Was ist HIPAA-Compliance und warum ist sie wichtig?

Veröffentlicht: 2021-06-22

Was bedeutet HIPAA?

Was ist HIPAA genau und was müssen Sie als Unternehmen tun, um bei den damit verbundenen Vorschriften auf der richtigen Seite zu bleiben?

HIPAA steht für Health Insurance Portability and Accountability Act, der bereits 1996 vom Kongress verabschiedet wurde.

Seitdem wurde HIPAA aktualisiert und ausgebaut, insbesondere mit dem HITECH-Gesetz von 2009 (Health Information Technology for Economic and Clinical Health) und der Omnibus-Regel von 2013.

Diese zusammen erweiterten die Haftung gegenüber Geschäftspartnern und ihren Subunternehmern sowie strengere Schutzmaßnahmen für die Verwendung von PHI in Bezug auf Marketing und Vertrieb.

Während HIPAA eine Reihe von Bereichen betrifft, einschließlich der Krankenversicherung für Menschen, die ihren Arbeitsplatz verlieren oder wechseln, und steuerbezogene Bestimmungen, wird unser Hauptaugenmerk auf Titel II des Gesetzes liegen, in dem es um den Austausch, die Sicherheit und den Schutz von Gesundheitsdaten geht was die überwiegende Mehrheit der Unternehmen in Sachen Compliance beschäftigt.

Lassen Sie uns direkt einsteigen und alles durchgehen, was Sie über HIPAA wissen müssen und was die Schlüssel zum Erfolg für die HIPAA-Compliance sind.

Impact Blog-Banner abonnieren

Was ist der Zweck von HIPAA?

Wie wir gerade festgestellt haben, hat HIPAA mehrere Zwecke außerhalb des Datenschutzes – insbesondere im Zusammenhang mit der Reform des Krankenversicherungsgesetzes.

Für die meisten Organisationen, die sich mit HIPAA befassen, besteht ihr Hauptziel jedoch darin, zu wissen, was sie tun müssen, um die Vorschriften einzuhalten und die Bußgelder zu vermeiden, die sich aus der Nichteinhaltung ergeben.

Dieser Bereich von HIPAA hat alles mit Datenschutz und Privatsphäre in Bezug auf die Offenlegung und Verwendung von geschützten Gesundheitsinformationen oder PHI zu tun.

HIPAA-Compliance und die Sicherheit von PHI sind heute für Gesundheitsorganisationen von entscheidender Bedeutung.

Bild eines Mannes mit ausgestreckter Hand und dem Wort HIPAA darüber | Was ist HIPAA?

Wer muss sich an HIPAA halten?

Unternehmen, die sich an die HIPAA-Compliance halten müssen, werden als abgedeckte Unternehmen bezeichnet.

Betroffen sind Personen oder Unternehmen, die PHI speichern, handhaben und verarbeiten.

Betroffene Unternehmen sind zusätzlich zur Einhaltung des HIPAA auch dafür verantwortlich, diesbezügliche Verstöße zu melden.

Die folgenden Personen und Organisationen stellen betroffene Einrichtungen dar:

Gesundheitsdienstleister

  • Ärzte
  • Kliniken
  • Psychologen
  • Zahnärzte
  • Chiropraktiker
  • Altenheime
  • Apotheken
  • Gesundheitspläne

Krankenkassen

  • HMOs
  • Betriebliche Gesundheitspläne
  • Von der Regierung bereitgestellte Gesundheitspläne

Clearingstellen für das Gesundheitswesen

  • Dies sind Entitäten, die die Verarbeitung von nicht standardmäßigen Gesundheitsinformationen in Standarddatenelemente erleichtern. Diese sind praktisch Vermittler zwischen Gesundheitsdienstleistern und Versicherungszahlern.

Geschäftspartner

  • Ein „Geschäftspartner“ erstellt, empfängt, pflegt oder übermittelt geschützte Gesundheitsinformationen (PHI) im Namen einer betroffenen Einheit oder eines anderen Geschäftspartners, der als Subunternehmer handelt.

