Das Akronym HIPAA steht für „Health Insurance Portability and Accountability Act“. Dahinter steckt ein US-amerikanisches Gesetz von 1996, das den Umgang mit Gesundheitsinformationen und Patientendaten regelt. Es verpflichtet Einrichtungen, die geschützte Gesundheitsdaten speichern, verarbeiten und übertragen, bestimmte Datenschutzstandards einzuhalten und angemessene Sicherheitsmaßnahmen zum Schutz der Informationen zu ergreifen.

Für die Durchsetzung des Gesetzes ist das US-Department of Health and Human Services (HHS) verantwortlich.

Ziele der HIPAA-Regelungen

Zu den Zielen der HIPAA-Regelungen gehören:

• Verbindliche Richtlinien für die Verwaltung von Gesundheitsdaten schaffen
• Informationsfluss im Gesundheitswesen modernisieren
• Effizienz erhöhen
• Sichere und effektive Interoperabilität (Austausch und Kommunikation zwischen Systemen und Organisationen) ermöglichen
• Portabilität (Möglichkeit, Versorgungsansprüche bei Arbeitgeberwechsel mitzunehmen) gewährleisten und somit Lücken im Krankenversicherungsschutz verhindern

Was besagt der HIPAA?

Die Anforderungen des HIPAA reichen von der Wahrung der Privatsphäre der Patienten* über Sicherheitskontrollen zum Schutz privater Informationen bis hin zu Regeln für den Umgang mit Verstößen und Sicherheitsverletzungen. Das Gesetz besteht aus mehreren Teilen, auch „Rules“ genannt:

• HIPAA-Datenschutzregel (HIPAA Privacy Rule): Dieser Teil regelt, welche Gesundheitsdaten zu schützen sind und definiert die geltenden Datenschutzstandards. Zudem nennt es Ausnahmefälle, in denen Patientendaten auch ohne Zustimmung weitergegeben werden dürfen beziehungsweise müssen. Das ist unter anderem bei Opfern von häuslicher Gewalt, gerichtlichen Verfahren und Organspende der Fall.
• HIPAA-Sicherheitsregel (HIPAA Security Rule): Das HIPAA-Gesetz definiert konkrete Sicherheitsvorkehrungen, die Organisationen zu treffen haben, um Gesundheitsdaten zu schützen und den Zugriff zu steuern. Dazu gehört zum Beispiel, die Grundsätze der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) zu gewährleisten, potenzielle Sicherheitsrisiken und -bedrohungen zu identifizieren und die Mitarbeiter zur HIPAA-Compliance zu schulen.
• HIPAA-Melderegel (Breach Notification Rule): Bei Sicherheitsverstößen sind die Unternehmen dazu verpflichtet, die betroffenen Patienten sowie die Gesundheitsbehörden zu informieren. Die genauen Meldepflichten hängen von der Anzahl der betroffenen Personen ab.

Darüber hinaus beschreibt der HIPAA die Rechte und Pflichten von Behörden bei der Durchsetzung der Regelungen (Enforcement Rule). Ebenso legt der Act Voraussetzungen für die Interoperabilität fest. Dazu gehört unter anderem, dass Gesundheitsdienstleister eindeutig identifizierbar sind.

HIPAA und DSGVO

Der HIPAA wird oft als US-amerikanisches Pendant zur DSGVO (Datenschutz-Grundverordnung der Europäischen Union) für Gesundheitsdaten verstanden. Jedoch gibt es einige wesentliche Unterschiede:

• Die DSGVO bezieht sich auf alle personenbezogenen Daten, während der HIPAA nur Gesundheitsdaten abdeckt.
• Die HIPAA-Regelungen umfassen mehr als nur Datenschutzaspekte. Sie enthalten beispielsweise auch Richtlinien zur Interoperabilität und zu den Rechten von Behörden. Diese gibt es in der DSGVO nicht.
• HIPAA und DSGVO verlangen beide technische und organisatorische Maßnahmen. Im HIPAA sind diese jedoch konkreter definiert als in der DSGVO.

Wenn Sie Gesundheitsdaten aus den USA oder der EU verarbeiten, sollten Sie also genau hinsehen und auf die Details der jeweiligen Regelungen achten.

