Ihre vollständige Checkliste zur Erreichung der HIPAA-Compliance

HIPAA-Strafen können hart sein, daher ist es wichtig, dass Sie diese vermeiden, indem Sie die HIPAA-Compliance-Anforderungen einhalten. Hier ist eine vollständige Schritt-für-Schritt-Checkliste zur HIPAA-Compliance.

HIPAA-Compliance-Anforderungen umfassen Folgendes:

• Datenschutz: die Rechte der Patienten auf geschützte Gesundheitsinformationen (PHI)
• Sicherheit: physische, technische und administrative Sicherheitsmaßnahmen
• Durchsetzung: Untersuchungen bei einem Verstoß
• Mitteilung bei Datenpannen: erforderliche Schritte im Falle eines Verstoßes
• Omnibus: Compliance von Geschäftspartnern

HIPAA-Compliance: Eine kurze Übersicht

HIPAA ist ein Rahmenwerk, das 1996 entwickelt wurde, um die rechtlichen Verpflichtungen einer Organisation bezüglich spezifischer Vorschriften im Health Insurance Portability and Accountability Act darzulegen. Diese Vorschriften setzen Standards für kritische Aspekte des Managements von Gesundheitsdaten, einschließlich des Rechts der Patienten auf Datenschutz, der Notwendigkeit angemessener Sicherheitskontrollen zum Schutz vertraulicher Daten und der Anforderungen, die an Gesundheitsorganisationen gestellt werden, wenn diese Daten durch einen bösartigen Dritten verletzt wurden.

Wichtig in diesem Rahmenwerk ist der Gedanke des Datenschutzes. Die physische Sicherheit der Daten, die Verschlüsselungsstandards, die zum Schutz dieser Daten verwendet werden, und die Verfahren, die zum Dokumentieren, Übermitteln und Speichern von Daten verwendet werden, sind alles entscheidende Teile von HIPAA und seinen zugrunde liegenden Anforderungen.

Vom Gesundheitsministerium und dem Amt für Bürgerrechte verwaltet, existieren Vorschriften, um die Vertraulichkeit von Patienteninformationen in einer Welt der elektronischen Aktenführung, digitalen Datenübertragung und (in jüngerer Zeit) Cloud-Diensten zu gewährleisten.

HIPAA-Konformität: Welche Organisationen müssen sich daran halten?

Organisationen müssen die HIPAA-Anforderungen erfüllen, um sicherzustellen, dass sensible Gesundheitsdaten von Patienten geschützt und nicht an unbefugte Personen oder Einheiten weitergegeben werden. HIPAA bietet auch Schutzmaßnahmen, die helfen sicherzustellen, dass die Daten nur für den vorgesehenen Zweck verwendet und nicht für andere Zwecke genutzt oder offengelegt werden.

Unternehmen, die HIPAA-Konformität nachweisen müssen, umfassen:

• Krankenversicherer
• Abrechnungsstellen im Gesundheitswesen
• Leistungserbringer im Gesundheitswesen (Krankenhäuser, Ärzte, Zahnärzte usw.)
• Geschäftspartner von betroffenen Einrichtungen (z. B. Abrechnungsfirmen und Dokumentenlagerungsunternehmen)
• Apotheken
• Pflegeeinrichtungen
• Forschungsinstitute
• Öffentliche Gesundheitsbehörden
• Arbeitgeber
• Schulen und Universitäten

Die Notwendigkeit der HIPAA-Konformität

HIPAA-Konformität ist notwendig, um die Sicherheit vertraulicher Gesundheitsinformationen zu gewährleisten. Es handelt sich um ein Bundesgesetz, das Organisationen, wie Gesundheitsdienstleister, dazu verpflichtet, die Privatsphäre und Sicherheit der Daten ihrer Patienten zu wahren. Die Einhaltung dieser Standards ist notwendig zum Schutz sensibler Daten, wie Patientenakten, Gesundheitsversicherungsinformationen und anderer personenbezogener Daten (PII) und geschützter Gesundheitsinformationen (PHI).

Wenn Unternehmen nicht DSGVO-konform sind, können sie ernsthafte Strafen erwarten. Das US-amerikanische Gesundheitsministerium, Office for Civil Rights, kann Sanktionen verhängen, die Bußgelder und Strafen, Korrekturmaßnahmen und Geldstrafen umfassen. Darüber hinaus können Unternehmen strafrechtlich belangt werden. Beispiele für Bußgelder bei Verstößen gegen die HIPAA-Konformität sind:

• Bis zu 1,5 Millionen US-Dollar für einen einzelnen Verstoß und bis zu 15 Millionen US-Dollar für mehrere Verstöße in einem Kalenderjahr
• Bis zu 50.000 US-Dollar pro Verstoß für die wissentliche Fehlbenutzung von Patienteninformationen
• Bis zu 100 US-Dollar pro Verstoß für das Versäumnis, einem Patienten eine Zugriffsanfrage zu gewähren
• Bis zu 250.000 US-Dollar oder bis zu einem Jahr Gefängnis oder beides für das Erlangen oder Offenlegen identifizierbarer Gesundheitsinformationen ohne Autorisierung

Warum sind diese Strafen so hoch? Wenn die Aufzeichnungen eines Patienten gestohlen werden, kann die Privatsphäre des Patienten verletzt werden. Gestohlene Aufzeichnungen können zur Identitätsdiebstahl oder Finanzbetrug verwendet werden, was zu finanziellen Verlusten oder der unbefugten Nutzung von Leistungen führen kann. Abgefangene sensible medizinische Informationen können auch verwendet werden, um den Patienten zu erpressen oder ihn zum Ziel von Belästigungen zu machen.

