA-Verschlüsselungen, Firewalls und weitere Sicherheitsmaßnahmen. Viele Organisationen kennen diese Vorgaben nicht oder arbeiten mit Drittanbietern, die vermeintlich konform sind, es aber nicht sind.
• Unbefugter Zugriff organisationsübergreifend. Ob durch Weitergabe von Daten an Unbefugte oder Nutzung unverschlüsselter Geräte/E-Mails – es ist sehr einfach, dass ungeschulte Mitarbeitende ePHI unsachgemäß weitergeben. Tatsächlich ist die versehentliche Offenlegung von PHI die häufigste Form des Verstoßes, weshalb es hierfür eine eigene Kategorie geringerer Strafen gibt.

Bußgelder bei HIPAA-Compliance-Verstößen

Beispiele für Bußgelder bei HIPAA-Compliance-Verstößen:

• Bis zu 1,5 Millionen US-Dollar für einen einzelnen Verstoß und bis zu 15 Millionen US-Dollar für mehrere Verstöße in einem Kalenderjahr
• Bis zu 50.000 US-Dollar pro Verstoß bei vorsätzlichem Missbrauch von Patientendaten
• Bis zu 100 US-Dollar pro Verstoß bei Nichtgewährung eines Zugriffsrechts für Patienten
• Bis zu 250.000 US-Dollar oder bis zu 1 Jahr Haft oder beides bei unbefugter Beschaffung oder Offenlegung identifizierbarer Gesundheitsdaten

Warum sind die Strafen bei HIPAA-Nichteinhaltung so hoch? Werden Patientenakten gestohlen, kann die Privatsphäre der Patienten verletzt werden. Gestohlene Daten können für Identitätsdiebstahl oder Betrug genutzt werden, was zu finanziellen Verlusten oder unbefugter Nutzung von Leistungen führt. Abgefangene sensible medizinische Informationen können auch für Erpressung oder gezielte Belästigung missbraucht werden.

Die 4 wichtigsten HIPAA-Regeln und ihre Auswirkungen auf die HIPAA-Compliance

Das HIPAA-Rahmenwerk besteht aus vier Hauptregeln, die die Anforderungen an die HIPAA-Compliance festlegen:

1. Die HIPAA Privacy Rule
2. Die HIPAA Security Rule
3. Die HIPAA Breach Notification Rule
4. Die HIPAA Omnibus Rule

Jede Regel bietet einen Rahmen für einen bestimmten Compliance-Bereich und beeinflusst kritische Aspekte der anderen Regeln. Im Folgenden betrachten wir jede Regel genauer.

Die HIPAA Privacy Rule

Die HIPAA Privacy Rule legt nationale Standards für das Recht der Patienten auf Datenschutz und vertrauliche Informationen fest. Sie definiert, was ePHI ist, wie es geschützt werden muss, wie es verwendet werden darf und wie es übertragen und gespeichert werden kann.

Ein weiterer Bestandteil der Privacy Rule sind die erforderlichen Unterlagen und Einwilligungen für Organisationen, die ePHI verarbeiten.

Nach dieser Regel gilt: Jede identifizierbare Patienteninformation unterliegt dem Datenschutz durch die betroffene Organisation oder deren Business Associates. Dies wird als „geschützte Gesundheitsinformation“ bezeichnet und umfasst:

• Alle vergangenen, aktuellen oder zukünftigen Dokumentationen zu physischen oder psychischen Erkrankungen
• Alle Unterlagen zur Behandlung des Patienten
• Und Unterlagen zu vergangenen, aktuellen oder zukünftigen Zahlungen für Gesundheitsleistungen

Die HIPAA Privacy Rule besagt, dass betroffene Organisationen private Gesundheitsdaten nur in sehr spezifischen Pflege-, Forschungs- oder Rechtssituationen offenlegen dürfen. Diese Situationen sind äußerst eng gefasst und unterliegen der Auslegung durch Gerichte. Daher ist es für betroffene Organisationen und deren Business Associates sicherer, alle PHI zu schützen, statt sich auf Ausnahmen zu konzentrieren.