Beim HIPAA geht es um den Schutz von privaten Patientendaten, die in einem medizinischen Kontext erstellt, empfangen, gespeichert und übertragen werden und die eine individuelle Identifizierung einer Person ermöglichen. Der HIPAA bezeichnet sie als geschützte Gesundheitsinformationen (Protected Health Information, PHI). Damit gemeint sind alle Informationen, die sich auf die Gesundheit einer Person, ihre medizinische Versorgung oder die Bezahlung ihrer medizinischen Versorgung beziehen.

Beispiele für PHI sind:

• Name und Adresse eines Patienten
• Geburts- und Sterbedatum
• Sozialversicherungsnummer
• Kontonummer
• Fotos
• Befunde
• Ärztliche Verordnungen und Rezepte

Die HIPAA-Regelungen gelten für geschützte Gesundheitsinformationen in jeder Form und jedem Medium, ob mündlich, schriftlich, auf Papier oder elektronisch.

Die HIPAA-Anforderungen gelten für Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen für das Gesundheitswesen, die mit geschützten Gesundheitsdaten arbeiten. Sie werden als „Covered Entities“ bezeichnet. Auch alle Geschäftspartner und Unterauftragsnehmer („Business Associates“), die Zugang zu Patientendaten haben und bei der Behandlung, Zahlung oder dem Betrieb unterstützen, müssen die HIPAA-Gesetzesanforderungen erfüllen. Dazu zählen beispielsweise Steuerberater, Rechtsanwälte, IT-Dienstleister, Hosting- und Cloud-Anbieter sowie Abrechnungs- und Dokumentenspeicherungsunternehmen.

Somit fallen unter anderem folgende Unternehmen und Organisationen unter das HIPAA-Gesetz:

• Krankenversicherungsgesellschaften
• Gesundheitsdienstleister (Ärzte, Zahnärzte, Therapeuten, Krankenpfleger etc.)
• Gesundheitseinrichtungen (Krankenhäuser, Kliniken, Pflegeheime etc.)
• Apotheken
• Langzeitpflegeeinrichtungen
• Forschungseinrichtungen
• Öffentliche Gesundheitsbehörden
• Arbeitgeber
• Schulen und Universitäten

Gilt HIPAA auch für ausländische Organisationen?

HIPAA ist ein US-amerikanisches Gesetz, das in erster Linie US-amerikanische Akteure im Gesundheitswesen betrifft. Es kann aber auch für ausländische Organisationen und Unternehmen relevant sein, sobald Gesundheitsdaten von US-Bürgern involviert sind.

Das ist zum einen der Fall, wenn ein ausländisches Unternehmen in den USA tätig ist und US-Patientendaten verarbeitet, zum Beispiel in Zusammenarbeit mit einer US-amerikanischen Gesundheitseinrichtung.

Ein anderer Fall: Sie übermitteln Gesundheitsdaten aus den USA grenzüberschreitend in ein anderes Land. Dann sind alle landesspezifischen Gesetze einzuhalten, also auch die HIPAA-Regelungen.

Gut zu wissen: Die Europäische Kommission hat im Juli 2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des EU-US-Datenschutzschildes) angenommen. Dabei handelt es sich um ein Abkommen zwischen den USA und der EU, das den Schutz von personenbezogenen Daten von EU-Bürgern regelt, die an zertifizierte US-Unternehmen übermittelt werden.

Welche Folgen gibt es bei Nichteinhaltung?

Unternehmen, die zu den „Covered Entities“ gehören und sich nicht an die HIPAA-Gesetzesanforderungen halten, müssen mit hohen zivilrechtlichen Strafzahlungen und/oder empfindlichen strafrechtlichen Sanktionen rechnen. Die Höhe der HIPAA-Strafe hängt von der Schwere des Verstoßes ab. Neben Geldstrafen bis zu 50.000 Dollar pro Verstoß sind auch Haftstrafen möglich. Im Extremfall muss das betroffene Unternehmen den Betrieb einstellen.

Verstöße sind zudem rufschädigend und beeinträchtigen das Vertrauen in das Unternehmen. Laut HIPAA ist das HHS dazu verpflichtet, Verstöße, die 500 oder mehr Personen betreffen, online zu veröffentlichen. Die Liste der Datenschutzverletzungen ist über das Portal des Office for Civil Rights (OCR) aufrufbar und unter dem Spitznamen HIPAA Wall of Shame bekannt. Über das Portal können betroffene Personen auch mögliche Verstöße melden.