Wer muss die HIPAA-Konformität erreichen?

Die HIPAA-Konformität gilt für jede Organisation oder Person, die elektronisch geschützte Gesundheitsinformationen (ePHI) erstellt, empfängt, aufbewahrt oder überträgt. Dazu gehören Gesundheitsdienstleister wie Ärzte und Krankenhäuser, Gesundheitspläne, Krankenversicherungsunternehmen und jede andere Organisation, die mit der Gesundheitsbranche zu tun hat. Es gilt auch für Geschäftspartner, wie Drittanbieter von Abrechnungsdiensten, Transkriptionisten und IT-Dienstleister. Letztendlich muss jede Entität, die ePHI speichert, überträgt oder verarbeitet, die HIPAA-Vorschriften einhalten. Diese umfangreiche Gesundheitsversorgung Lieferkette kann ein erhebliches Risiko darstellen.

Organisationen, die keine elektronischen geschützten Gesundheitsinformationen (ePHI) erstellen, empfangen, verwalten oder übertragen, müssen nicht HIPAA-konform werden. Beispiele hierfür sind Einzelhändler und Restaurants. Allerdings können auch Organisationen, die nicht direkt im Gesundheitswesen tätig sind, den HIPAA-Anforderungen unterliegen – beispielsweise, wenn sie Dienstleistungen wie Cloud-Speicher für gesundheitsbezogene Informationen bereitstellen.

Einige wichtige HIPAA-Regulierungs- und Compliance-Begriffe

Um zu verstehen, was Compliance bedeutet und wen sie betrifft, ist es wichtig, einige Schlüsselbegriffe zu kennen:

Covered Entity

Dazu gehören Krankenhäuser, Ärzte, Kliniken, Versicherungsagenturen oder jeder, der regelmäßig mit Patienten und deren vertraulichen Daten arbeitet.

Business Associate

Dienstleister, die eng mit Covered Entities zusammenarbeiten, ohne direkt mit Patienten zu arbeiten. Business Associates verarbeiten oft vertrauliche Daten aufgrund ihrer Technologieprodukte, Beratung, Finanzverwaltung, Datenanalyse oder anderer Dienstleistungen.

Elektronische persönliche Gesundheitsinformationen (ePHI)

ePHI ist der rechtliche Name für private Patientendaten, die elektronisch gespeichert und übermittelt werden. Alle Datenschutz-, Sicherheits- und Berichtsregeln beziehen sich auf den Schutz und die Verwaltung von ePHI.

Was sind die 4 Haupt-HIPAA-Regeln und wie beeinflussen sie die Compliance?

Vier Hauptregeln definieren die Struktur und Bedeutung von allem, was mit Compliance-Anforderungen zu tun hat:

1. Die Datenschutzregel
2. Die Sicherheitsregel
3. Die Benachrichtigungsregel bei Datenschutzverletzungen
4. Die Omnibus-Regel

Jede Regel bietet einen Rahmen für einen Aspekt der Compliance und informiert über kritische Aspekte der anderen Regeln.

Die HIPAA-Datenschutzregel

Die HIPAA-Datenschutzregel legt den nationalen Standard für die Rechte der Patienten auf Privatsphäre und vertrauliche Informationen fest. Darüber hinaus etabliert sie den Rahmen, der definiert, was ePHI ist, wie es geschützt werden muss, wie es genutzt werden darf und nicht darf und wie es übermittelt und gespeichert werden kann.

Ein weiterer Teil der Datenschutzregel sind die Dokumente und Verzichtserklärungen, die von den Einrichtungen, die ePHI handhaben, gefordert werden.

In dieser Regel wird ePHI definiert, dass jegliche identifizierbare Patientendaten dem Datenschutz unterliegen, der von der betroffenen Einrichtung oder einem Geschäftspartner abgedeckt wird. Dies wird als “geschützte Gesundheitsinformationen” bezeichnet und umfasst:

• Jegliche Dokumentation über physische oder mentale Zustände der Vergangenheit, Gegenwart oder Zukunft
• Jegliche Aufzeichnungen über die Pflege des Patienten
• Und Aufzeichnungen, die auf vergangene, gegenwärtige oder zukünftige Zahlungen für Gesundheitsversorgung hinweisen

Die Regel besagt, dass die einzigen Szenarien, in denen betroffene Einrichtungen geschützte Gesundheitsinformationen offenlegen dürfen, sehr spezifische Pflege-, Forschungs- oder rechtliche Situationen betreffen. Diese Situationen sind selbst unglaublich eng gefasst und unterliegen der Interpretation in einem Gerichtsverfahren.

Die beste Faustregel ist, dass es in Bezug auf die Privatsphäre von ePHI die Verpflichtung der betroffenen Einrichtung und ihrer Geschäftspartner ist, diese zu schützen.