HIPAA Privacy Rule Checkliste

Diese HIPAA Privacy Rule Checkliste enthält 10 wesentliche Schritte, die Gesundheitsorganisationen und ihre Business Associates zur Einhaltung der Privacy Rule befolgen müssen. Von der Benennung eines Datenschutzbeauftragten bis zur Festlegung von Protokollen für die Offenlegung von PHI an Dritte deckt diese Checkliste alle notwendigen Aspekte zum Schutz sensibler Gesundheitsdaten ab. Die Einhaltung dieser Vorgaben hilft nicht nur, HIPAA-Verstöße (und damit verbundene Strafen, Bußgelder und Klagen) zu vermeiden, sondern stärkt auch das Vertrauen der Patienten. Dazu gehören:

1. Benennung eines Datenschutzbeauftragten (DPO)
2. Entwicklung und Implementierung schriftlicher Richtlinien und Verfahren
3. Security Awareness Trainings für Mitarbeitende bereitstellen
4. Einholung der Einwilligung der Patienten für bestimmte Offenlegungen
5. Geeignete Schutzmaßnahmen für geschützte Gesundheitsinformationen (PHI) aufrechterhalten
6. System zur Überprüfung und Verifizierung von PHI-Anfragen implementieren
7. Auf Patientenanfragen zum Zugriff auf PHI reagieren
8. Patienten im Falle eines Verstoßes gegen ungesicherte PHI benachrichtigen
9. Eindeutige Kennungen für Einzelpersonen und Gruppen vergeben
10. Protokolle für die Offenlegung von PHI an Business Associates und andere Dritte etablieren

Die HIPAA Security Rule

Nach der Definition von Datenschutz und ePHI folgt der Schutz dieser Daten. Die HIPAA Security Rule legt nationale Standards für die erforderlichen Mechanismen zum Schutz von ePHI fest. Diese Mechanismen erstrecken sich auf den gesamten Betrieb der betroffenen Organisation – einschließlich Technologie, Verwaltung, physischer Schutzmaßnahmen für Computer und Geräte sowie aller Aspekte, die die Sicherheit von ePHI beeinflussen können.

Die in dieser Regel beschriebenen Kontrollen sind in drei Gruppen unterteilt:

1. Administrative Aufgaben zur HIPAA-Compliance: Dazu gehören Richtlinien und Verfahren, die ePHI betreffen, sowie Technologien, Systemdesign, Risikomanagement und Wartung aller anderen Sicherheitsmaßnahmen. Auch Aspekte der Verwaltung wie Personalwesen und Mitarbeiterschulungen sind enthalten.
2. Physische Maßnahmen zur HIPAA-Compliance: Physische Schutzmaßnahmen sichern den Zugang zu Geräten – einschließlich Computern, Routern, Switches und Daten-Speichern. Betroffene Organisationen müssen sichere Räumlichkeiten gewährleisten, zu denen nur autorisierte Personen Zugang haben.
3. Technische Maßnahmen zur HIPAA-Compliance: Cybersecurity umfasst Computer, mobile Geräte, Verschlüsselung, Netzwerksicherheit, Gerätesicherheit und alle technischen Aspekte der Speicherung und Kommunikation von ePHI.

HIPAA Security Rule Compliance Checkliste

Unsere HIPAA Security Rule Checkliste umfasst 10 zentrale Bereiche, die Organisationen adressieren müssen, um PHI und ePHI zu schützen. Diese Checkliste hilft, die HIPAA-Sicherheitsstandards einzuhalten und sensible Patientendaten vor Bedrohungen und Schwachstellen zu schützen:

1. Risikobewertung zur Identifikation potenzieller Bedrohungen und Schwachstellen durchführen
2. Richtlinien und Verfahren zur Aufrechterhaltung und Überwachung der Sicherheit von PHI und ePHI implementieren
3. Zugriffskontrollen durchsetzen, sodass nur autorisierte Personen mit erforderlicher Funktion Zugriff auf PHI/ePHI erhalten
4. Sicherstellen, dass alle ePHI mit Verschlüsselung während der Übertragung und im ruhenden Zustand geschützt sind
5. Verfahren zur Reaktion auf Sicherheitsvorfälle und Datenschutzverstöße einführen
6. Alle Mitarbeitenden zu HIPAA-Sicherheitsrichtlinien und -verfahren schulen
7. Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um Aktualität und Wirksamkeit zu gewährleisten
8. Notfallwiederherstellungs- und Geschäftskontinuitätsplan aufstellen, um auf Katastrophen oder andere Notfälle reagieren zu können
9. Sicherstellen, dass alle Drittanbieter und Auftragnehmer die HIPAA-Sicherheitsanforderungen erfüllen
10. Regelmäßige Audits und Bewertungen zur Überprüfung der HIPAA-Sicherheitsstandards durchführen

Die HIPAA Breach Notification Rule

Die Breach Notification Rule regelt das Vorgehen bei Sicherheitsverletzungen. Da ein 100%iger Schutz von Daten kaum möglich ist, müssen Organisationen Pläne bereithalten, um die Öffentlichkeit und Betroffene eines HIPAA-Verstoßes über das Geschehen und die nächsten Schritte zu informieren.