Subunternehmer

  • Ein Subunternehmer, der geschützte Gesundheitsinformationen (PHI) im Namen eines Geschäftspartners erstellt, pflegt oder überträgt, hat die gleichen rechtlichen Verantwortlichkeiten wie ein Geschäftspartner gemäß HIPAA. Mit anderen Worten, datenschutz- und sicherheitsbezogene gesetzliche Verantwortlichkeiten fließen „nachgelagert“ zu Subunternehmern, die Arbeiten für einen Geschäftspartner ausführen.

Hybride Einheiten

  • Ein hybrides Unternehmen führt im Rahmen seines Geschäfts sowohl HIPAA-gedeckte als auch nicht-gedeckte Funktionen aus. Ein großes Unternehmen, das einen selbstversicherten Krankenversicherungsplan für seine Mitarbeiter hat, kann sich dafür entscheiden, als hybrides Unternehmen behandelt zu werden. Andere Beispiele sind eine Universität mit einem medizinischen Zentrum oder ein Lebensmittelgeschäft mit einer Apotheke.

Was umfasst PHI?

Persönliche Gesundheitsinformationen (PHI) beziehen sich auf alle demografischen Informationen, die verwendet werden können, um einen Patienten, Kunden oder eine andere Einheit zu identifizieren.

Es gibt 18 Identifikatoren, die Gesundheitsinformationen als geschützte Gesundheitsdaten (PHI) darstellen. Diese sind:

  1. Namen
  2. Daten, außer Jahr
  3. Geografische Daten
  4. FAX-Nummern
  5. Sozialversicherungsnummern
  6. E-mailadressen
  7. Krankenaktennummern
  8. Kontonummern
  9. Nummern der Begünstigten des Gesundheitsplans
  10. Zertifikats-/Lizenznummern
  11. Fahrzeugkennungen und Seriennummern, einschließlich Kfz-Kennzeichen
  12. Telefonnummern
  13. Web-URLs
  14. Gerätekennungen und Seriennummern
  15. Internet Protocol (IP)-Adressen
  16. Full-Face-Fotos und vergleichbare Bilder
  17. Biometrische Identifikatoren (z. B. Fingerabdrücke)
  18. Alle Zahlen oder Codes, die jemanden eindeutig identifizieren

Dies sind die Arten von Daten und Informationen, die geschützt werden müssen, um HIPAA-konform zu bleiben.

Was gilt als HIPAA-Verstoß?

Eine HIPAA-Verletzung tritt auf, wenn die Compliance von einem Unternehmen nicht eingehalten wird, und es gibt buchstäblich Hunderte von Möglichkeiten, wie Einzelpersonen und Organisationen gegen die HIPAA-Compliance verstoßen können.

Häufige Verstöße gegen HIPAA beinhalten typischerweise einen der folgenden Punkte:

  • Unbefugte, unzulässige oder unnötige Offenlegung von PHI
  • Unbefugter Zugriff auf PHI
  • Falsche Entsorgung von PHI
  • Fehlende durchgeführte Risikobewertung durch das Unternehmen
  • Mangelndes Risikomanagement in Bezug auf PHI
  • Versäumnis, eine HIPAA-Compliance-Vereinbarung mit Dritten abzuschließen, wenn der Zugriff auf PHI bereitgestellt wird
  • Versäumnis, Mitarbeitern Sicherheitsbewusstsein für HIPAA-Schulungen zu vermitteln
  • PHI-Diebstahl
  • Weitergabe von PHI ohne vorherige Genehmigung
  • Falsche Handhabung/unberechtigter Versand von PHI
  • Versäumnis, die Person innerhalb von 60 Tagen nach Entdeckung des Verstoßes über einen Sicherheitsvorfall mit PHI zu informieren
  • Keine Dokumentation von Compliance-Protokollen, -Verfahren und -Management

Was passiert, wenn HIPAA verletzt wird?

Ein HIPAA-Verstoß liegt vor, wenn gegen einen Aspekt der HIPAA-Standards und -Bestimmungen verstoßen wird.

Eine vollständige Übersicht aller HIPAA-Bestimmungen, die vom Büro für Bürgerrechte des Ministeriums für Gesundheit und menschliche Dienste veröffentlicht wurden, finden Sie hier.

Wenn ein Verstoß gemeldet wird, wird das betroffene Unternehmen mit zivil- oder strafrechtlichen Sanktionen belegt – die Strafen können je nach Verstoß erheblich variieren.

