Jede Organisation, die sich mit geschützten Gesundheitsinformationen in digitaler oder analoger Form befasst, muss den Health Insurance Portability and Accountability Act (HIPAA) einhalten. HIPAA-Bußgelder kosten ein Unternehmen mehr als5 Millionen Dollarim Jahr 2021.
Die strikte Einhaltung des HIPAA-Compliance-Standards hilft, Datenverluste zu verhindern und die damit verbundenen rechtlichen und finanziellen Konsequenzen zu vermeiden. Unternehmen benötigen Sicherheitstools und -lösungen zur VorbeugungData Lossund Datenschutzverletzungen, um HIPAA-geschützte Daten zu schützen und zu sichern.
Für eine an HIPAA gebundene Organisation kann die Einhaltung der Vorschriften eine ziemlich entmutigende Aufgabe sein. In diesem Artikel möchten wir die grundlegenden Aspekte der HIPAA-Compliance-Standards behandeln und einige Leitprinzipien für die effektive Umsetzung der Compliance geben.
Was ist HIPAA-Konformität?
DieKrankenversicherungs-Portabilitäts- und Rechenschaftsgesetzlegt landesweit nationale Standards für den Schutz sensibler Patientendaten fest und legt die Regeln zum Schutz der Privatsphäre und Sicherheit individuell identifizierbarer Gesundheitsinformationen fest.
Jedes Unternehmen, das geschützte Gesundheitsinformationen (PHI) verarbeitet, muss die HIPAA-Compliance-Standards einhalten. Diese Standards unterscheiden zwischen zwei Arten von Unternehmen, die mit PHI umgehen: abgedeckte Unternehmen und Geschäftspartner:
- Abgedeckte Unternehmen— jedes Unternehmen, das Behandlungs-, Zahlungs- und Gesundheitsdienstleistungen erbringt.
- Geschäftspartner– jeder, der Zugang zu Patienteninformationen hat, als Dritter mit PHI umgeht und Unterstützung bei der Behandlung, Bezahlung oder Operationen leistet. Dazu gehören Subunternehmer wie Abrechnungsunternehmen, externe Berater, IT-Anbieter, Anwälte und Buchhalter.
Die Digitalisierung der Gesundheitsbranche hat neue Herausforderungen im Umgang mit sensiblen Patienteninformationen mit sich gebracht. Die meisten Vorgänge im Gesundheitswesen sind heutzutage computerisiert, darunter CPOE-Systeme (Computerized Doctor Order Entry), elektronische Gesundheitsakten (EHR), Apotheken- und Laborsysteme. Daher ist ein System zum Schutz von PHI unerlässlich, um sicherzustellen, dass diese personenbezogenen Daten angesichts der Sicherheitsrisiken, denen Gesundheitsdaten ausgesetzt sind, sicher behandelt werden.
Was ist ein HIPAA-Verstoß?
Jeder Verstoß gegen das Compliance-Programm einer Organisation, der die Integrität des PHI gefährdet, gilt als HIPAA-Verstoß.
Häufige HIPAA-Verstöße
Obwohl nicht alle Datenschutzverletzungen HIPAA-Verstöße sind, stellen alle HIPAA-Verstöße eine Sicherheitsverletzung dar. Ein HIPAA-Verstoß resultiert aus einem ineffektiven, unvollständigen oder veralteten HIPAA-Compliance-Programm oder einem direkten Verstoß gegen die HIPAA-Compliance-Richtlinien der Organisation.
Wenn beispielsweise ein Mitarbeiter einen unverschlüsselten Firmen-Laptop mit Zugriff auf Krankenakten gestohlen oder verloren hat, liegt ein Datenschutzverstoß vor. Wenn der Besitzer des Laptops (das Unternehmen) nicht über die Richtlinie verfügt, die verhindert, dass Firmen-Laptops außerhalb des Standorts mitgenommen werden, oder deren Verschlüsselung verlangt, handelt es sich um einen Verstoß gegen HIPAA.
Häufige HIPAA-Fehler
Organisationen, die mit einer Datenschutzverletzung konfrontiert sind, müssen ein Protokoll namens HIPAA Breach Notification Rule befolgen. Dieses Protokoll unterscheidet sich je nach Ausmaß der Datenschutzverletzung. Die HIPAA Breach Notification Rule erwähnt zwei Arten von Verstößen:
- Kleiner Verstoß— Eine Datenschutzverletzung gilt als geringfügig, wenn die Auswirkungen bis zu 500 Personen pro Gerichtsbarkeit betreffen. Eine Organisation, die von geringfügigen Verstößen betroffen ist, muss diese einmal im Jahr, 60 Tage vor Ende des Kalenderjahres, melden. Darüber hinaus muss das Unternehmen die betroffenen Personen vor Ablauf von 60 Tagen seit der Entdeckung der Datenschutzverletzung informieren.
- Bedeutender Verstoß— HSS betrachtet einen Datenschutzverstoß als bedeutsam, wenn er mehr als 500 Personen in einem einzigen Bereich betrifft. Solche Verstöße müssen früher gemeldet werden, mit einer Frist von 60 Tagen nach Entdeckung der Datenschutzverletzung. Die betroffene Organisation muss Einzelpersonen informieren, sobald die Datenschutzverletzung entdeckt wird. Der HSS hat seit 2009 bedeutsame Verstöße auf der Website veröffentlichtPortal zur Meldung von Verstößen.