Die Breach Notification Rule definiert eine Reihe von Schritten, die jede betroffene Organisation im Falle eines Verstoßes einhalten muss, um konform zu bleiben, darunter:

1. Benachrichtigung der betroffenen Personen. Betroffene Organisationen müssen den Opfern eine formelle, schriftliche Mitteilung per Post oder (falls zutreffend) per E-Mail zukommen lassen.
2. Liegt für mehr als 10 Betroffene keine Kontaktinformation vor, ist eine alternative Benachrichtigung – etwa durch einen 90-tägigen Hinweis auf der Website oder in wichtigen Print- und Rundfunkmedien – erforderlich.
3. Die Benachrichtigung muss spätestens 60 Tage nach Entdeckung des Verstoßes erfolgen.
4. Bei Verstößen mit mehr als 500 Betroffenen in einem Bundesstaat oder einer anderen Region ist eine öffentliche Bekanntmachung über lokale Medien erforderlich.
5. Zudem muss innerhalb von 60 Tagen eine Meldung an das Gesundheitsministerium erfolgen, wenn mehr als 500 Personen betroffen sind. Bei weniger Betroffenen reicht eine jährliche Meldung.

Diese Benachrichtigungspflichten gelten auch für Verstöße, die Business Associates einer betroffenen Organisation melden.

HIPAA Breach Notification Rule Compliance Checkliste

Organisationen, die PHI und ePHI verarbeiten, sind gesetzlich verpflichtet, die HIPAA Breach Notification Rule einzuhalten, die eine zeitnahe Meldung von Datenschutzverstößen verlangt. Die Nichteinhaltung kann zu erheblichen Bußgeldern, rechtlichen Konsequenzen und Reputationsschäden führen.

Diese Checkliste hilft, die Einhaltung der HIPAA Breach Notification Rule sicherzustellen. Weitere Vorteile sind der Vertrauensaufbau bei Patienten und Partnern, eine gestärkte Incident-Response-Bereitschaft und die Reduzierung künftiger Risiken.

1. Verstöße schnell erkennen und untersuchen, Umfang, Auswirkungen und Risiken bestimmen.
2. Risikobewertung durchführen, um Art und Umfang der betroffenen PHI, Zugriffsberechtigte, tatsächliche Einsichtnahme und Risikominderung zu bewerten.
3. Den Verstoß mit detaillierten Aufzeichnungen dokumentieren – auch wenn keine Benachrichtigung erforderlich ist.
4. Betroffene Personen innerhalb von 60 Tagen benachrichtigen; schriftliche Mitteilung per Post oder – falls autorisiert – per E-Mail mit Beschreibung des Vorfalls, betroffener Informationen und empfohlener Maßnahmen.
5. Das US-Gesundheitsministerium informieren; bei weniger als 500 Betroffenen jährliche Meldung, bei 500 oder mehr Betroffenen Meldung innerhalb von 60 Tagen über das HHS-Breach-Portal.
6. Medien informieren, wenn 500 oder mehr Personen in einem Bundesstaat oder einer Region betroffen sind, um breite öffentliche Aufmerksamkeit zu gewährleisten.
7. Sanktionen und Korrekturmaßnahmen umsetzen, z. B. Disziplinarmaßnahmen, Nachschulungen oder technische Änderungen.
8. Richtlinien und Verfahren aktualisieren, einschließlich Plänen zur Reaktion auf Verstöße und Datenschutz-/Sicherheitspraktiken auf Basis der gewonnenen Erkenntnisse.
9. Mitarbeitende zu Verfahren bei Datenschutzverstößen schulen, damit alle Mitarbeitenden Verstöße erkennen, melden und darauf reagieren können.
10. PHI/ePHI sichern und verschlüsseln, um das Risiko meldepflichtiger Verstöße zu minimieren.

Die HIPAA Omnibus Rule

Die Omnibus Rule ist eine neuere Regelung, die den Geltungsbereich der Vorschriften auf Organisationen außerhalb der betroffenen Organisationen ausweitet. Kurz gesagt: Die Omnibus Rule verpflichtet auch Business Associates und Auftragnehmer zur Compliance. Das bedeutet, dass betroffene Organisationen für mögliche Verstöße ihrer Business Associates und Auftragnehmer verantwortlich sind und ihre Gap-Analyse, Risikobewertung und Compliance-Prozesse entsprechend anpassen müssen.

HIPAA Omnibus Rule Compliance Checkliste

Die 2013 finalisierte HIPAA Omnibus Rule hat den Datenschutz und die Sicherheit von PHI deutlich gestärkt. Sie hat den Geltungsbereich von HIPAA erweitert, indem Business Associates direkt haftbar gemacht wurden, Patientenrechte gestärkt und Regeln zu Meldungen, Marketing und Offenlegungen präzisiert wurden.

