HIPAA-Compliance-Checkliste: Wie man 2024 HIPAA-konform ist

Der Health Insurance Portability and Accountability Act (HIPAA), ergänzt durch den Health Information Technology for Economic and Clinical Health (HITECH) Act, soll die medizinischen Informationen und Gesundheitsakten von Individuen schützen. Durch das Erreichen und Aufrechterhalten der HIPAA-Konformität können Gesundheitsorganisationen die sensiblen Gesundheitsinformationen der Patienten schützen und gleichzeitig das Risiko von Datenpannen und rechtlichen Strafen minimieren.

Dieser Artikel erläutert die wesentlichen HIPAA- und HITECH-Anforderungen und bietet wichtige Ressourcen, damit Sie sicherstellen können, dass Ihr Unternehmen HIPAA-konform ist und nicht in den Schlagzeilen zu Datenpannen landet.

Was ist HIPAA-Konformität?

HIPAA-Konformität bezieht sich auf die Einhaltung der im Health Insurance Portability and Accountability Act festgelegten Vorschriften, um die Privatsphäre, Sicherheit und Integrität der geschützten Gesundheitsinformationen (PHI) von Personen zu gewährleisten.

Organisationen, die HIPAA einhalten müssen, umfassen Gesundheitsdienstleister, Gesundheitspläne und Gesundheitsabrechnungsstellen sowie deren Geschäftspartner. HIPAA-unterliegende Einrichtungen müssen die Privatsphäre und data security von protected health information gewährleisten. Beispiele für PHI umfassen:

• Namen von Personen
• Fotos mit vollständigem Gesicht und vergleichbare Bilder
• Biometrische Kennzeichen
• E-Mail-Adressen
• Telefonnummern
• Faxnummern
• Geographische Daten
• Sozialversicherungsnummern
• Medizinische Aktennummern
• Kontonummern
• Nummern der Gesundheitsplan-Begünstigten
• Zertifikats- und Lizenznummern
• Fahrzeugidentifikatoren und Seriennummern
• Gerätekennungen und Seriennummern
• Daten, außer Jahr
• IP-Adressen
• Web-URLs
• Jede einzigartige Identifikationsnummer oder Code

Was ist HITECH?

Das Health Information Technology for Economic and Clinical Health (HITECH) Gesetz verbessert die HIPAA-Vorschriften, indem es Anbieter dazu anregt, medizinische und Gesundheitsakten zu digitalisieren. Das Gesetz bestraft Versäumnisse, elektronische Gesundheitsakten sinnvoll zu nutzen und zielt darauf ab, die landesweite Verwendung von zuverlässigen, interoperablen und sicheren elektronischen Gesundheitsdaten zu fördern.

Was sind HIPAA-Regeln und -Kontrollen?

HIPAA-Regeln umfassen:

• HIPAA-Datenschutzregel
• HIPAA-Sicherheitsregel
• HIPAA-Benachrichtigungspflicht bei Datenschutzverletzungen
• HIPAA-Durchsetzungsregel
• HIPAA Omnibus-Regel

HIPAA-Kontrollen sind Richtlinien, Verfahren und andere Maßnahmen, die von HIPAA erfasste Einrichtungen implementieren müssen, um PHI zu schützen und die HIPAA-Vorschriften einzuhalten, wie nachfolgend detailliert beschrieben.

HIPAA-Datenschutzregel

Die HIPAA Privacy Rule beschreibt einen Satz von Standards, die regeln, wie PHI verwendet und offengelegt werden darf. Diese Regel zielt darauf ab, strenge Richtlinien für den Umgang mit sensiblen Gesundheitsdaten durchzusetzen, um die Vertraulichkeit und Privatsphäre der Patienten innerhalb des Gesundheitssystems zu fördern.

Hier sind die HIPAA-Kontrollen für die Anforderungen der Privacy Rule:

1. Datenschutzrichtlinien und -verfahren: Abgedeckte Einheiten müssen einen Satz von Richtlinien und Verfahren entwickeln und umsetzen, um die Privatsphäre von PHI zu gewährleisten.

1. Personal: HIPPA-überdeckte Einheiten müssen:

• Ernennen Sie einen Datenschutzbeauftragten, der für die Entwicklung und Verwaltung der Datenschutzpraktiken und -ressourcen der Einrichtung verantwortlich ist.
• Bestimmen Sie einen Ansprechpartner, der für den Empfang von Beschwerden zuständig ist und Personen über die Datenschutzpraktiken des Unternehmens informiert.

