Wann wurde HIPAA eingeführt?
Unsere HIPAA-Geschichtsstunde beginnt am 21. August 1996, als der Healthcare Insurance Portability and Accountability Act (HIPAA) unterzeichnet wurde. HIPAA wurde geschaffen, um „die Übertragbarkeit und Rechenschaftspflicht des Krankenversicherungsschutzes“ für Arbeitnehmer zu verbessern, die ihren Arbeitsplatz wechseln. Weitere Ziele des Gesetzes waren die Bekämpfung von Verschwendung, Betrug und Missbrauch in der Krankenversicherung und bei der Gesundheitsversorgung. Das Gesetz enthielt auch Passagen zur Förderung der Nutzung medizinischer Sparkonten durch die Einführung von Steuererleichterungen, zur Bereitstellung von Versicherungsschutz für Arbeitnehmer mit Vorerkrankungen und zur Vereinfachung der Krankenversicherungsverwaltung.
Die Verfahren zur Vereinfachung der Krankenversicherungsverwaltung wurden zu einem Mittel, um die Gesundheitsbranche zu ermutigen, die Krankenakten der Patienten zu computerisieren. Dieser spezielle Teil des Gesetzes führte 2009 zum Health Information Technology for Economic and Clinical Health Act (HITECH), der wiederum zur Einführung des Meaningful Use-Anreizprogramms führte – von führenden Vertretern der Gesundheitsbranche als „das wichtigste Gesetz im Gesundheitswesen der letzten 20 bis 30 Jahre“ bezeichnet.
Die HIPAA-Datenschutz- und Sicherheitsvorschriften nehmen Gestalt an
Nach der Unterzeichnung des HIPAA-Gesetzes machte sich das US-Gesundheitsministerium an die Ausarbeitung der ersten HIPAA-Datenschutz- und Sicherheitsvorschriften. Die Privacy Rule trat am 14. April 2003 in Kraft und definierte geschützte Gesundheitsinformationen (Protected Health Information, PHI) als „alle Informationen, die sich im Besitz einer betroffenen Einrichtung befinden und die den Gesundheitszustand, die Bereitstellung von Gesundheitsleistungen oder die Bezahlung von Gesundheitsleistungen betreffen und mit einer Person in Verbindung gebracht werden können“.
Es wurden Anweisungen erlassen, wie PHI offengelegt werden sollten und dass die Erlaubnis der Patienten eingeholt werden sollte, bevor ihre persönlichen Informationen für Marketing, Spendenaktionen oder Forschung verwendet werden. Außerdem wurde den Patienten das Recht eingeräumt, Informationen über ihre Gesundheitsfürsorge gegenüber Krankenversicherungen zurückzuhalten, wenn ihre Behandlung privat finanziert wird.
Die HIPAA Security Rule trat zwei Jahre nach dem ursprünglichen Gesetz am 21. April 2005 in Kraft. Speziell für elektronisch gespeicherte PHI (ePHI) wurden in der Security Rule drei Sicherheitsvorkehrungen – administrative, physische und technische – festgelegt, die in vollem Umfang eingehalten werden müssen, um dem HIPAA zu entsprechen. Die Sicherheitsvorkehrungen verfolgten folgende Ziele:
- Administrativ – Erstellung von Richtlinien und Verfahren, aus denen klar hervorgeht, wie die Einrichtung das Gesetz einhalten wird.
- Physisch – Kontrolle des physischen Zugangs zu Bereichen der Datenspeicherung zum Schutz vor unberechtigtem Zugriff
- Technisch – Schutz der Kommunikation, die PHI enthält, wenn sie elektronisch über offene Netze übertragen wird
Wann trat HIPAA in Kraft?
In welchem Jahr wurde HIPAA als Gesetz unterzeichnet? HIPAA wurde am 21. August 1996 unterzeichnet, aber in den letzten 20 Jahren gab es wichtige Ergänzungen zum HIPAA: Die Einführung der Privacy Rule, der Security Rule, der Breach Notification Rule und der Omnibus Final Rule.
Die wichtigsten Stichtage sind: 14. April 2003 für die HIPAA Privacy Rule, obwohl es eine Verlängerung von einem Jahr für kleine Gesundheitspläne gab, die die Bestimmungen der HIPAA Privacy Rule bis zum 14. April 2004 erfüllen mussten.
Das Datum des Inkrafttretens für die HIPAA Security Rule war der 21. April 2005. Wie bei der HIPAA Privacy Rule wurde kleinen Gesundheitsplänen ein zusätzliches Jahr eingeräumt, um die Bestimmungen der HIPAA Security Rule zu erfüllen, und das Datum der Erfüllung war der 21. April 2006.