Der Nachweis der Compliance mit der Omnibus Rule ist entscheidend, um kostspielige Strafen zu vermeiden, das Vertrauen der Patienten zu schützen, Partnerschaften zu stärken und gegenüber Aufsichtsbehörden Engagement für Datenschutz zu zeigen. Durch die Anpassung von Richtlinien, Schulungen und Lieferantenmanagement an die Omnibus Rule können Organisationen Compliance-Lücken schließen und ihre Sicherheitslage verbessern. Folgende Empfehlungen sind zu beachten:

1. Business Associate Agreements (BAAs) überprüfen und aktualisieren, um aktuelle oder erweiterte Haftung und Verantwortlichkeiten gemäß Omnibus Rule sicherzustellen.
2. Umfassende Risikoanalyse aller PHI- und ePHI-Sicherheitsrisiken durchführen, einschließlich der bei Business Associates gespeicherten oder genutzten Daten.
3. Sicherheits- und Datenschutzrichtlinien an neue Omnibus-Vorgaben anpassen, insbesondere zu Datennutzung, Patientenrechten und Umgang mit Verstößen.
4. Mitarbeitende zu neuen Anforderungen schulen, einschließlich aktualisierter HIPAA-Richtlinien, Änderungen bei der Meldung von Verstößen und Patientenrechten gemäß Omnibus Rule.
5. Patientenrechte auf Einschränkung der Offenlegung von PHI an Versicherungen bei Selbstzahlung respektieren.
6. Notice of Privacy Practices (NPP) aktualisieren, um neue Inhalte wie Rechte bei Datenschutzverstößen und Nutzung genetischer Informationen aufzunehmen.
7. Vor der Nutzung von PHI für Marketing und Verkauf eine schriftliche Einwilligung einholen.
8. Protokolle für die Meldung von Verstößen verbessern; jede unbefugte Nutzung/Offenlegung von PHI als mutmaßlichen Verstoß behandeln, sofern keine dokumentierte Risikobewertung das Gegenteil belegt.
9. Compliance der Business Associates regelmäßig überwachen, um sicherzustellen, dass sie PHI angemessen schützen und ihre HIPAA-Verpflichtungen erfüllen.
10. Alles dokumentieren, einschließlich aller HIPAA-bezogenen Richtlinien, Schulungen, Bewertungen und Entscheidungen, um Compliance bei Audits oder Untersuchungen nachzuweisen.

Was ist die HIPAA Enforcement Rule?

Die HIPAA Enforcement Rule ist eine Sammlung von Vorschriften, die Richtlinien für Untersuchungen und Strafen bei Verstößen gegen die Datenschutz- und Sicherheitsregeln des Health Insurance Portability and Accountability Act (HIPAA) vorgibt. Sie soll sicherstellen, dass betroffene Organisationen und Business Associates HIPAA einhalten und die Vertraulichkeit und Sicherheit von PHI schützen. Die Enforcement Rule legt außerdem Verfahren für Beschwerden und Untersuchungen mutmaßlicher Verstöße fest, einschließlich der Verhängung von Geldstrafen und Korrekturmaßnahmen.

HIPAA Enforcement Rule Compliance Checkliste

Die HIPAA Enforcement Rule beschreibt, wie das Department of Health and Human Services (HHS) über das Office for Civil Rights (OCR) mögliche HIPAA-Verstöße untersucht und Strafen verhängt. Sie definiert die Abläufe für Untersuchungen, die Struktur der Geldstrafen und den Prozess zur Behebung, einschließlich Korrekturmaßnahmen und formaler Sanktionen.

Der Nachweis der Compliance mit der Enforcement Rule ist entscheidend, da er den Aufsichtsbehörden zeigt, dass Ihre Organisation Datenschutz und Sicherheit ernst nimmt. Dies kann Strafen reduzieren, verschärfte Maßnahmen vermeiden und ein proaktives, gut gesteuertes Compliance-Programm belegen. Audit-Bereitschaft und Reaktionsfähigkeit stärken zudem das Vertrauen der Patienten, mindern Risiken und fördern eine Kultur der Verantwortlichkeit. Folgende Empfehlungen helfen beim Nachweis der Compliance mit der HIPAA Enforcement Rule:

1. Vollständige Dokumentation aller HIPAA-Compliance-Aktivitäten führen – inklusive Richtlinien, Schulungen, Risikobewertungen, Incident Responses und Audit-Logs – um eine Compliance-Kultur zu belegen.
2. Schnell auf Untersuchungen und Anfragen reagieren; mit dem US-Gesundheitsministerium (HHS) und dem Office for Civil Rights (OCR) während Untersuchungen oder Überprüfungen kooperieren.
3. Formale Sanktionsrichtlinie umsetzen; Disziplinarmaßnahmen bei HIPAA-Verstößen konsequent durchsetzen und Maßnahmen gegen nicht konforme Mitarbeitende oder Lieferanten dokumentieren.
4. Regelmäßige interne Audits durchführen, um Compliance-Lücken zu erkennen und Probleme zu beheben, bevor sie zu Verstößen werden.
5. Prozess für Korrekturmaßnahmen (CAP) bei festgestellten Verstößen entwickeln, um Compliance-Probleme zu lösen und Wiederholungen zu verhindern.
6. Mitarbeitende zu Konsequenzen bei Verstößen schulen, einschließlich möglicher zivil- und strafrechtlicher Strafen, um Verantwortungsbewusstsein zu fördern.
7. Klaren Beschwerdeprozess etablieren, damit Patienten und Mitarbeitende vertraulich und einfach mutmaßliche HIPAA-Verstöße oder Datenschutzbedenken melden können.
8. Führungskräfteverantwortung sicherstellen, indem klare Rollen mit Rückendeckung des Managements für Compliance und Enforcement Rule festgelegt werden.
9. Richtlinien und Verfahren regelmäßig überprüfen und aktualisieren, um mit Gesetzesänderungen und Enforcement-Trends Schritt zu halten.
10. Bei komplexen Compliance-Fragen oder Enforcement-Maßnahmen rechtliche und Compliance-Experten hinzuziehen.

Aktuelle HIPAA-Updates für die HIPAA-Compliance

Die letzten HIPAA-Updates wurden 2013 und 2016 umgesetzt.

2013 wurde die HIPAA Omnibus Rule eingeführt, die wesentliche Änderungen für den Umgang mit geschützten Gesundheitsinformationen (PHI) brachte. Zu den wichtigsten Änderungen zählen:

• Erweiterter Schutz der Patientenrechte, einschließlich des Rechts auf Zugang zu und Erhalt von Kopien ihrer PHI sowie das Recht, Einschränkungen bei der Nutzung oder Offenlegung ihrer PHI zu verlangen
• Gestärkte Durchsetzung der HIPAA-Vorschriften, einschließlich erhöhter Bußgelder bei Nichteinhaltung und der Verpflichtung für Business Associates (Drittanbieter), die HIPAA-Vorgaben einzuhalten
• Aktualisierte Definitionen wichtiger Begriffe wie „Business Associate“ und „geschützte Gesundheitsinformationen“

2016 wurde die HIPAA Privacy Rule dahingehend geändert, dass bestimmte betroffene Organisationen – etwa Gesundheitsdienstleister oder Versicherungen – die Namen von Personen mit diagnostizierten psychischen Erkrankungen an das National Instant Criminal Background Check System (NICS) weitergeben dürfen. Diese Änderung erfolgte als Reaktion auf das Schulmassaker in Sandy Hook 2012 und die damit verbundenen Bedenken hinsichtlich des Zugangs von Menschen mit psychischen Erkrankungen zu Schusswaffen. Die Offenlegung dieser Informationen unterliegt jedoch bestimmten Einschränkungen und Schutzmaßnahmen, darunter die Verpflichtung, vorab eine schriftliche Einwilligung der betroffenen Person einzuholen und sie über die möglichen Folgen der Offenlegung zu informieren.

Was ist HIPAA IT-Compliance?

HIPAA-Compliance und HIPAA IT-Compliance unterscheiden sich leicht.

HIPAA-Compliance ist ein Regelwerk des US-Gesundheitsministeriums (HHS) zum Schutz der Vertraulichkeit, Sicherheit und Integrität sensibler Gesundheitsdaten von Patienten. Dazu gehören Anforderungen an administrative, physische und technische Schutzmaßnahmen wie die Einführung von Richtlinien, Verfahren und Sicherheitsmaßnahmen.

HIPAA IT-Compliance bezieht sich hingegen auf die technischen Aspekte der HIPAA Security Rule, insbesondere die Implementierung, Wartung und Überwachung technischer Schutzmaßnahmen für elektronische geschützte Gesundheitsinformationen (ePHI). Dazu zählen starke Authentifizierungs- und Zugriffskontrollmechanismen, regelmäßige Sicherheitsrisikobewertungen sowie Verschlüsselung und Schutz gespeicherter Daten.

Gibt es eine spezielle HIPAA-Compliance-Checkliste für IT?

Einige IT-Organisationen müssen HIPAA-konform sein, da sie sensible und/oder vertrauliche Daten verarbeiten, die durch HIPAA geschützt sind. Daher müssen IT-Organisationen die notwendigen Schritte unternehmen, um sicherzustellen, dass ihre Systeme und Prozesse den HIPAA-Vorgaben entsprechen.