1. Schulung und Management der Belegschaft: Abgedeckte Einheiten müssen alle Mitglieder der Belegschaft in Datenschutzpraktiken schulen, damit sie ihre Funktionen in Übereinstimmung mit der Datenschutz-Grundverordnung ausüben können.
2. Milderung: Betroffene Einheiten müssen jegliche schädlichen Auswirkungen, die durch die Verwendung oder Offenlegung von PHI entstehen und die Datenschutzrichtlinien oder die HIPAA-Datenschutzregel verletzen, mildern.
3. Datensicherheitsmaßnahmen: Betreffende Einrichtungen müssen administrative, technische und physische Schutzmaßnahmen einrichten und aufrechterhalten, um sowohl böswillige als auch unbeabsichtigte Verstöße gegen PHI zu verhindern.
4. Beschwerden: Abgedeckte Einheiten müssen Kanäle einrichten, über die Personen Beschwerden bezüglich der Einhaltung des Datenschutzes einreichen können.
5. Vergeltung und Verzicht: Eine von HIPAA abgedeckte Einrichtung darf nicht gegen eine Person vergelten, weil diese:

• Ausübung ihrer Rechte, wie durch die HIPAA Privacy Rule vorgesehen
• Bei einer Untersuchung, die vom HHS oder anderen zuständigen Behörden durchgeführt wird, helfen
• Die Weigerung, sich an Handlungen zu beteiligen, von denen man glaubt, dass sie gegen die HIPAA Privacy Rule verstoßen

1. Dokumentation und Aufbewahrung von Unterlagen: Eine abgedeckte Einheit muss alle Dokumentationen, die für die Einhaltung der Datenschutzregelungen (Datenschutzrichtlinien und -verfahren, Beschwerdeaufzeichnungen, Datenschutzpraxismitteilungen usw.) erstellt wurden, mindestens sechs Jahre nach dem Erstellungsdatum oder dem letzten Wirksamkeitsdatum aufbewahren.
2. Ausnahme: Vollversicherte Gruppenkrankenversicherungen sind verpflichtet, den Anforderungen (7) und (8) nachzukommen.

HIPAA-Sicherheitsregel

Die HIPAA Security Rule legt Richtlinien fest, die die Integrität elektronischer Gesundheitsakten (EHR) schützen und deren Vertraulichkeit und Verfügbarkeit gewährleisten.

Das National Institute of Standards and Technology (NIST) hat einen festgelegten Richtlinienkatalog erstellt, um Organisationen dabei zu unterstützen, Sicherheitspraktiken zu entwickeln, die mit der HIPAA-Sicherheitsregel übereinstimmen. Sie können auch das CIA-Triad verwenden, wobei „CIA“ für diese drei Komponenten steht:

• Vertraulichkeit: Stellen Sie sicher, dass ePHI nicht für unbefugte Personen oder Prozesse verfügbar oder offengelegt wird.
• Integrität: Stellen Sie sicher, dass ePHI nicht unbefugt verändert oder zerstört wird
• Verfügbarkeit: Stellen Sie sicher, dass ePHI bei Bedarf von autorisierten Personen zugänglich und nutzbar ist.

Die Anforderungen der HIPAA Security Rule umfassen die folgenden Arten von Kontrollen für sensible Daten:

• Technische Schutzmaßnahmen: Zugriffskontrollen, Überwachungskontrollen, Integritätskontrollen, Authentifizierung von Personen/Entitäten, Übertragungssicherheit
• Physische Schutzmaßnahmen: Zugangskontrollen für Einrichtungen, Arbeitsplatznutzung, Arbeitsplatzsicherheit, Geräte- und Medienkontrollen
• Administrative Schutzmaßnahmen: Sicherheitsmanagementprozess, zugewiesene Sicherheitsverantwortung, Mitarbeitersicherheit, Informationszugriffsmanagement, Sicherheitsbewusstsein und -schulung, Sicherheitsvorfallsverfahren, Notfallpläne, Bewertung, Geschäftspartnerpläne und andere Verfahren

Organisationen unterscheiden oft zwischen „erforderlichen“ und „adressierbaren“ Schutzmaßnahmen:

• Erforderliche Sicherheitsmaßnahmen müssen genau befolgt werden; es gibt keinen Spielraum für Interpretationen.
• Addressable requirements afford organizations some flexibility to account for unique infrastructural or technical limitations.