Die HIPAA Breach Notification Rule trat am 23. September 2009 in Kraft und die Omnibus Final Rule trat am 26. März 2013 in Kraft.
Die Einführung der Enforcement Rule
Das Versäumnis vieler betroffener Einrichtungen, die HIPAA-Datenschutz- und Sicherheitsvorschriften vollständig einzuhalten, führte im März 2006 zur Einführung der Enforcement Rule. Mit der Enforcement Rule erhielt das Department of Health and Human Services die Befugnis, Beschwerden gegen betroffene Einrichtungen wegen Nichteinhaltung der Privacy Rule zu untersuchen und Geldstrafen für vermeidbare Verstöße gegen ePHI zu verhängen, die auf die Nichteinhaltung der in der Security Rule festgelegten Schutzmaßnahmen zurückzuführen sind.
Das Office for Civil Rights des Ministeriums erhielt außerdem die Befugnis, gegen hartnäckige Zuwiderhandelnde, die nicht innerhalb von 30 Tagen Abhilfemaßnahmen ergreifen, Strafanzeige zu erstatten. Einzelpersonen haben auch das Recht, zivilrechtlich gegen die betroffene Einrichtung vorzugehen, wenn ihre persönlichen Gesundheitsdaten ohne ihre Zustimmung weitergegeben wurden und ihnen dadurch ein „ernsthafter Schaden“ entsteht.
HITECH 2009 und die Breach Notification Rule
Die Geschichte des HIPAA wurde 2009 mit der Einführung des Health Information Technology for Economic and Clinical Health Act (HITECH) fortgesetzt. Das Hauptziel von HITECH bestand darin, die Gesundheitsbehörden zur Verwendung elektronischer Patientenakten (EHR) zu verpflichten, und es wurde das Meaningful Use Anreizprogramm eingeführt. Die erste Stufe von Meaningful Use wurde im darauffolgenden Jahr eingeführt und bot den Organisationen des Gesundheitswesens Anreize, die geschützten Gesundheitsdaten der Patienten in elektronischer Form statt in Papierform zu speichern.
Mit dem Anreizprogramm wurden auch die HIPAA-Regeln auf Geschäftspartner und Drittanbieter des Gesundheitswesens ausgedehnt und die Breach Notification Rule eingeführt, die vorschreibt, dass alle Verstöße gegen ePHI, die mehr als 500 Personen betreffen, dem Office for Civil Rights des Department of Health and Human Services gemeldet werden müssen. Die Kriterien für die Meldung von Verstößen gegen ePHI wurden anschließend in der endgültigen Omnibus-Regel vom März 2013 erweitert.
Die endgültige Omnibus-Regel von 2013
Der letzte Rechtsakt in der Geschichte des HIPAA war die endgültige Omnibus-Regel von 2013. Die Regel führte kaum neue Rechtsvorschriften ein, sondern füllte Lücken in den bestehenden HIPAA- und HITECH-Vorschriften – zum Beispiel die Festlegung der Verschlüsselungsstandards, die angewendet werden müssen, um ePHI im Falle eines Verstoßes unbrauchbar, unentzifferbar und unlesbar zu machen.
Viele Definitionen wurden geändert oder hinzugefügt, um Grauzonen zu beseitigen – zum Beispiel wurde die Definition des Begriffs „Arbeitskräfte“ geändert, um klarzustellen, dass der Begriff Angestellte, Freiwillige, Praktikanten und andere Personen umfasst, deren Verhalten bei der Ausführung von Arbeiten für eine betroffene Einrichtung oder einen Geschäftspartner unter der direkten Kontrolle der betroffenen Einrichtung oder des Geschäftspartners steht.
Die Datenschutz- und Sicherheitsvorschriften wurden auch dahingehend geändert, dass die Gesundheitsdaten von Patienten unbegrenzt aufbewahrt werden dürfen (nach der früheren Gesetzgebung war eine Aufbewahrung von fünfzig Jahren vorgeschrieben), während neue Verfahren in die Richtlinie über die Meldung von Verstößen aufgenommen wurden. Außerdem wurden – wie von HITECH vorgeschrieben – neue Strafen für Unternehmen eingeführt, die gegen die HIPAA Enforcement Rule verstoßen.
