Definition Was ist die HIPAA-Richtlinie?

Anbieter zum Thema

EBV Elektronik GmbH & Co. KG

Fsas Technologies GmbH

Impossible Cloud GmbH

Die 1996 vom US-Kongress erlassene HIPAA-Richtlinie regelt die Sicherheit und den Datenschutz bei der elektronischen Freigabe persönlicher und vertraulicher Patientendaten sowie den Zugriff von Patienten auf medizinische Datensätze.

HIPAA ist die Abkürzung für Health Insurance Portability and Accountability Act. Die Richtlinie legt nationale Standards fest, welche die Weitergabe sensibler Gesundheitsdaten von Patienten ohne deren Wissen oder Zustimmung verhindern sollen. Im Rahmen der Verordnung wurden Sicherheits- und Datenschutzregeln eingeführt, die Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität geschützter Gesundheitsinformationen vorschreiben.

Die vier Hauptkategorien der HIPAA-Richtlinie

Die HIPAA-Richtlinie unterteilt sich in folgende vier Hauptregeln, die das Fundament für die gesetzeskonforme Datenverarbeitung im medizinischen Bereich bilden:

• Datenschutzregel

• Sicherheitsregel

• Bestimmung zur Benachrichtigung bei Verstößen

• Omnibus-Regel

Die Datenschutzregel erteilt Patienten bestimmte Rechte und Befugnisse bezüglich ihrer Gesundheitsdaten. Darüber hinaus regelt sie, welche weiteren Personen Zugriff auf diese Informationen haben dürfen.

Die Sicherheitsregel umfasst Standards, die den Schutz elektronischer personenbezogener Gesundheitsdaten vor Manipulation und unbefugtem Zugriff gewährleisten sollen. Sie inkludiert administrative, technische und physische Sicherheitsmaßnahmen.

Werden trotz aller Vorsichtsmaßnahmen sensible Gesundheitsdaten unrechtmäßig eingesehen, weitergegeben, gestohlen oder anderweitig gefährdet, kommt die Bestimmung zur Benachrichtigung zum Tragen. Diese besagt, dass der Secretary of Health and Human Service sowie die betroffenen Patienten innerhalb 60 Tagen über den Verstoß zu informieren sind. Betrifft das Vergehen mehr als 500 Patienten, sind sowohl die Strafverfolgungsbehörden als auch die örtliche Presse zu benachrichtigen.

Die seit 2013 bestehende Omnibus-Regel integriert den Genetic Information Nondiscrimination Act (GINA) sowie den Health Information Technology for Economic and Clinical Health Act (HITECH) in die HIPAA-Richtlinie. Sie macht überdies Geschäftspartner betroffener Einrichtungen für Verstöße haftbar.

HIPAA-Regel und Cloud-Anbieter

Laut HIPAA gelten Cloud-Dienstanbieter wie Microsoft ab dem Moment als Geschäftspartner, zu dem eine betroffene Einrichtung deren Dienste in Anspruch nimmt. Gleiches gilt, wenn ein Anbieter von Cloud-Diensten von einem Geschäftspartner mit der Erstellung, Sammlung oder Übertragung von sensiblen Patientendaten beauftragt wird. In diesem Fall wird er zum Subunternehmer und unterliegt damit denselben Complience-Anforderungen wie der Auftraggeber.

Relevanz von HIPAA in Europa

Der Health Insurance Portability and Accountability Act betrifft alle Unternehmen, die mit US-amerikanischen Gesundheitsdienstleistern zusammenarbeiten. Europäische Cloud-Anbieter, die von Kliniken und Pflegeeinrichtungen in den USA zur Speicherung, Verarbeitung und Weitergabe gesundheitsrelevanter Daten genutzt werden, unterliegen ebenso den HIPAA-Bestimmungen wie Gesundheits-Apps und sonstige Softwarelösungen, die von Gesundheitsdiensten in den USA verwendet werden. Gleiches gilt für europäische Labors und Forschungseinrichtungen, die einen Cloud-Dienstleister engagieren, um gewonnene Daten mit ihren amerikanischen Partnern austauschen zu können.

(ID:48168834)