Checkliste zur HIPAA-Datenschutzregel

Diese HIPAA-Datenschutzregel-Checkliste umfasst 10 wesentliche Schritte, die Gesundheitsorganisationen und ihre Geschäftspartner ergreifen müssen, um die Einhaltung der HIPAA-Datenschutzregel zu gewährleisten. Von der Ernennung eines Datenschutzbeauftragten bis zur Festlegung von Protokollen für die Offenlegung von PHI (Protected Health Information) an Dritte deckt diese Checkliste alle notwendigen Aspekte des Schutzes sensibler Gesundheitsinformationen der Patienten ab. Die Beachtung dieser Richtlinien hilft Organisationen nicht nur, HIPAA-Verstöße (und die daraus resultierenden Bußgelder, Strafen und Rechtsstreitigkeiten) zu vermeiden, sondern auch das Vertrauen und das Vertrauen der Patienten in das Gesundheitssystem zu stärken. Sie beinhalten:

1. Einen Datenschutzbeauftragten ernennen
2. Schriftliche Richtlinien und Verfahren entwickeln und umsetzen
3. Schulungen für Mitarbeiter durchführen
4. Die Zustimmung des Patienten für bestimmte Offenlegungen einholen
5. Angemessene Schutzmaßnahmen für geschützte Gesundheitsinformationen (PHI) aufrechterhalten
6. Ein System zur Überprüfung und Verifizierung von Anfragen nach PHI implementieren
7. Auf Anfragen von Patienten nach Zugang zu ihren PHI reagieren
8. Die Patienten im Falle eines Datenschutzverstoßes von ungesicherten PHI benachrichtigen
9. Individuellen Personen und Gruppen eindeutige Identifikatoren zuweisen
10. Protokolle für die Offenlegung von PHI an Geschäftspartner und andere Dritte etablieren

Die HIPAA-Sicherheitsregel

Mit der Definition von Datenschutz und ePHI als Grundlage ist der nächste Schritt der Schutz dieser Daten. Die HIPAA-Sicherheitsregel hat die nationalen Standards für die Mechanismen festgelegt, die zum Schutz von ePHI-Daten erforderlich sind. Diese Mechanismen erstrecken sich über den gesamten Betrieb der abgedeckten Einheit, einschließlich Technologie, Verwaltung, physische Schutzmaßnahmen für Computer und Geräte und alles, was die Sicherheit von ePHI beeinträchtigen könnte.

Die in dieser Regel beschriebenen Kontrollen sind in drei Gruppen von Schutzmaßnahmen organisiert:

1. Administrative Aufgaben für die HIPAA-Konformität

Dazu gehören Richtlinien und Verfahren, die sich auf ePHI auswirken, sowie die Technologien, das Systemdesign, das Risikomanagement und die Wartung in Bezug auf alle anderen Sicherheitsmaßnahmen. Es umfasst auch Aspekte der Gesundheitsverwaltung wie Personalwesen und Mitarbeiterschulungen.

2. Physische Maßnahmen für die HIPAA-Konformität

Physische Schutzmaßnahmen sichern den Zugang zu physischen Geräten – einschließlich Computern, Routern, Switches und Datenspeicherung. Von der HIPAA betroffene Einrichtungen sind verpflichtet, sichere Räumlichkeiten zu unterhalten, in denen nur autorisierte Personen Zugang zu Daten haben.

3. Technische Maßnahmen für die HIPAA-Konformität

Zur Cybersicherheit gehören Computer, mobile Geräte, Verschlüsselung, Netzwerksicherheit, Gerätesicherheit und alles, was mit der eigentlichen Technologie der Speicherung und Kommunikation von ePHI zu tun hat.

Checkliste zur Einhaltung der HIPAA-Sicherheitsregel

Die Checkliste zur Einhaltung der HIPAA-Sicherheitsregel umfasst 10 Schlüsselbereiche, die Organisationen adressieren müssen, um elektronische geschützte Gesundheitsinformationen (ePHI) zu sichern. Von der Durchführung von Risikobewertungen bis zur Etablierung von Notfallplänen umfasst diese umfassende Checkliste Maßnahmen, die Organisationen dabei unterstützen sollen, die HIPAA-Sicherheitsstandards einzuhalten und sensible Patientendaten vor potenziellen Bedrohungen und Schwachstellen zu schützen.

1. Durchführung einer Risikoanalyse zur Identifizierung potenzieller Bedrohungen und Schwachstellen
2. Implementierung von Richtlinien und Verfahren zur Aufrechterhaltung und Überwachung der Sicherheit von elektronisch geschützten Gesundheitsinformationen (ePHI)
3. Beschränkung des Zugriffs auf ePHI ausschließlich auf autorisierte Personen, die für ihre Aufgaben Zugriff benötigen
4. Sicherstellung, dass alle ePHI verschlüsselt und sicher gespeichert sind
5. Implementierung von Verfahren zur Reaktion auf Sicherheitsvorfälle und Datenpannen
6. Schulung aller Mitarbeiter zu den Sicherheitsrichtlinien und -verfahren der HIPAA
7. Regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen, um deren Aktualität und Wirksamkeit zu gewährleisten
8. Erstellung eines Notfallplans für Katastrophen oder andere Notfälle, die ePHI beeinträchtigen könnten
9. Sicherstellung, dass alle Drittanbieter und Auftragnehmer die Sicherheitsanforderungen der HIPAA erfüllen
10. Durchführung regelmäßiger Audits und Bewertungen zur Sicherstellung der Einhaltung der HIPAA-Sicherheitsstandards

Die HIPAA-Benachrichtigungspflicht bei Datenschutzverletzungen

Die Benachrichtigungspflicht bei Datenschutzverletzungen legt fest, was im Falle einer Sicherheitsverletzung geschieht. Es ist nahezu unmöglich, Daten mit 100%iger Wirksamkeit zu schützen, und Organisationen müssen Pläne haben, um die Öffentlichkeit und Opfer einer HIPAA-Datenpanne darüber zu informieren, was geschehen ist und welche Schritte als nächstes zu tun sind.