Änderungen wurden auch vorgenommen, um den veränderten Arbeitspraktiken Rechnung zu tragen, die sich durch den technologischen Fortschritt ergeben haben, insbesondere bei der Verwendung von mobilen Geräten. Eine beträchtliche Anzahl von Angehörigen der Gesundheitsberufe nutzt inzwischen ihre eigenen mobilen Geräte für den Zugriff auf und die Übermittlung von ePHI, und die endgültige Omnibus-Regelung enthielt neue Verwaltungsverfahren und -richtlinien, um diesem Umstand Rechnung zu tragen und Szenarien abzudecken, die 1996 noch nicht vorhersehbar waren. Den vollständigen Text der endgültigen Omnibus-Regel finden Sie hier.
Nach mehrfachen Verzögerungen wurde die Frist für die Verwendung der klinischen Modifikation ICD-10-CM für die Kodierung von Diagnosen und des Prozedurenkodierungssystems ICD-10-PCA für die Kodierung von Prozeduren in stationären Krankenhäusern in den Vereinigten Staaten schließlich auf den 1. Oktober 2015 festgelegt. Alle vom HIPAA erfassten Einrichtungen müssen ICD-10-CM verwenden. Eine weitere Anforderung ist die der EDI-Version 5010.
Schlüsseldaten in der HIPAA-Geschichte
- August 1996 – HIPAA wird von Präsident Bill Clinton unterzeichnet.
- April 2003 – Datum des Inkrafttretens der HIPAA-Datenschutzregel.
- April 2005 – Datum des Inkrafttretens der HIPAA-Sicherheitsregel.
- März 2006 – Datum des Inkrafttretens der HIPAA Breach Enforcement Rule.
- September 2009 – Datum des Inkrafttretens von HITECH und der Breach Notification Rule.
- März 2013 – Datum des Inkrafttretens der endgültigen Omnibus Rule.
Unter bestimmten Umständen wurde den CEs und BAs eine Frist eingeräumt, um die Bestimmungen der einzelnen Rule einzuhalten. Obwohl das Datum des Inkrafttretens der endgültigen Omnibus-Regel im März 2013 war, wurde CEs und BAs beispielsweise eine Frist von 180 Tagen eingeräumt. Weitere wichtige Daten in der Geschichte des HIPAA finden Sie in unserer Infografik unten.
Folgen der endgültigen Omnibus-Regel
Was die endgültige Omnibus-Regel mehr als alle vorherigen Gesetze erreicht hat, ist, dass sie den betroffenen Einrichtungen die HIPAA-Schutzmaßnahmen, die sie einhalten müssen, bewusster gemacht hat. Viele Organisationen des Gesundheitswesens – die fast zwei Jahrzehnte lang gegen den HIPAA verstoßen hatten – setzten eine Reihe von Maßnahmen um, um die Vorschriften einzuhalten, z. B. die Verwendung von Datenverschlüsselung auf tragbaren Geräten und Computernetzwerken, die Einführung von sicheren Messaging-Lösungen für die interne Kommunikation mit Pflegeteams, die Installation von Webfiltern und die verstärkte Sorgfalt bei der sicheren Archivierung von E-Mails.
Die Geldstrafen, die jetzt für Datenschutzverletzungen verhängt werden, zusammen mit den kolossalen Kosten für die Herausgabe von Benachrichtigungen über Datenschutzverletzungen, die Bereitstellung von Kreditüberwachungsdiensten und die Durchführung von Schadensbegrenzungsmaßnahmen, lassen Investitionen in neue Technologien zum Schutz von Daten im Vergleich dazu billig erscheinen.
Das HIPAA Compliance Audit Programm
Im Jahr 2011 begann das Office for Civil Rights eine Reihe von Pilot-Compliance-Audits, um zu bewerten, wie gut Gesundheitsdienstleister die HIPAA-Datenschutz- und Sicherheitsvorschriften umsetzen. Die erste Reihe von Audits wurde 2012 abgeschlossen und machte den katastrophalen Zustand der Einhaltung der Vorschriften im Gesundheitswesen deutlich.
Die geprüften Organisationen verzeichneten zahlreiche Verstöße gegen die HIPAA Breach Notification Rule, Privacy Rule und Security Rule, wobei letztere die meisten Verstöße verursachte. Die OCR gab Aktionspläne heraus, um diesen Organisationen zu helfen, die Vorschriften einzuhalten; für die zweite Runde der Audits wird jedoch erwartet, dass sie nicht so nachsichtig sein wird.
Es wird erwartet, dass die Audits auf die spezifischen Bereiche abzielen, die sich für so viele Gesundheitsdienstleister als problematisch erwiesen haben, während ein ständiger Auditplan geplant ist, um die kontinuierliche Einhaltung des HIPAA sicherzustellen. Die Zeit der laxen Sicherheitsstandards ist nun vorbei, und die Gesundheitsbranche muss, wie zuvor die Finanzbranche, die Standards erhöhen, um sicherzustellen, dass vertrauliche Daten privat bleiben.