IT-Organisationen sollten folgende Punkte beachten, um die HIPAA IT-Compliance nachzuweisen:

1. Eine/n dedizierte/n HIPAA-Datenschutzbeauftragte/n benennen, der/die für die Entwicklung und Umsetzung von Sicherheitsmaßnahmen verantwortlich ist.
2. Alle Daten identifizieren und klassifizieren, die unter HIPAA fallen.
3. Alle Mitarbeitenden zu HIPAA-Gesetzen und -Vorschriften schulen.
4. Administrative, technische und physische Richtlinien und Prozesse im Zusammenhang mit HIPAA etablieren und dokumentieren.
5. Alle Computer und/oder Arbeitsplätze mit ausreichenden Sicherheitsmaßnahmen gegen unbefugten Zugriff ausstatten.
6. Alle Dokumente mit geschützten Gesundheitsdaten sicher speichern und den Zugriff auf autorisiertes Personal beschränken.
7. Verschlüsselungssoftware einsetzen, um Daten im ruhenden Zustand zu schützen.
8. Sicheres Surfen im Web praktizieren und E-Mail-Sicherheitssoftware nutzen.
9. Dokumente und Unterlagen mit Patientendaten ordnungsgemäß entsorgen; Schreddern oder Verbrennen sind die bevorzugten, sichersten Methoden.
10. Verfahren für den Umgang mit Sicherheitsvorfällen und unbefugten Zugriffsversuchen etablieren und aufrechterhalten.
11. Zugriffsprotokolle regelmäßig überprüfen und überwachen, um unbefugten Zugriff zu erkennen.
12. Umfassende Nutzerprotokollierung und Prüfprotokolle implementieren.
13. Backup-Verfahren entwickeln und umsetzen, die den HIPAA-Richtlinien entsprechen.
14. Notfall- und Wiederherstellungspläne entwickeln und pflegen.

Erste Schritte zur HIPAA-Compliance

Wenn Sie neu bei der HIPAA-Compliance sind, kann Ihre Organisation folgende Schritte unternehmen, um konform zu werden:

1. Entwicklung eines HIPAA-Sicherheits- und Datenschutz-Compliance-Plans.
2. Richtlinien und Verfahren für den Umgang mit und Schutz von geschützten Gesundheitsinformationen (PHI) entwickeln.
3. Physische, administrative und technische Schutzmaßnahmen zum Schutz von PHI implementieren.
4. Mitarbeitende zu HIPAA Best Practices und Protokollen schulen.
5. Mitarbeitende HIPAA-Bestätigungen unterzeichnen lassen und sicherstellen, dass sie ihre Pflichten und Verantwortlichkeiten kennen.
6. Sicherstellen, dass Business Associates, Lieferanten und Auftragnehmer Business Associate Agreements (BAA) unterzeichnet haben und HIPAA-konform sind.
7. Verfahren für regelmäßige Überprüfung, Auditierung und Aktualisierung der HIPAA-Compliance implementieren.
8. Alle Sicherheits- und Datenschutzmaßnahmen für PHI dokumentieren.
9. Notfallpläne für Datenschutzverstöße oder Datenverlust bereithalten.
10. Die Sicherheit von PHI regelmäßig überwachen und vollständige HIPAA-Compliance sicherstellen.

Was ist HITECH und wie steht es im Zusammenhang mit HIPAA-Compliance?

Der Health Information Technology for Economic and Clinical Health Act wurde 2009 verabschiedet und prägt die Compliance-Anforderungen seither. Das Gesetz hat die rechtlichen Anforderungen für Gesundheitsorganisationen in verschiedenen Branchen, einschließlich direkter Gesundheitsversorgung und Sozialversicherung, überarbeitet.

Vor HITECH nutzten nur 10 % der Krankenhäuser elektronische Gesundheitsakten (EHR). HITECH war entscheidend für die Umstellung auf elektronische Aktenführung. Das Gesetz förderte die Einführung digitaler ePHI-Management-Technologien und die Einhaltung der HIPAA-Vorgaben – unter anderem durch Anreize für die Umstellung auf digitale Technologien.

Bis 2017 lag die EHR-Einführungsrate dank HITECH bei 86 %.

HITECH hat auch die Verantwortung für HIPAA-Compliance neu verteilt. Um die Einführung digitaler Technologien zu fördern, wurden mit dem HITECH Act Business Associates direkt für Verstöße verantwortlich gemacht. Ihre Verantwortung wird in einem erforderlichen Business Associate Agreement (BAA) mit der betroffenen Organisation festgelegt.

HITECH hat zudem die Strafen für Verstöße erhöht und die Strafverfolgung verschärft, damit Organisationen die Compliance einhalten.