Die Benachrichtigungsregel definiert eine Reihe von Schritten, die jede betroffene Einrichtung im Falle einer Datenschutzverletzung unternehmen muss, um konform zu bleiben, einschließlich:

1. Benachrichtigung der von einer Datenschutzverletzung betroffenen Personen. Die verantwortlichen Stellen müssen den Opfern eine formelle, schriftliche Mitteilung über die Verletzung zukommen lassen, entweder per Post erster Klasse oder per E-Mail (falls zutreffend).
2. Wenn die verantwortliche Stelle keine Kontaktinformationen für mehr als 10 Personen bei einer Datenschutzverletzung hat, muss sie entweder durch eine 90 Tage lang auf der Website veröffentlichte Mitteilung oder durch eine Bekanntmachung in großen Print- und Rundfunknachrichtenquellen eine alternative Benachrichtigung vornehmen.
3. Die Stelle muss die Mitteilung spätestens 60 Tage nach Entdeckung der Datenschutzverletzung bereitstellen.
4. Wenn die Datenschutzverletzung mehr als 500 Personen in einem Bundesstaat oder einer anderen Jurisdiktion betrifft, muss die Stelle durch lokale Medien eine prominente öffentliche Mitteilung über die Verletzung geben.
5. Zusätzlich muss die Stelle, wenn die Datenschutzverletzung mehr als 500 Personen betrifft, innerhalb von 60 Tagen eine Mitteilung an den Gesundheitsminister senden. Betrifft es weniger Personen, kann die Stelle den Minister bis zum Ende des Jahres informieren.

Diese Benachrichtigungsregeln gelten für alle Datenschutzverletzungen, die der verantwortlichen Stelle durch einen ihrer Geschäftspartner bekannt werden.

Die HIPAA Omnibus-Regel

Die jüngere Omnibus-Regel erweitert den Geltungsbereich der Vorschriften auf Organisationen außerhalb der verantwortlichen Stellen. Kurz gesagt, besagt die Omnibus-Regel, dass die Compliance-Verpflichtungen auch die Geschäftspartner und Auftragnehmer umfassen. Dies bedeutet, dass die verantwortlichen Stellen für mögliche Verstöße ihrer Geschäftspartner und Auftragnehmer verantwortlich sind und ihre Lückenanalyse, Risikobewertung und Compliance-Verfahren entsprechend aktualisieren müssen.

Was ist die HIPAA Enforcement Rule?

Die HIPAA-Durchsetzungsverordnung ist ein Regelwerk, das Richtlinien für Untersuchungen und Strafen bei Verstößen gegen die Datenschutz- und Sicherheitsvorschriften des Health Insurance Portability and Accountability Act (HIPAA) bietet. Die Verordnung soll sicherstellen, dass betroffene Einrichtungen und Geschäftspartner die HIPAA-Vorschriften einhalten und die Privatsphäre und Sicherheit der geschützten Gesundheitsinformationen (PHI) von Patienten schützen. Die Durchsetzungsverordnung legt auch Verfahren für die Reaktion auf Beschwerden und die Durchführung von Untersuchungen mutmaßlicher Verstöße fest, einschließlich der Verhängung von zivilrechtlichen Geldstrafen und Korrekturmaßnahmenplänen.

Verständnis der neuesten HIPAA-Aktualisierungen für HIPAA-Konformität

Die jüngsten Aktualisierungen von HIPAA wurden 2013 und 2016 umgesetzt.

2013 wurde die HIPAA Omnibus-Regel eingeführt, die bedeutende Änderungen an den Vorschriften vornahm, wie mit geschützten Gesundheitsinformationen (PHI) umgegangen und diese geschützt werden. Einige der wichtigsten Änderungen umfassten:

• Erweiterte Schutzmaßnahmen für Patientenrechte, einschließlich des Rechts auf Zugang und Erhalt von Kopien ihrer PHI und des Rechts, Einschränkungen bei der Nutzung oder Offenlegung ihrer PHI zu beantragen
• Verstärkte Durchsetzung der HIPAA-Vorschriften, einschließlich erhöhter Bußgelder bei Nichteinhaltung und einer Anforderung an Geschäftspartner (Drittanbieterdienste), die HIPAA-Vorschriften einzuhalten
• Aktualisierte Definitionen von Schlüsselbegriffen wie “Geschäftspartner” und “geschützte Gesundheitsinformationen”

Im Jahr 2016 wurde die HIPAA-Datenschutzregel geändert, um bestimmten abgedeckten Einrichtungen, wie Gesundheitsdienstleistern oder Versicherungen, die Offenlegung der Namen von Personen, die als psychisch erkrankt identifiziert wurden, an das National Instant Criminal Background Check System (NICS) zu erlauben. Diese Änderung wurde als Reaktion auf die Schießerei an der Sandy Hook Grundschule im Jahr 2012 vorgenommen, die Bedenken hinsichtlich der Fähigkeit von Personen mit psychischen Problemen, Feuerwaffen zu erlangen, hervorrief. Die Offenlegung dieser Informationen unterliegt jedoch bestimmten Einschränkungen und Schutzmaßnahmen, einschließlich der Anforderung an die abgedeckte Einrichtung, eine spezifische schriftliche Zustimmung der betroffenen Person vor der Offenlegung ihrer Informationen zu erhalten, und bestimmte Offenlegungen an die Person über die potenziellen Konsequenzen einer solchen Offenlegung zu machen.

HIPAA-IT-Compliance

Die HIPAA-Compliance und die HIPAA-IT-Compliance unterscheiden sich geringfügig.

Die HIPAA-Compliance ist ein Satz von Regeln und Vorschriften des U.S. Department of Health and Human Services (HHS), um die Privatsphäre, Sicherheit und Integrität sensibler Gesundheitsinformationen der Patienten zu schützen. Dies umfasst Anforderungen an administrative, physische und technische Schutzmaßnahmen, wie die Implementierung von Richtlinien, Verfahren und Sicherheitsmaßnahmen.