Jede betroffene Einrichtung, die die erforderlichen Kontrollen nicht durchführt, muss mit Geldstrafen, Sanktionen, möglichem Lizenzverlust und sogar Strafverfahren rechnen, wenn sie ihre ePHI nicht schützt.
Wie erreicht man vollständige HIPAA-Konformität
Unsere „HIPAA-Konformitäts-Checkliste“ deckt die Elemente des Health Insurance Portability and Accountability Act ab, die sich auf die Speicherung, Übertragung und Entsorgung elektronischer geschützter Gesundheitsdaten beziehen, sowie die Maßnahmen, die Organisationen als Reaktion auf einen Verstoß ergreifen müssen, und die Richtlinien und Verfahren, die für eine vollständige Konformität eingeführt werden müssen.
Die HIPAA-Vorschriften sind zwar streng, doch wird den betroffenen Organisationen eine gewisse Flexibilität bei den Datenschutz- und Sicherheitsvorkehrungen zugestanden, die zum Schutz der Daten eingesetzt werden. So muss z. B. die Verschlüsselung von Daten zwar angesprochen, aber nicht unbedingt umgesetzt werden, wenn andere Kontrollen den erforderlichen Schutz bieten.
Einige der wichtigsten technischen Schutzmaßnahmen, die zum Schutz und zur Kontrolle von ePHI eingesetzt werden, tragen tatsächlich zur Rationalisierung der Kommunikation und des Informationsflusses bei, und Organisationen, die sichere Kommunikationskanäle eingeführt und Datenkontrollen umgesetzt haben, profitieren von einer verbesserten Effizienz, schnelleren Reaktionszeiten und besseren Ergebnissen für die Patienten, während gleichzeitig sichergestellt ist, dass die Gesundheitsdaten der Patienten jederzeit vollständig geschützt bleiben.
Technische Sicherheitsvorkehrungen zum Schutz von ePHI und persönlichen Identifikatoren
Datenverschlüsselung
Die Verwendung von Laptops und anderen mobilen Geräten zur Speicherung von oder zum Zugriff auf ePHI führt unweigerlich zu einem Verstoß gegen den HIPAA, wenn diese Geräte verloren gehen, gestohlen oder unsachgemäß recycelt werden. Der Passwortschutz der Geräte – und der darauf gespeicherten Daten – ist ein sinnvoller Schritt, um unbefugten Zugriff zu verhindern, reicht aber allein nicht aus, um den notwendigen Schutz für Gesundheitsdaten zu gewährleisten. Passwörter können von Hackern leicht geknackt werden und bieten kein ausreichend hohes Sicherheitsniveau.
Bei der Datenverschlüsselung werden Daten durch komplexe Algorithmen in nicht entzifferbare Symbole umgewandelt, die als Chiffretext bezeichnet werden, wobei ein Sicherheitsschlüssel erforderlich ist, um die Daten wieder in ihre ursprüngliche Form zu bringen. Die Datenverschlüsselung gewährleistet den Schutz der Privatsphäre, kann aber auch andere Sicherheitsvorteile bieten, wie z. B. die Überprüfung von Benutzern, die Protokollierung von Zugriffen, die Verhinderung von Datensatzänderungen und die Nichtabstreitbarkeit von Zugriffen und/oder Diebstählen.
Das Sicherheitsniveau kann entsprechend der Sensibilität der zu schützenden Daten angepasst werden. Die Daten können mit einem einzigen Sicherheitsschlüssel oder mit getrennten Schlüsseln für Ver- und Entschlüsselung verschlüsselt werden (symmetrische und asymmetrische Datenverschlüsselung).
Wenn ein mobiles Gerät verloren geht oder gestohlen wird oder wenn Computernetzwerke gehackt werden, wird dies zwar als Sicherheitsverletzung betrachtet, stellt aber keinen Verstoß gegen den HIPAA dar, es sei denn, der Zugangsschlüssel wird ebenfalls offengelegt.
Secure Messaging
Das Gesundheitswesen und der Pager scheinen fast untrennbar miteinander verbunden zu sein, doch dies wird sich bald ändern. Der Fokus auf HIPAA-Konformität liegt derzeit auf Smartphones und tragbaren Technologien, doch der Pager ist nicht HIPAA-konform. Alle mobilen Geräte übertragen Daten über ungesicherte Netze und verlassen sich daher darauf, dass die Nutzer keine ePHI senden.
