Der Health Insurance Portability and Accountability Act (HIPAA) ist heute eine der am meisten diskutierten, aber wenig verstandenen Vorschriften.
Obwohl Sie sicherlich schon davon gehört haben, fragen Sie sich vielleicht, ob der HIPAA-Datenschutz ein Bundesgesetz ist oder was eine HIPAA-Verletzung darstellt. Also, hier ist ein genauerer Blick, um die Dinge zu klären.
Ist die HIPAA-Datenschutzregel ein Bundesgesetz?
Das wichtigste zuerst; Ist HIPAA-Datenschutz ein Bundesgesetz? Die kurze Antwort ist ja, aber das kann ohne weitere Erklärung zu Verwirrung führen. Obwohl es sich um ein Bundesgesetz handelt, können mehrere staatliche und bundesstaatliche Gesetze den HIPAA-Vorschriften vorgreifen, wenn sie miteinander in Konflikt geraten.
Wenn die meisten Menschen an HIPAA denken, denken sie an die Datenschutzregel, eine Änderung, die später kam, um die Privatsphäre der Patienten zu schützen. Staatliche Gesetze können die HIPAA-Datenschutzregel außer Kraft setzen, wenn sie strenger sind. Wenn die Vorschriften eines Staates mehr Datentypen abdecken oder höhere Berichtsanforderungen haben, setzen sie HIPAA außer Kraft.
In ähnlicher Weise können staatliche und bundesstaatliche Gesetze den anderen Teilen des HIPAA vorgreifen, von denen die meisten für die Funktionsweise von Versicherungen gelten. Grundsätzlich hat die jeweils strengere Regelung Vorrang. Da HIPAA ziemlich offen ist, tritt es oft in den Hintergrund anderer Gesetze.
Was sind die 3 wichtigsten Dinge, die im HIPAA-Gesetz behandelt werden?
Sie fragen sich vielleicht auch, was die drei wichtigsten Punkte des HIPAA-Gesetzes sind. Die meisten Antworten auf diese Frage beziehen sich auf den administrativen, technischen und physischen Schutz, aber dies ist ein relativ kleiner Teil des Gesetzes. HIPAA spricht über diese Sicherheitsvorkehrungen nur 13 Zeilen im Originaltext.
Die drei wichtigsten Punkte, die im HIPAA-Gesetz als Ganzes behandelt werden, sind:
- Die Gesundheitsbranche reformieren
- Missbrauch und Betrug im Gesundheitswesen verhindern
- Weitere Verbesserungen im Gesundheitswesen vorantreiben
Die Datenschutzregel und zugehörige Sicherheitsmaßnahmen fallen unter das erste und zweite Ziel. Insgesamt verfolgt HIPAA jedoch einen breiteren Ansatz und versucht, den Zugang zur Gesundheitsversorgung zu erweitern und Patienten zu schützen, hauptsächlich in Bezug auf ihre Versicherung.
Für wen und was gilt HIPAA?
Für die meisten Menschen sind die wichtigsten Teile von HIPAA die Vorschriften über ihre Privatsphäre. Auch in diesem Bereich gibt es viele Missverständnisse. Viele Leute denken, HIPAA gilt für einige Informationen; das tut es nicht.
Die HIPAA-Datenschutzregel umfasst persönliche Gesundheitsinformationen oder PHI, die alle Informationen enthalten, die Sie zu einer Person zurückverfolgen können, wie Namen, medizinische Informationen und Kontaktinformationen. Im Allgemeinen verlangt HIPAA, dass „erfasste Einrichtungen“ Ihre Erlaubnis einholen, bevor sie diese PHI mit anderen teilen.
Was die meisten Menschen bei HIPAA falsch verstehen, ist, für wen es gilt. Zu den von HIPAA regulierten abgedeckten Unternehmen gehören drei Hauptparteien: Gesundheitspläne (wie Versicherer), Gesundheitsdienstleister und Gesundheits-Clearingstellen. Einige Partner und Geschäftspartner dieser Parteien können ebenfalls unter HIPAA fallen, wenn sie auf Ihre PHI zugreifen können.
Während der Geltungsbereich von PHI ziemlich breit ist, ist dies bei erfassten Einrichtungen nicht der Fall. Zu den Ausnahmen der HIPAA-Datenschutzregel gehören Ihr Arbeitgeber, die meisten Schulen, die Strafverfolgungsbehörden, die meisten Websites und die meisten Unternehmen außerhalb des Gesundheitswesens. Diese Parteien können in der Regel sammeln und teilen Sie Ihre Informationen, wie sie möchten, sofern nicht andere Vorschriften im Wege stehen.
Beispiele für HIPAA-Verstöße und Ausnahmen
Was ist also eine tatsächliche HIPAA-Verletzung? Einige der häufigsten Beispiele sind Datenschutzverletzungen im Gesundheitswesen. Nun, wenn ein Krankenhaus eine Sicherheitslücke erleidet die Patientendaten preisgibt, ist nicht unbedingt ein Verstoß. Wenn es jedoch das Ergebnis eines unzureichenden Schutzes ist oder sie es nicht ordnungsgemäß offengelegt haben, ist es das.
2020, Die National Law Review berichtete, dass das Gesundheitstechnologieunternehmen CHSPSC 2,3 Millionen US-Dollar für einen HIPAA-Verstoß im Zusammenhang mit einem Verstoß zahlen musste. Nachdem ein Hacker die Daten von sechs Millionen Patienten kompromittiert hatte, indem er auf das System abzielte, stellten die Ermittler fest, dass CHSPSC die HIPAA-Sicherheitsstandards nicht erfüllte. Da sie diese Informationen nicht angemessen geschützt haben, was zu einem Verstoß führte, haben sie gegen das Gesetz verstoßen.
Wenn Werbetreibende dagegen Ihre medizinbezogenen Internetsuchen verwenden, um Anzeigen auf Sie auszurichten, handelt es sich nicht um einen Verstoß gegen HIPAA. Die Websites, die Ihre Suchaktivitäten erfassen, sind keine erfassten Einheiten, daher benötigen sie nicht Ihre ausdrückliche Erlaubnis, um diese Daten mit Vermarktern zu teilen.
HIPAA kann kompliziert sein
Wie viele Gesetze ist HIPAA kompliziert. Ausnahmen von Datenschutzregeln sind häufiger als Sie vielleicht denken, und HIPAA selbst deckt weit mehr als nur Sicherheit ab. Folglich kann es bei so vielen Fehlinformationen schwierig sein zu wissen, was legal ist und was nicht.
Dies sind nur einige Beispiele dafür, was HIPAA abdeckt. Im Zuge der aufsichtsrechtlichen Diskussionen kann sich auch das Gesetz weiterentwickeln. Denken Sie in jedem Fall daran, den Datenschutz selbst in die Hand zu nehmen und darauf zu achten, was Sie teilen.