Die HIPAA-IT-Compliance bezieht sich hingegen auf die technischen Aspekte der HIPAA-Sicherheitsregel, insbesondere hinsichtlich der Implementierung, Wartung und Überwachung technischer Schutzmaßnahmen für elektronisch geschützte Gesundheitsinformationen (ePHI). Dies beinhaltet die Implementierung starker Authentifizierungs- und Zugriffskontrollmaßnahmen, periodische Sicherheitsrisikobewertungen sowie Verschlüsselung und Sicherung gespeicherter Daten.

Gibt es eine spezifische HIPAA-Compliance-Checkliste für die IT?

Einige IT-Organisationen müssen HIPAA-konform sein, da sie sensible und/oder vertrauliche Daten verarbeiten, die durch HIPAA geschützt sind. Daher müssen IT-Organisationen die notwendigen Schritte unternehmen, um sicherzustellen, dass ihre Systeme und Verfahren den HIPAA-Vorschriften entsprechen.

IT-Organisationen sollten diese Checklistenpunkte berücksichtigen, um die HIPAA-IT-Konformität nachzuweisen:

1. Einen dedizierten HIPAA-Datenschutzbeauftragten haben, der für die Entwicklung und Implementierung von Sicherheitsmaßnahmen verantwortlich ist.
2. Alle Daten, die unter die Zuständigkeit von HIPAA fallen, identifizieren und klassifizieren.
3. Alle Mitarbeiter über die HIPAA-Gesetze und -Vorschriften schulen.
4. Verwaltungs-, technische und physische Richtlinien und Prozesse im Zusammenhang mit HIPAA etablieren und dokumentieren.
5. Alle Computer und/oder Arbeitsstationen mit ausreichenden Sicherheitsmaßnahmen ausstatten, um gegen unbefugten Zugriff zu schützen.
6. Alle Dokumente, die geschützte Gesundheitsinformationen enthalten, sicher aufbewahren und den Zugang nur autorisiertem Personal gewähren.
7. Verschlüsselungssoftware verwenden, wo es angebracht ist, um Daten im Ruhezustand zu schützen.
8. Sicheres Web-Browsing praktizieren und E-Mail-Sicherheitssoftware verwenden.
9. Dokumente und Unterlagen mit Patientendaten ordnungsgemäß entsorgen; Vernichtung oder Verbrennung sind die bevorzugten, sichersten Methoden.
10. Verfahren für den Umgang mit Sicherheitsverletzungen und unbefugten Zugriffsversuchen etablieren und aufrechterhalten.
11. Regelmäßig Zugriffsprotokolle überprüfen und auf möglichen unbefugten Zugriff hin überwachen.
12. Umfassende Benutzerprotokollierung und -überwachungsverfahren implementieren.
13. Backup-Verfahren entwickeln und implementieren, die den HIPAA-Richtlinien entsprechen.
14. Einen Notfallplan und ein Katastrophenwiederherstellungssystem entwickeln und pflegen.

Ressourcen zur HIPAA-Konformität

Um mehr über HIPAA und die Anforderungen an die HIPAA-Konformität zu erfahren, besuchen Sie unbedingt diese Ressourcen:

1. Website HHS.gov
2. HIPAA Journal-Website
3. Büro für Bürgerrechte des HHS
4. Zentren für Medicare & Medicaid Services
5. Nationales Institut für Standards und Technologie
6. Sicherheitsmanagement-Richtlinien des HHS
7. HIPAA-Sicherheitsregel
8. HIPAA-Datenschutzregel
9. Spezialpublikationen des Nationalen Instituts für Standards und Technologie (NIST)
10. HITECH Sicherheits- und Verletzungsbenachrichtigungsgesetz

Erste Schritte zur HIPAA-Konformität

Wenn Sie neu in der HIPAA-Konformität sind, finden Sie hier einige Schritte, die Ihre Organisation unternehmen kann, um die HIPAA-Konformität zu beginnen:

1. Entwickeln Sie einen HIPAA-Sicherheits- und Datenschutzkonformitätsplan.
2. Entwickeln Sie Richtlinien und Verfahren für den Umgang mit und Schutz von geschützten Gesundheitsinformationen (PHI).
3. Implementieren Sie physische, administrative und technische Schutzmaßnahmen zum Schutz von PHI.
4. Schulen Sie das Personal in HIPAA-Best Practices und Protokollen.
5. Lassen Sie Mitarbeiter HIPAA-Bestätigungen unterschreiben und bestätigen Sie, dass sie ihre Verantwortlichkeiten und Verpflichtungen verstehen.
6. Stellen Sie sicher, dass Geschäftspartner, Lieferanten und Auftragnehmer Geschäftsvereinbarungen (BAA) unterzeichnet haben und mit den HIPAA-Vorschriften konform sind.
7. Implementieren Sie Verfahren für regelmäßige Überprüfungen, Audits und Aktualisierungen der HIPAA-Konformität.
8. Dokumentieren Sie alle Sicherheits- und Datenschutzmaßnahmen für PHI.
9. Verfügen Sie über einen Vorfallreaktionsplan im Falle eines Datenschutzvorfalls oder Datenverlusts.
10. Überwachen Sie regelmäßig die Sicherheit von PHI und stellen Sie eine vollständige Konformität mit den HIPAA-Vorschriften sicher.

Was ist HITECH und wie steht es in Bezug zur HIPAA-Konformität?