In der Regel untersucht das Office for Civil Rights (OCR) des US-Gesundheitsministeriums Verstöße – und es untersucht alle betroffenen Einrichtungen, die Verstöße gegen mehr als 500 Datensätze melden.

Wenn das OCR feststellt, dass ein bestimmter Fall eher kriminell als zivil ist, leitet es ihn an das Justizministerium weiter.

In den meisten Fällen können Einzelpersonen mit einer Zahlung von 100 US-Dollar pro Verstoß rechnen; Bei wiederholten Verstößen können Geldstrafen von bis zu 25.000 US-Dollar verhängt werden.

In Fällen, in denen Einzelpersonen die HIPAA-Vorschriften vorsätzlich missachtet und keinen Versuch unternommen haben, ihre Richtlinien und Verfahren zu korrigieren, kann eine Mindeststrafe von 50.000 USD bis zu einem Höchstbetrag von 1,5 Millionen USD verhängt werden.

In Strafsachen sind geringere Strafen von 50.000 US-Dollar und bis zu einem Jahr Gefängnis möglich – mit einer Geldstrafe von 250.000 US-Dollar und bis zu 10 Jahren Gefängnis als Höchststrafe.

Bei Zivilverfahren werden Verstöße in Stufen eingeteilt, wobei Stufe 4 die schwerste ist.

Sie sind wie folgt:

  • Stufe 1: Ein Verstoß, dessen sich die betroffene Einheit nicht bewusst war und den sie nicht hätte vermeiden können.
  • Stufe 2: Ein Verstoß, dessen sich die betroffene Einheit hätte bewusst sein müssen, den sie aber nicht vermeiden konnte.
  • Tier 3: Ein Verstoß, der als direkte Folge einer vorsätzlichen Fahrlässigkeit aufgetreten ist, bei dem jedoch versucht wurde, den Verstoß zu beheben.
  • Tier 4: Ein Verstoß, der eine vorsätzliche Fahrlässigkeit darstellt, wobei kein Versuch unternommen wurde, den Verstoß zu korrigieren.

Die Strafen für die Nichteinhaltung von HIPAA für jede Stufe sind wie folgt:

  • Stufe 1: Mindeststrafe von 100 US-Dollar pro Verstoß bis zu 50.000 US-Dollar
  • Stufe 2: Mindeststrafe von 1.000 $ pro Verstoß bis zu 50.000 $
  • Tier 3: Mindeststrafe von 10.000 $ pro Verstoß bis zu 50.000 $
  • Stufe 4: Mindeststrafe von 50.000 US-Dollar

Strafverfahren sind etwas anders, mit drei Stufen und weitaus strengeren Strafen als Zivilverfahren.

Sie sind wie folgt:

  • Tier 1: Angemessener Grund oder keine Kenntnis des Verstoßes
  • Tier 2: Erhalten von PHI unter falschem Vorwand
  • Tier 3: Erhalten von PHI zum persönlichen Vorteil oder mit böswilliger Absicht

Kriminelle Strafen:

  • Stufe 1: Bis zu einem (1) Jahr Gefängnis
  • Stufe 2: Bis zu fünf (5) Jahre Gefängnis
  • Tier 3: Bis zu 10 Jahre Gefängnis

Bild eines Mannes mit ausgestreckter Hand und dem Wort HIPAA darüber | Was ist HIPAA?

Kann ich HIPAA-zertifiziert werden?

Zum Zeitpunkt der Erstellung dieses Artikels gibt es keine HIPAA-Compliance-Zertifizierung oder -Verifizierung.

Dritte können eine Form der „HIPAA-Zertifizierung“ anbieten, aber es gibt keine offiziell bestätigte oder vorgeschriebene Zertifizierung, die von HHS angeboten wird.

Es gibt keine Standard- oder Implementierungsspezifikation, die von einer betroffenen Einheit verlangt, die Einhaltung zu „zertifizieren“. Der Bewertungsstandard § 164.308(a)(8) verlangt von betroffenen Unternehmen, regelmäßig eine technische und nicht-technische Bewertung durchzuführen, die feststellt, inwieweit die Sicherheitsrichtlinien und -verfahren eines Unternehmens die Sicherheitsanforderungen erfüllen. Amt für Bürgerrechte (OCR)

Obwohl es keine HIPAA-Zertifizierung gibt, können viele MSSPs von Drittanbietern bei Bedarf regelmäßige Bewertungen durchführen und sicherstellen, dass Sie HIPAA einhalten.