HIPAA-Regeln
Im HIPAA-Standard gibt es vier Hauptregeln: Die Datenschutzregel und die Sicherheitsregeln sind die übergeordneten Regeln.
- HIPAA-Datenschutzregel– Auch als „Standards for Privacy of Individually Identifiable Health Information“ (Standards für den Datenschutz individuell identifizierbarer Gesundheitsinformationen) bekannt, legen sie die Standards für den Schutz bestimmter Gesundheitsinformationen wie Krankenakten fest und gelten für Krankenversicherungen, Clearingstellen im Gesundheitswesen und Gesundheitsdienstleister. Darin werden die Rechte der Patienten an ihren Gesundheitsdaten festgelegt, einschließlich der Anforderung von Korrekturen und der Einholung einer Kopie ihrer Gesundheitsakten. Diese Regel gilt nur für betroffene Unternehmen. Weitere in dieser Regel festgelegte Standards umfassen den Inhalt von Nutzungs- und Offenlegungsformularen sowie Hinweise zu Datenschutzpraktiken. Die Organisation muss diese regulatorischen Standards in ihren Richtlinien und Verfahren dokumentieren und alle Mitarbeiter jährlich in diesen Richtlinien und Verfahren unter dokumentierter Anwesenheit schulen.
- HIPAA-Sicherheitsregel– legt die Sicherheitsstandards für die Wartung, Übertragung und Handhabung der PHI fest. Dies gilt für betroffene Unternehmen und Geschäftspartner. Diese Regel legt den Standard für die Integrität und Sicherheit von Informationen fest, einschließlich der physischen, administrativen und technischen Maßnahmen, die zur Aufrechterhaltung der Einhaltung erforderlich sind. Wie bei den Datenschutzbestimmungen muss die Organisation diese Vorschriften in ihren eigenen HIPAA-Richtlinien und -Verfahren dokumentieren und das Personal jährlich schulen.
- HIPAA-Regel zur Benachrichtigung über Verstöße— Diese Regel legt die Standards fest, die betroffene Unternehmen und Geschäftspartner im Falle einer Sicherheitsverletzung im Zusammenhang mit geschützten Gesundheitsinformationen befolgen müssen. Organisationen müssen alle Verstöße melden, wobei je nach Schwere des Datenschutzverstoßes oder HIPAA-Verstoßes unterschiedliche Fristen gelten.
- HIPAA-Omnibus-Regel– ein Nachtrag zur HIPAA-Verordnung, der den Standard auf Geschäftspartner anwendet. Nach dieser Regel müssen Geschäftspartner HIPAA-konform sein. Es beschreibt die Regeln für Business Associate Agreements (BAAs), bei denen es sich um Verträge handelt, die zwischen einem abgedeckten Unternehmen und einem Geschäftspartner oder zwischen zwei Geschäftspartnern abgeschlossen werden, bevor PHI oder ePHI übertragen werden können.
Sieben Elemente eines effektiven HIPAA-Compliance-Programms
Das Ministerium für Gesundheit und menschliche Dienste (HHS), das für die Einführung von HIPAA verantwortlich ist, hat die sieben Elemente eines effektiven Compliance-Programms festgelegt. Dieses Programm, in ihrem enthaltenCompliance-Schulungsleitfaden, skizziert sieben Leitprinzipien, die die Compliance-Bemühungen unterstützen sollen:
- Über schriftliche Richtlinien, Verfahren und Verhaltensstandards verfügen
- Ernennung eines Compliance Officers und eines Compliance Committees
- Durchführung effektiver Schulungen und Schulungen aller Mitarbeiter mit Anwesenheitspflicht
- Effiziente Kommunikationswege entwickeln
- Durchführung interner Überwachung und Auditierung
- Durchsetzung von Standards durch Protokolle und veröffentlichte Disziplinarrichtlinien
- Ergreifen umgehender Korrekturmaßnahmen bei festgestellten Verstößen
Diese Grundsätze sollten jedem Protokoll, jeder Richtlinie und jedem Verfahren zugrunde liegen, das die Organisation zur Einhaltung der HIPAA-Vorschriften entwickelt. Darüber hinaus werden Prüfer diese Richtlinien bei der Durchführung einer Untersuchung verwenden.
Schlussfolgerung
Die HIPAA-Konformität schützt die Daten der Benutzer und gewährleistet deren Privatsphäre und Sicherheit. Um diese Ziele zu erreichen, sollten Organisationen eine Sicherheitskultur fördern. Die Durchführung von Schulungsworkshops und die Implementierung von Sicherheitsbewusstseinspraktiken helfen den Mitarbeitern, Best Practices zu integrieren.
Unternehmen sollten ihre Netzwerkumgebung mit Sicherheitstools wie SIEM-Lösungen schützen. Software wie Firewalls und Endpunktsicherheit können dabei helfen, den Perimeter vor Angreifern zu schützen. Darüber hinaus sind die Überwachung und Kontrolle des Zugriffs auf die Daten unerlässlich, um Insider-Bedrohungen vorzubeugen. Da Datenschutzverletzungen zunehmen, ist die Einhaltung von HIPAA nicht nur eine Frage behördlicher Anforderungen, sondern auch des Schutzes des Unternehmens und der Benutzer.
Mehr erfahren:
Für weitere Informationen besuchen Sie die Prüfungskonformität