Das Health Information Technology for Economic and Clinical Health (HITECH) Gesetz wurde 2009 verabschiedet und bestimmt die Compliance-Anforderungen für alle darauffolgenden Jahre. Kritisch ist, dass dieses Gesetz die rechtlichen Anforderungen für Gesundheitsorganisationen in verschiedenen Branchen, einschließlich des direkten Gesundheitswesens und der Sozialversicherung, überarbeitet hat.

Vor HITECH nutzten nur 10 % der Krankenhäuser elektronische Gesundheitsakten (EHR). HITECH war ein entscheidender Faktor, der Krankenhäuser zum Umstieg auf elektronische Aktenführung bewegt hat. Teilweise förderte HITECH die Einführung von digitaler ePHI-Verwaltungstechnologie und die anschließende Compliance mit den HIPAA-Vorschriften. Dies beinhaltet Anreize für den Wechsel zu digitaler Technologie.

Bis 2017, nicht zuletzt dank HITECH, stieg die Rate der EHR-Einführung bis auf 86 %.

HITECH verschob auch einen Teil der Verantwortung für HIPAA-Compliance. Um die Einführung von Technologie zu fördern, überarbeitete das HITECH Gesetz die Gesundheitsvorschriften so, dass Geschäftspartner direkt für Verstöße verantwortlich wurden und dass ihre Verantwortung in einem notwendigen Geschäftspartnervertrag (BAA) mit einer abgedeckten Einheit festgelegt wurde.

HITECH erhöhte auch die Strafen für Verstöße und ermutigte die Strafverfolgungsbehörden, Verstöße energischer zu verfolgen, damit Organisationen compliant bleiben.

Was sind HIPAA-Verstöße?

Compliance bedeutet, innerhalb der Vorschriften zu bleiben, die in den Datenschutz-, Sicherheits- und Verletzungsbenachrichtigungsregeln festgelegt sind. Erfüllt eine Organisation diese Standards nicht, um compliant zu sein, dann gilt sie als in Verletzung von HIPAA.

Zu den Verstößen gehören:

• Die rechtswidrige Offenlegung von ePHI gegenüber unbefugten Parteien, ob vorsätzlich oder versehentlich
• Versäumnis, angemessene Sicherheitsprotokolle gemäß der HIPAA-Sicherheitsregel umzusetzen
• Fehlende angemessene administrative oder Schulungsprotokolle, die den Anforderungen entsprechen
• Versäumnis, betroffene Parteien und öffentliche Stellen nach relevanten Datenpannen ordnungsgemäß zu benachrichtigen
• Fehlende Bereitschaft, bestehende Compliance-Lücken zu aktualisieren, zu verbessern oder anzugehen

In diesem Zusammenhang unterteilt HIPAA Verstöße in zwei Gruppen: zivilrechtliche und strafrechtliche.

• Zivilrechtliche Verstöße sind Vorfälle von Nichteinhaltung, bei denen die Nichteinhaltung zufällig oder ohne böswillige Absicht erfolgte. Dazu gehören Ereignisse wie Nachlässigkeit oder mangelndes Bewusstsein. Die Strafen für zivilrechtliche Verstöße sind tendenziell geringer:
  • Für Personen, die sich der Verstöße nicht bewusst sind, beträgt das Bußgeld 100 Dollar pro Vorfall.
  • Für diejenigen mit vernünftigem Grund ohne Nachlässigkeit liegt das Bußgeld bei mindestens 1.000 Dollar.
  • Vorsätzliche Vernachlässigung zieht ein Mindestbußgeld von 10.000 Dollar pro Vorfall nach sich.
  • Vorsätzliche Vernachlässigung, gefolgt von keiner sofortigen Behebung des Verstoßes, resultiert in einem Mindestbußgeld von 50.000 Dollar pro Verstoß.
• Strafrechtliche Verstöße sind solche, die mit böswilliger Absicht begangen wurden, z. B. Diebstahl, Profit oder Betrug. Die Strafen hierfür umfassen:
  • Das wissentlich Erlangen oder Offenlegen von ePHI kann bis zu 50.000 Dollar und 1 Jahr Gefängnis nach sich ziehen.
  • Betrug im Rahmen des Verstoßes kann bis zu 100.000 Dollar und 5 Jahre Gefängnis zur Folge haben.
  • Verstöße in der Absicht, aus dem Verstoß Profit zu schlagen, können bis zu 250.000 Dollar und bis zu 10 Jahre Gefängnis bedeuten.

Zahlreiche und wiederholte Verstöße können Organisationen Millionen von Dollar pro Jahr kosten.

Es gibt jedoch mehrere gängige Beispiele für Verstöße:

• Betrug. Die direkteste und offensichtlichste Verletzung ist, wenn Personen ePHI stehlen, um Profit zu erzielen. Hackerangriffe oder Insideroperationen sind selten, werden aber zunehmend häufiger, da immer mehr Krankenhäuser und Gesundheitsnetzwerke auf Cloud-Technologie umsteigen und sich auf unerprobte Dienstleister verlassen.
• Verlust oder Diebstahl von Geräten. In der Welt der Desktop-Arbeitsplätze war der Technologiediebstahl weniger verbreitet. Da jedoch immer mehr Kliniken und Krankenhäuser auf mobile Geräte wie Laptops, Tablets und Smartphones umsteigen, ist es wahrscheinlicher, dass diese Geräte in die falschen Hände geraten können.
• Fehlender Schutz. Die Sicherheitsvorschrift definiert die Arten von HIPAA-Verschlüsselung, Firewalls und anderen Sicherheitsmaßnahmen, die vorhanden sein sollten. Viele Organisationen verstehen diese möglicherweise nicht oder sie arbeiten mit einem Drittanbieter zusammen, von dem sie glauben, dass er konform ist, es aber nicht ist.
• Unbefugter Zugriff innerhalb von Organisationen. Ob es nun darum geht, Daten von einer autorisierten an eine nicht autorisierte Person weiterzugeben oder unverschlüsselte Geräte oder E-Mails zu verwenden, es ist extrem einfach für ungeschulte Mitarbeiter, ePHI unsachgemäß zu zugreifen oder zu übermitteln. Tatsächlich ist die versehentliche Offenlegung von PHI die häufigste Form der Verletzung, weshalb es eine ganze Kategorie von niedrigeren Strafen gibt, um dies abzudecken.