HIPAA-Benachrichtigungspflicht bei Datenschutzverletzungen

The HIPAA Breach Notification Rule requires covered entities to notify certain parties when they suffer a breach of PHI. Specifically, the HIPAA Breach Notification Rule requires:

• Individuelle Benachrichtigung: Überdeckte Einheiten sind verpflichtet, betroffene Personen zu benachrichtigen, sobald ein PHI-Datenleck entdeckt wird.
• Medienmitteilung: Sollte festgestellt werden, dass ein Vorfall mehr als 500 Einwohner eines Staates oder einer Jurisdiktion betrifft, müssen die verantwortlichen abgedeckten Einheiten prominente Medienkanäle benachrichtigen, die den Staat oder die Jurisdiktion bedienen.
• Benachrichtigung an den Sekretär: Überdeckte Einheiten müssen den Sekretär bei Entdeckung eines PHI-Datenverstoßes benachrichtigen.

Es ist möglich, dass Entitäten ihre Sorgfalt beweisen und eine geringe Wahrscheinlichkeit eines PHI-Kompromisses aufgrund angemessener Risikobewertungsverfahren demonstrieren.

HIPAA-Durchsetzungsregel

Die HIPAA Enforcement Rule legt Standards fest, wie Datenpannen untersucht werden sollen und umreißt eine Strafstruktur für verantwortliche Parteien.

HIPAA Omnibus-Regel

Die HIPAA Omnibus-Regel:

• Etabliert eine gestaffelte Strafstruktur, wie vom HITECH gefordert
• Führt Änderungen an der Schadensschwelle ein und beinhaltet die endgültige Regelung zur Benachrichtigung bei Datenschutzverletzungen für ungesicherte ePHI unter dem HITECH Act
• Ändert HIPAA, um Bestimmungen des Genetic Information Nondiscrimination Act (GINA) einzubeziehen, der die Offenlegung genetischer Informationen zu Versicherungsunterzeichnungszwecken verbietet
• Verhindert die Verwendung von PHI und persönlichen Identifikatoren zu Marketingzwecken

Die Anforderungen der HIPAA Omnibus Rule umfassen Folgendes:

• Neue Business Associate Agreements (BAAs): Bevor die Dienste eines Geschäftspartners in Anspruch genommen werden, müssen die Einrichtungen eine neue HIPAA-konforme BAA unterzeichnen
• Aktualisierungen des Business Associate Agreement: Bestehende Business Associate Agreements müssen aktualisiert werden, um den Anforderungen der Omnibus-Regel zu entsprechen.
• Aktualisierungen der Datenschutzrichtlinie: Datenschutzrichtlinien müssen aktualisiert werden, um den Änderungen der Omnibus-Regel zu entsprechen.
• Aktualisierte Datenschutzhinweise (NPP): NPPs müssen aktualisiert werden, um die durch die Omnibus-Regel erforderlichen Informationen abzudecken.
• Aktualisierte HIPAA-Schulungen für Mitarbeiter: Schulungen für Mitarbeiter zu den Omnibus-Regeländerungen und Definitionserweiterungen müssen bereitgestellt und dokumentiert werden.

HIPAA-Checkliste

Verwenden Sie die folgende Checkliste, um Ihrer Organisation dabei zu helfen, die Einhaltung von HIPAA sicherzustellen.

1) Audits und Bewertungen

Führen Sie regelmäßig eine interne HIPAA-Prüfung, Sicherheitsbewertung und Datenschutzprüfung durch, um die Datensicherheit zu unterstützen:

• Ermitteln Sie, welche der jährlich erforderlichen HIPAA-Audits und -Bewertungen gemäß der HIPAA-Regel SP 800-66, Revision 1, unter Verwendung der NIST-Richtlinien für Ihre Organisation zutreffen.
• Führen Sie die erforderlichen Audits und Bewertungen durch, analysieren und verstehen Sie die Ergebnisse und dokumentieren Sie alle Probleme oder Mängel.
• Erstellen und dokumentieren Sie umfassende Sanierungspläne, um diese Probleme und Mängel zu beheben.
• Setzen Sie die Pläne um, überprüfen Sie die Ergebnisse und aktualisieren Sie den Plan, falls die gewünschten Ergebnisse nicht erreicht wurden.