HIPAA-Compliance-Ressourcen

Weitere Informationen zu HIPAA und den Compliance-Anforderungen finden Sie hier:

1. HHS.gov-Website
2. HIPAA Journal Website
3. HHS Office for Civil Rights
4. Centers for Medicare & Medicaid Services
5. National Institute of Standards and Technology
6. HHS Security Management Guidelines
7. HIPAA Security Rule
8. HIPAA Privacy Rule
9. National Institute of Standards and Technology (NIST) Special Publications
10. HITECH Security and Breach Notification Act

Wie Sie HIPAA-Compliance mit einer Self-Audit-Checkliste erreichen und aufrechterhalten

Mit einer HIPAA-Self-Audit-Checkliste können Gesundheitsorganisationen potenzielle Compliance-Lücken erkennen und vor einer Prüfung durch das Department of Health and Human Services (HHS) Korrekturmaßnahmen ergreifen. Ein Self-Audit hilft zudem, kostspielige Strafen und Bußgelder bei HIPAA-Verstößen zu vermeiden.

Darüber hinaus unterstützt ein Self-Audit Gesundheitsorganisationen dabei, Best Practices für die HIPAA-Compliance zu etablieren und die Datensicherheit insgesamt zu verbessern. Es stärkt auch das Vertrauen der Patienten, indem es das Engagement für den Schutz sensibler Informationen zeigt.

Die Verwendung einer HIPAA-Self-Audit-Checkliste ist ein wichtiger Schritt zur Einhaltung der HIPAA-Vorgaben und zum Schutz von Patientendaten.

Hier eine Checkliste für das Self-Audit zur HIPAA-Compliance:

1. Den Umfang des Audits bestimmen, einschließlich der zu bewertenden Organisationseinheiten und Prozesse.
2. Richtlinien und Verfahren überprüfen, um die Einhaltung der HIPAA-Vorgaben sicherzustellen.
3. Überprüfen, ob alle Mitarbeitenden HIPAA-Schulungen erhalten haben und diese aktuell sind.
4. Zugriffskontrollen überprüfen und sicherstellen, dass nur autorisierte Personen Zugriff auf PHI haben.
5. Physische Schutzmaßnahmen bewerten, einschließlich Zugangskontrollen zu Einrichtungen und Arbeitsplätzen.
6. Technische Schutzmaßnahmen überprüfen, einschließlich Zugriffskontrollen auf Systeme, Verschlüsselung von PHI und Passwort-Richtlinien.
7. Business Associate Agreements mit allen Drittanbietern, die Zugriff auf PHI haben, überprüfen.
8. Verfahren zur Reaktion auf Vorfälle bewerten und sicherstellen, dass sie aktuell und wirksam sind.
9. Verfahren zur Meldung von Datenschutzverstößen überprüfen und sicherstellen, dass sie aktuell und wirksam sind.
10. Überprüfen, ob alle erforderlichen HIPAA-Dokumentationen aktuell und leicht verfügbar sind.
11. Compliance mit der HIPAA Privacy Rule bewerten, einschließlich Einholung und Dokumentation von Patienten-Einwilligungen für PHI-Offenlegungen.
12. Compliance mit der HIPAA Security Rule überprüfen, einschließlich regelmäßiger Risikobewertungen und Behebung erkannter Risiken.
13. Überprüfen, ob alle PHI-Offenlegungen ordnungsgemäß autorisiert und dokumentiert sind, einschließlich Offenlegungen für Behandlung, Abrechnung und Gesundheitsdienstleistungen.
14. Compliance mit der HIPAA Breach Notification Rule überprüfen, einschließlich rechtzeitiger Meldung von Verstößen gegen ungesicherte PHI.
15. Compliance mit der HIPAA Omnibus Rule bewerten, einschließlich der neuen Anforderungen für Business Associates und Unterauftragnehmer.
16. Sicherstellen, dass alle PHI gemäß den HIPAA-Vorgaben ordnungsgemäß entsorgt werden.
17. Compliance mit bundesstaatlichen und lokalen Gesetzen überprüfen, die die HIPAA-Compliance beeinflussen können.
18. Regelmäßige Audits durchführen und Compliance-Lücken beheben.
19. Alle Audit-Ergebnisse und Korrekturmaßnahmen dokumentieren.
20. Ein HIPAA-Compliance-Programm mit laufender Schulung, Überwachung und Auditierung entwickeln und implementieren.
21. Eine/n HIPAA-Compliance-Beauftragte/n benennen, der/die die Compliance-Aktivitäten im gesamten Unternehmen steuert.
22. Mobile Geräte verfolgen und schützen, damit sie nicht in unbefugte Hände geraten und alle darauf gespeicherten Daten verschlüsselt sind. Remote Wipes implementieren, um gestohlene PHI zu löschen, oder idealerweise keine PHI auf mobilen Geräten speichern.

HIPAA-Compliance vs. DSGVO-Compliance: Was hat Vorrang?