Erreichen und Aufrechterhalten der HIPAA-Konformität mit einer Selbstprüfungs-Checkliste

Durch die Verwendung einer Selbstprüfungs-Checkliste für HIPAA können Gesundheitsorganisationen potenzielle Bereiche der Nichteinhaltung identifizieren und korrigierende Maßnahmen ergreifen, bevor eine Prüfung durch das Department of Health and Human Services (HHS) stattfindet. Eine Selbstprüfung kann Gesundheitsorganisationen auch dabei helfen, kostspielige Strafen und Bußgelder für HIPAA-Verstöße zu vermeiden.

Zusätzlich kann die Durchführung einer Selbstprüfung Gesundheitsorganisationen dabei helfen, Best Practices für die HIPAA-Konformität zu etablieren und ihre allgemeine Datensicherheitslage zu verbessern. Es kann auch das Vertrauen der Patienten stärken, indem es ein Engagement zum Schutz ihrer sensiblen Informationen demonstriert.

Die Verwendung einer HIPAA-Selbstprüfungs-Checkliste ist ein wichtiger Schritt, um die Einhaltung der HIPAA-Vorschriften zu gewährleisten und Patientendaten zu schützen.

Hier ist eine Checkliste zur Selbstprüfung auf HIPAA-Konformität:

1. Den Umfang der Prüfung festlegen, einschließlich der zu bewertenden Einheiten und Prozesse.
2. Richtlinien und Verfahren überprüfen, um die Einhaltung der HIPAA-Vorschriften sicherzustellen.
3. Überprüfen, ob alle Mitarbeiter HIPAA-Schulungen erhalten haben und dass diese Schulungen aktuell sind.
4. Zugriffskontrollen überprüfen und verifizieren, dass nur autorisierte Personen Zugang zu PHI haben.
5. Physische Schutzmaßnahmen bewerten, einschließlich Zugangskontrollen zu Einrichtungen und Arbeitsplätzen.
6. Technische Schutzmaßnahmen überprüfen, einschließlich Zugangskontrollen zu Systemen, Verschlüsselung von PHI und Passwortrichtlinien.
7. Überprüfen, ob Vereinbarungen mit Geschäftspartnern bestehen, für alle Drittanbieter, die Zugang zu PHI haben.
8. Verfahren zur Reaktion auf Vorfälle bewerten und verifizieren, dass sie aktuell und wirksam sind.
9. Verfahren zur Benachrichtigung bei Datenschutzverletzungen überprüfen und verifizieren, dass sie aktuell und wirksam sind.
10. Überprüfen, ob alle erforderlichen HIPAA-Dokumentationen aktuell und leicht zugänglich sind.
11. Konformität mit der HIPAA-Datenschutzregel bewerten, einschließlich der Einholung und Dokumentation von Patienteneinwilligungen für die Offenlegung von PHI.
12. Übereinstimmung mit der HIPAA-Sicherheitsregel überprüfen, einschließlich der Durchführung regelmäßiger Risikobewertungen und der Behebung identifizierter Risiken.
13. Überprüfen Sie, ob alle Offenlegungen von geschützten Gesundheitsinformationen (PHI) ordnungsgemäß autorisiert und dokumentiert sind, einschließlich Offenlegungen für Behandlung, Zahlung und Gesundheitsbetrieb.
14. Überprüfen Sie die Einhaltung der HIPAA Breach Notification Rule, einschließlich der fristgerechten Meldung jeglicher Sicherheitsverletzungen ungesicherter PHI.
15. Bewerten Sie die Einhaltung der HIPAA Omnibus Rule, einschließlich der neuen Anforderungen für Geschäftspartner und Subunternehmer.
16. Stellen Sie sicher, dass alle PHI gemäß den HIPAA-Vorschriften ordnungsgemäß entsorgt werden.
17. Überprüfen Sie die Einhaltung von staatlichen und lokalen Gesetzen, die die HIPAA-Konformität beeinflussen können.
18. Führen Sie regelmäßige Audits durch und beheben Sie alle Bereiche der Nichteinhaltung.
19. Dokumentieren Sie alle Prüfungsergebnisse und Maßnahmen zur Behebung.
20. Entwickeln und implementieren Sie ein HIPAA-Konformitätsprogramm, das fortlaufende Schulungen, Überwachung und Audits umfasst.
21. Ernennen Sie einen HIPAA Compliance Officer, der Ihre Bemühungen zur Einhaltung der Vorschriften in Ihrer gesamten Organisation verwaltet.
22. Verfolgen und schützen Sie mobile Geräte, damit sie nicht in unbefugte Hände gelangen und alle darin enthaltenen Daten ordnungsgemäß verschlüsselt sind. Implementieren Sie Fernlöschungen, um PHI zu vernichten, die gestohlen wurden, oder vermeiden Sie es, PHI überhaupt auf mobilen Geräten zu speichern.