Was ist ein HIPAA-Offizier?

Ein HIPAA-Beauftragter ist ein Compliance-Beauftragter.

Unabhängig davon, ob sie intern oder als Drittanbieter angestellt sind, besteht ihre Hauptaufgabe darin, Ihre HIPAA-Konformität sicherzustellen, indem sie dafür sorgen, dass Ihre Sicherheits- und Datenschutzprotokolle für PHI-Daten korrekt durchgesetzt werden.

In Fällen, in denen keine solche Richtlinie vorhanden ist, ist der HIPAA-Beauftragte für die Entwicklung und Umsetzung eines Compliance-Plans für die Person oder Organisation verantwortlich.

Sie sind dann für die Wartung und Überwachung des Programms, die Untersuchung und Berichterstattung, sofern gesetzlich erforderlich, verantwortlich und stellen sicher, dass die Patienten- oder Kundendaten gemäß den Anforderungen der Landes- und Bundesgesetze geschützt werden.

Was ist der Schlüssel zum Erfolg für die HIPAA-Compliance?

Wenn Sie diesen Artikel gelesen (oder überflogen) haben und Ihren Puls beim Anblick der Strafen für die Nichteinhaltung ein wenig höher schlagen fühlten, dann machen Sie sich keine Sorgen.

Es braucht nicht viel, um sicherzustellen, dass Sie mit HIPAA konform sind, aber es gibt sicherlich einige Schlüssel zum Erfolg für die HIPAA-Compliance, die Organisationen gut tun sollten, um sie zu befolgen.

Zunächst sollten Sie einen Managed Security Service Provider aufsuchen, der HIPAA-Bewertungen durchführt, um Ihre Systeme auf HIPAA-Compliance zu prüfen.

Sobald sie die Risikobewertung durchgeführt haben, können sie die Implementierungen empfehlen und durchführen, die Sie benötigen, um sicherzustellen, dass Sie alles tun, um die Compliance aufrechtzuerhalten.

Was ist eine HIPAA-Risikobewertung?

Verwandter Beitrag: Was passiert während eines Cybersicherheitsrisiko-Audits?

Ein HIPAA-Compliance-Audit ist die Bewertung, die von einem Compliance-Beauftragten durchgeführt wird, der einen tiefen Einblick in Ihre Systeme und Sicherheitsprotokolle nimmt.

Zunächst müssen sie mit Ihnen zusammenarbeiten, um den Umfang der Prüfung festzulegen – hauptsächlich in Bezug auf Ihre Verpflichtungen (in diesem Fall hat HIPAA die höchste Priorität, obwohl Sie möglicherweise auch andere Vorschriften einhalten müssen).

Anschließend erstellen sie einen Zeitplan für die Prüfung und fahren mit der nächsten Stufe fort; Hinrichtung. Dieser Teil umfasst Schwachstellen-Scanning, Penetrationstests und eine Gap-Analyse.

Im Falle einer Risikobewertung für die HIPAA-Compliance ist eine Gap-Analyse unerlässlich, da hier der HIPAA-Compliance-Beauftragte detailliert aufzeigt, was getan werden muss, um Sie oder Ihr Unternehmen in die Compliance zu bringen.

Sobald das HIPAA-Compliance-Audit abgeschlossen ist, gibt der Compliance-Beauftragte seine Empfehlungen ab und Sie können sich ein klares Bild davon machen, was zu tun ist.

Sie können diese Gelegenheit auch nutzen, um die Umsetzung dieser Empfehlungen an den MSSP zu delegieren, in diesem Fall können Sie einen langfristigen Vertrag mit ihm abschließen, der es Ihnen ermöglicht, weiterzumachen und Ihr Geschäft zu führen, während sich der Managed Security Service Provider um die Einhaltung kümmert .

Wenn Sie mehr über die HIPAA-Compliance und darüber erfahren möchten, was ein Managed Security Service Provider für Sie tun kann, werfen Sie einen Blick auf unsere Compliance-Services-Seite.