Die Datenschutzgrundverordnung der EU (DSGVO) und der Health Insurance Portability and Accountability Act (HIPAA) sind zwei separate Regelwerke zum Schutz personenbezogener Daten. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig vom Standort, während HIPAA für Gesundheitsdienstleister, Versicherer und deren Business Associates in den USA gilt. Da Gesundheitsorganisationen und Business Associates jedoch zunehmend global agieren, ist es wichtig, die Auswirkungen der DSGVO auf die HIPAA-Compliance zu verstehen.

Die DSGVO stellt strengere Anforderungen an den Datenschutz als HIPAA, darunter:

Explizite Einwilligung nach DSGVO

Die DSGVO verlangt eine ausdrückliche Einwilligung vor der Verarbeitung personenbezogener Daten, während HIPAA nur eine allgemeine Autorisierung erfordert.

Betroffenenrechte nach DSGVO

Die DSGVO gewährt Einzelpersonen umfassendere Kontrolle über ihre Daten, einschließlich des Rechts auf Zugang, Berichtigung und Löschung. HIPAA bietet nur eingeschränkte Rechte auf Zugang und Berichtigung.

Datenschutzbeauftragte (DPO) nach DSGVO

Die DSGVO verpflichtet bestimmte Organisationen zur Benennung eines DPO für den Datenschutz, während HIPAA diese Rolle nicht vorschreibt.

Datenschutzverletzungen: Meldepflichten nach DSGVO

Die DSGVO verlangt die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden, während HIPAA eine Meldung innerhalb von 60 Tagen vorschreibt.

DSGVO-Strafen

Die DSGVO sieht deutlich höhere Strafen bei Nichteinhaltung vor – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Im Vergleich dazu reichen HIPAA-Strafen von 100 bis 50.000 US-Dollar pro Verstoß, maximal 1,5 Millionen US-Dollar pro Jahr.

Daher müssen Gesundheitsorganisationen und Business Associates, die personenbezogene Daten von EU-Bürgern verarbeiten, sowohl die DSGVO als auch HIPAA einhalten. Sie sollten ihre Datenschutzrichtlinien und -verfahren überprüfen, notwendige Anpassungen zur Erfüllung der DSGVO-Anforderungen vornehmen und das Personal entsprechend schulen. Die Nichteinhaltung einer der beiden Vorschriften kann zu erheblichen finanziellen Strafen und Reputationsschäden führen.

Kiteworks unterstützt Organisationen bei der HIPAA-Compliance mit einem Private Data Network

Das Private Data Network von Kiteworks unterstützt betroffene Organisationen und deren Business Associates dabei, HIPAA-Compliance zu erreichen und aufrechtzuerhalten, indem es PHI und andere sensible Inhalte schützt, die sie mit vertrauenswürdigen Drittparteien austauschen.

Kiteworks konsolidiert Drittparteien-Kommunikation wie E-Mail, Filesharing, Managed File Transfer, SFTP und Web-Formulare, sodass Organisationen die Kontrolle, den Schutz und die Nachverfolgung von PHI, die abgerufen, gesendet, gespeichert und empfangen wird, gewährleisten können. Zu den Sicherheits- und Compliance-Funktionen gehören:

• Eine eigenständige, vorkonfigurierte gehärtete virtuelle Appliance mit integriertem Virenschutz und Intrusion Detection System (IDS)
• AES-Verschlüsselung von Inhalten im ruhenden Zustand und TLS 1.2-Verschlüsselung für Inhalte während der Übertragung sowie zusätzliche Sicherheitsmaßnahmen wie Schlüsselrotation, Session-Timeouts, Integritätsprüfungen und Virenschutz
• Ein-Klick-HIPAA- und DSGVO-Compliance-Berichte, die nachweisen, dass administrative, physische und technische Schutzmaßnahmen gemäß HIPAA vorhanden sind
• Granulare Zugriffskontrollen, rollenbasierte Berechtigungen und Ablaufdaten für Dateien/Ordner, die den Zugriff auf PHI auf autorisiertes Personal und nur so lange wie nötig beschränken
• Sichere Bereitstellungsoptionen einschließlich On-Premises, Private, Hybrid und FedRAMP Virtual Private Cloud
• Bedrohungserkennung, -abwehr und Forensik über eine CISO Dashboard-Analyse und umfassende Audit-Logs, die in Ihr SIEM exportiert werden können

Erfahren Sie, wie Kiteworks Ihre Organisation bei der HIPAA-Compliance unterstützt – vereinbaren Sie noch heute eine individuelle Demo.

Weitere Ressourcen

• Case Study NYC Health + Hospitals: Kliniker und Mitarbeitende teilen PHI sicher und effizient
• Blog Post Top HIPAA-konforme Formulare
• Blog Post HIPAA-Verschlüsselung: Anforderungen, Best Practices & Software
• Blog Post HIPAA-konforme E-Mails versenden
• Blog Post HIPAA-Verstoß [Was es ist & wie Sie damit umgehen]