HIPAA-Konformität vs. DSGVO-Konformität: Wer hat Vorrang?

Die Datenschutz-Grundverordnung der EU (DSGVO) und der Health Insurance Portability and Accountability Act (HIPAA) sind zwei separate Regelwerke, die den Datenschutz persönlicher Daten zum Ziel haben. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder handhaben, unabhängig von ihrem Standort, während HIPAA auf Gesundheitsdienstleister, Versicherer und deren Geschäftspartner in den USA anwendbar ist. Da Gesundheitsentitäten und Geschäftspartner jedoch zunehmend global agieren, ist es wesentlich, die Auswirkungen der DSGVO auf die HIPAA-Konformität zu verstehen.

Die DSGVO stellt strengere Anforderungen an den Datenschutz als HIPAA, einschließlich:

Explizite Zustimmung in der DSGVO

Die DSGVO erfordert eine explizite Zustimmung, bevor personenbezogene Daten verarbeitet werden, während HIPAA nur eine allgemeine Autorisierung benötigt.

Rechte der betroffenen Personen in der DSGVO

Die DSGVO gewährt Einzelpersonen umfangreichere Kontrolle über ihre Daten, einschließlich des Rechts auf Zugang, Berichtigung und Löschung ihrer personenbezogenen Daten, während HIPAA begrenzte Rechte auf Zugang und Antrag auf Änderungen bietet.

Vorgeschriebener Datenschutzbeauftragter (DPO) in der DSGVO

Die DSGVO schreibt vor, dass bestimmte Organisationen einen DPO zur Überwachung des Datenschutzes ernennen müssen, während HIPAA diese Rolle nicht fordert.

Datenschutzverletzungsmitteilungen, die von der DSGVO gefordert werden

Die DSGVO verlangt, dass Organisationen Datenschutzverletzungen innerhalb von 72 Stunden melden, während HIPAA eine Meldung innerhalb von 60 Tagen vorschreibt.

Strafen der DSGVO

Die DSGVO verhängt deutlich höhere Strafen bei Nichteinhaltung, mit Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Im Gegensatz dazu reichen die HIPAA-Strafen von 100 bis 50.000 US-Dollar pro Verstoß, bis zu einem Höchstbetrag von 1,5 Millionen US-Dollar pro Jahr.

Daher müssen Gesundheitseinrichtungen und Geschäftspartner, die personenbezogene Daten von EU-Bürgern verarbeiten, sowohl die DSGVO als auch HIPAA einhalten. Sie sollten ihre Datenschutzrichtlinien und -verfahren überprüfen, notwendige Änderungen vornehmen, um den Anforderungen der DSGVO gerecht zu werden, und ihr Personal über die Bestimmungen der Verordnungen schulen. Ein Verstoß gegen eine der beiden Verordnungen kann zu erheblichen finanziellen Strafen und Schäden für den Ruf einer Organisation führen.

Kiteworks unterstützt Organisationen bei der Einhaltung von HIPAA mit einem Private Content Network

Mit dem Private Content Network von Kiteworks können betroffene Einrichtungen und ihre Geschäftspartner HIPAA-Konformität erreichen und aufrechterhalten, indem sie PHI und andere vertrauliche Inhalte schützen, die sie mit vertrauenswürdigen Dritten teilen.

Kiteworks konsolidiert Kommunikation mit Dritten wie E-Mails, Filesharing, Managed File Transfer, SFTP und sichere Webformulare, sodass Organisationen die Kontrolle behalten und den Zugriff, das Senden, Speichern und Empfangen von PHI überwachen, schützen und nachverfolgen können. Zu den Sicherheits- und Compliance-Funktionen gehören:

• Ein eigenständiges, vorkonfiguriertes gehärtetes virtuelles Gerät mit integriertem Virenschutz und Intrusion-Detection-System (IDS)
• AES-Verschlüsselung von Inhalten im Ruhezustand und TLS 1.2-Verschlüsselung für Inhalte im Transit sowie zusätzliche Sicherheitsmaßnahmen wie Schlüsselrotation, Sitzungszeitlimits, Integritätsprüfungen und Virenschutz
• Ein-Klick-HIPAA- und DSGVO-Compliance-Berichte, die nachweisen, dass administrative, physische und technische Schutzmaßnahmen gemäß HIPAA vorhanden sind
• Detaillierte Zugriffskontrollen, rollenbasierte Berechtigungen und Ablaufdaten für Dateien/Ordner, die den Zugriff auf PHI nur autorisiertem Personal und nur so lange wie nötig erlauben
• Sichere Bereitstellungsoptionen einschließlich On-Premises, privater, hybrider und FedRAMP Virtual Private Cloud
• Bedrohungserkennung, -minderung und -forensik über eine CISO-Dashboard-Analyse und umfassende Prüfprotokolle, die in Ihr SIEM exportiert werden können

Um zu erfahren, wie Kiteworks Ihrer Organisation helfen kann, HIPAA-Compliance zu erreichen, vereinbaren Sie heute eine individuelle Demo.

Zusätzliche Ressourcen

• Fallstudie NYC Health + Hospitals: Kliniker und Personal teilen vertrauliche Gesundheitsinformationen sicher und effizient
• Blogbeitrag Top HIPAA-konforme Formulare
• Blogbeitrag HIPAA Verschlüsselung: Anforderungen, bewährte Methoden & Software
• Blogbeitrag HIPAA-konforme E-Mails versenden
• Blogbeitrag HIPAA-Verstoß [Was es ist & wie man mit den Folgen umgeht]