Die Health Insurance Portability and Accountability Act Privacy Rule (HIPAA Privacy Rule) ist ein Bundesgesetz, das 1996 erlassen wurde. Es dient dem Schutz der Privatsphäre der Gesundheitsdaten von Einzelpersonen. Die HIPAA Privacy Rule gilt für Gesundheitsdienstleister, Gesundheitspläne und Krankenversicherungen. Sie gilt auch für bestimmte Arbeitgeber und andere Einrichtungen, die mit Gesundheitsdaten umgehen.
Die HIPAA Privacy Rule ist eine Reihe von Bundesvorschriften zum Schutz der Privatsphäre und der Sicherheit von Gesundheitsdaten von Einzelpersonen. Die Regel schreibt vor, dass Gesundheitsinformationen privat und sicher aufbewahrt werden müssen und schränkt den Zugang zu ihnen ein. Außerdem müssen Personen darüber informiert werden, wie ihre Gesundheitsdaten verwendet und geschützt werden.
Geschützte Gesundheitsinformationen (PHI) sind alle Informationen über die Gesundheit einer Person, die zu ihrer Identifizierung verwendet werden können. Dazu gehören Informationen über den vergangenen, gegenwärtigen oder zukünftigen körperlichen oder geistigen Gesundheitszustand, die Behandlung oder Dienstleistungen einer Person. Zu den PHI gehören auch Informationen über die Bezahlung von Gesundheitsleistungen.
Die HIPAA Privacy Rule gilt für Gesundheitsdienstleister, Gesundheitspläne, Krankenversicherungen, bestimmte Arbeitgeber und andere Stellen, die mit Gesundheitsinformationen umgehen. Personen, die unter die Regel fallen, werden als "betroffene Einrichtungen" bezeichnet.
Die HIPAA Privacy Rule verlangt von den betroffenen Einrichtungen, dass sie Maßnahmen zum Schutz der Privatsphäre und der Sicherheit der Gesundheitsdaten von Personen ergreifen. Dazu gehören die Beschränkung des Zugangs zu PHI und die Einführung von Schutzmaßnahmen, um PHI vor unbefugtem Zugang oder unbefugter Verwendung zu schützen.
Verstöße gegen die HIPAA Privacy Rule können zivil- und strafrechtlich geahndet werden. Die zivilrechtlichen Strafen können zwischen 100 und 50.000 Dollar pro Verstoß liegen, wobei die Höchststrafe bei wiederholten Verstößen bei 1,5 Millionen Dollar pro Jahr liegt. Strafrechtliche Sanktionen für Verstöße gegen die Richtlinie können Geld- und Freiheitsstrafen umfassen.
Die HIPAA-Privatsphärenregel ermöglicht es Einzelpersonen, Zugang zu ihren Gesundheitsinformationen zu erhalten und zu kontrollieren, wie diese verwendet und weitergegeben werden. Einzelpersonen haben auch das Recht, Einschränkungen bei der Verwendung oder Weitergabe ihrer Gesundheitsdaten zu verlangen.
Für die Durchsetzung der HIPAA Privacy Rule ist das Office for Civil Rights des Department of Health and Human Services zuständig. Es untersucht Beschwerden, verhängt Strafen und bietet technische Unterstützung an, um den betroffenen Einrichtungen bei der Einhaltung der Regel zu helfen.
Gesundheitsdienstleister können die HIPAA Privacy Rule einhalten, indem sie Richtlinien und Verfahren zum Schutz von PHI einführen. Sie sollten auch das Personal in diesen Richtlinien und Verfahren schulen und Maßnahmen ergreifen, um sicherzustellen, dass sie befolgt werden. Darüber hinaus sollten Gesundheitsdienstleister Sicherheitsvorkehrungen treffen, um PHI vor unbefugtem Zugriff oder unbefugter Nutzung zu schützen.
Es gibt vier technische Sicherheitsvorkehrungen der Sicherheitsvorschrift:
1. Zugangskontrolle: Diese Schutzmaßnahme schreibt vor, dass nur befugte Personen Zugang zu ePHI haben.
2. Audit-Kontrollen: Diese Schutzmaßnahme erfordert, dass Organisationen den Zugang zu ePHI verfolgen und überwachen.
3. Integritätskontrollen: Diese Schutzmaßnahme setzt voraus, dass die ePHI richtig und vollständig sind.
4. Übertragungssicherheit: Diese Schutzmaßnahme erfordert, dass ePHI bei der elektronischen Übermittlung geschützt werden.
Es gibt viele technische Sicherheitsvorkehrungen für PHI, aber zu den gängigsten gehören Verschlüsselung, Zugangskontrolle sowie Datensicherung und -wiederherstellung.
Die fünf Schlüsselelemente des HIPAA sind:
1. administrative Vereinfachung
2. Datenschutz
3. Sicherheit
4. Durchsetzung
5. Meldung von Datenschutzverletzungen
Die Datenschutzrichtlinie enthält drei Schlüsselelemente: (1) die Anforderung, dass die betroffenen Einrichtungen angemessene Sicherheitsvorkehrungen zum Schutz der Vertraulichkeit, Sicherheit und Integrität geschützter Gesundheitsinformationen einrichten und aufrechterhalten müssen; (2) das Verbot, geschützte Gesundheitsinformationen ohne die Genehmigung der betroffenen Person zu verwenden oder weiterzugeben; und (3) die Anforderung, dass die betroffenen Einrichtungen den Personen Zugang zu ihren geschützten Gesundheitsinformationen gewähren müssen.
Die 4 Hauptregeln des HIPAA sind:
1. geschützte Gesundheitsinformationen (PHI) müssen vertraulich behandelt werden.
2. PHI müssen vor unbefugtem Zugriff geschützt werden.
3. PHI dürfen nur für genehmigte Zwecke verwendet werden.
4. PHI müssen vernichtet werden, wenn sie nicht mehr benötigt werden.