BYOD-Systeme wurden inzwischen von vielen Gesundheitsdienstleistern eingeführt, obwohl moderne mobile Geräte aufgrund der Leichtigkeit, mit der persönliche Identifikatoren und ePHI gesendet werden können, ein noch größeres Potenzial für HIPAA-Verstöße haben. Es können Richtlinien und Verfahren eingeführt werden, um zu kontrollieren, wie diese Geräte verwendet werden, obwohl Umfragen darauf hindeuten, dass in der Praxis viele medizinische Fachkräfte die Geräte immer noch zur Übermittlung von ePHI verwenden.
Sichere Messaging-Lösungen verhindern dies. Sie funktionieren, indem sie ePHI in einer sicheren Datenbank speichern und dann autorisierten medizinischen Fachkräften den Zugriff auf die Daten über herunterladbare sichere Messaging-Apps ermöglichen. Die Kommunikation wird über eine sichere Messaging-Plattform abgewickelt, die über administrative Kontrollen verfügt, um die Aktivitäten des autorisierten Personals zu überwachen. Außerdem müssen die Compliance-Beauftragten Risikobewertungen erstellen, wie sie von den Prüfern des HIPAA und des Office for Civil Rights gefordert werden.
Viele Organisationen des Gesundheitswesens haben berichtet, dass die Implementierung von sicheren Messaging-Lösungen die Produktivität erhöht hat, indem sie die Kommunikation rationalisiert, die Nachvollziehbarkeit von Nachrichten erhöht und die Reaktionszeiten verkürzt hat. Studien zufolge, die in HIPAA-konformen medizinischen Einrichtungen durchgeführt wurden, hat sich auch die Effizienz erhöht, was zu einem höheren Standard der Gesundheitsversorgung für die Patienten geführt hat.
Konforme Cloud-Speicherung
Der Übergang von physischen Gesundheitsakten zu elektronischen Datenformaten hat erhebliche Investitionen in die IT-Infrastruktur erfordert. Die Anforderungen, die an Gesundheitsorganisationen gestellt werden, um Server und Netzwerke kontinuierlich aufzurüsten und das Personal für die Verwaltung von Rechenzentren zu beschäftigen, können beträchtlich sein. Neben der Hardware muss auch Platz für die Unterbringung der Geräte zur Verfügung gestellt und der Zugang kontrolliert werden.
Die Computerausrüstung, die heute für den Betrieb großer Netzwerke und die Speicherung von Gesundheitsdaten erforderlich ist, erfordert die Installation von Kühlsystemen, um die von den Geräten erzeugte Wärme abzuführen. Die kostengünstigste Lösung für viele Gesundheitsdienstleister besteht darin, die Datenspeicherung auszulagern und die Vorteile der Cloud für die Datenspeicherung zu nutzen. Beim HIPAA-konformen Cloud-Hosting werden alle gespeicherten Daten durch Verschlüsselung gesichert. Durch Outsourcing können Gesundheitseinrichtungen die HIPAA-Bestimmungen einhalten, ohne so viel in die IT-Infrastruktur investieren zu müssen.
Konforme mobile Plattformen (App-Entwicklung)
Mobile Gesundheits-Apps sind bei Patienten zur Verfolgung und Überwachung von Gesundheit und Fitness sehr beliebt, und tragbare Geräte haben das Potenzial, die häusliche Pflege zu revolutionieren. Sie können in Verbindung mit elektronischen Besuchen eingesetzt werden, um Patienten zu einem Bruchteil der Kosten für Besuche im Gesundheitszentrum häusliche Pflegedienste anzubieten.
Patientenportale haben ebenfalls ein großes Potenzial und verbessern die Interaktion zwischen Pflegedienstleistern und Patienten, senken unnötige Kosten und tragen zur Verbesserung der Patientenergebnisse bei. Die Entwicklung von HIPAA-konformen Frameworks für mobile Anwendungen, HIPAA-konformen Speicherlösungen und HIPAA-konformen Weblösungen bedeutet, dass Gesundheitsdienstleister die Vorteile neuer Technologien nutzen können, ohne den Datenschutz und die Sicherheit von Patientendaten zu gefährden.
Weitere technische Schutzmaßnahmen zur Sicherung von ePHI und persönlichen Identifikatoren sind zweifellos in Planung und werden sich in Zukunft auf die HIPAA-Geschichte auswirken. In der Zwischenzeit finden Sie hier eine kurze Zeitleiste der HIPAA-Geschichte.