HIPAA-Konformität ist nicht nur wichtig, damit Sie hohe Strafen umgehen. Besonders in der Gesundheitsbranche spielt Vertrauen eine entscheidende Rolle. Wenn Sie die HIPAA-Anforderungen erfüllen, können Ihre Kunden darauf vertrauen, dass Sie ihre Daten sicher schützen.

Gesundheitsdaten enthalten zudem extrem wertvolle Informationen, die für Ihr Unternehmen kritisch und auch für Angreifer sehr interessant sind. Neben gesundheitlichen Informationen beinhalten sie nämlich auch Angaben zur Identität einer Person und sensible Finanzdaten. Sie lassen sich zum Beispiel für Identitätsdiebstahl und gezielte Phishing-Attacken verwenden.

Aufgrund der hohen Sicherheitsbedrohungen und ihres hohen Werts sind Gesundheitsdaten somit besonders schützenswert.

7 Elemente eines HIPAA Compliance-Programms

Laut dem HHS braucht es für ein effektives HIPAA Compliance-Programm die folgenden sieben Elemente als Mindestanforderung:

1. Schriftlich festgelegte Richtlinien, Verfahren und Standards
2. Ernennung eines Compliance-Beauftragten
3. Schulung und Training des Personals
4. Entwicklung effektiver Kommunikationswege
5. Regelmäßige interne Überwachungen, Audits und Reportings
6. Durchsetzung von Disziplinarrichtlinien bei Compliance-Verstößen
7. Schnelle Reaktion auf mögliche Sicherheitsverstöße und Umsetzung von Korrekturmaßnahmen

Als der HIPAA 1996 verabschiedet wurde, verwalteten Organisationen Patientendaten hauptsächlich über physische Papierunterlagen. Mit dem technologischen Fortschritt und dem Siegeszug des Internets hielt mit den Jahren immer mehr die elektronische Gesundheitsakte (Electronic Health Record, EHR) Einzug in das Gesundheitswesen. Um diese Entwicklung zu beschleunigen und die Sicherheitsvorkehrungen an die Anforderungen der digitalen Welt anzupassen, wurden die HIPAA-Regelungen mehrfach überarbeitet.

2009 trat schließlich der Health Information Technology for Economic Clinical Health Act (HITECH Act) als Zusatzgesetz zum HIPAA in Kraft. Er soll die Verwendung von EHRs fördern, Papierunterlagen reduzieren und die Kommunikation zwischen Gesundheitssystemen vereinfachen. Gleichzeitig verschärft der HITECH Act die Durchsetzung des Gesetzes, erhöht die Strafen bei Verstößen und erweitert die Datenschutz- und Sicherheitsanforderungen, insbesondere auch für Geschäftspartner der „Covered Entities“. Der HITECH Act wurde 2013 als „HIPAA Omnibus Rule“ in das HIPAA-Gesetz aufgenommen.

Software-Anbieter fallen nicht unter die „Covered Entities“, zählen jedoch zu den relevanten Geschäftspartnern. Das heißt, sie müssen die Voraussetzungen schaffen, damit Organisationen und Unternehmen im Gesundheitswesen ihre Software, zum Beispiel für das Dokumentenmanagement, HIPAA-konform nutzen können.

In den USA kann Software zwar zertifiziert werden, jedoch nicht von einer staatlichen Akkreditierungsstelle. Dies bedeutet auch nicht, dass die Software HIPAA-konform ist, sondern lediglich, dass sie es ermöglicht, gemäß den HIPAA-Anforderungen zu arbeiten. Dementsprechend ist eine Software an sich auch nicht DSGVO-konform. Vielmehr unterstützt sie das DSGVO-konforme Arbeiten durch Konfigurationsmöglichkeiten und die Art und Weise, wie das System genutzt wird.

Dokumentenmanagement im Gesundheitswesen mit SER

Ein Dokumentenmanagement-System (DMS) ist ein wichtiges Tool, um die Verwaltung von Gesundheitsinformationen zu erleichtern. Papierakten gehören damit der Vergangenheit an. In der elektronischen Doxis Patientenakte legen Sie alle relevanten Informationen und Dokumente übersichtlich ab, erstellen individuelle Fallakten, archivieren Laborberichte, Endoskopie-Aufnahmen, Röntgenbilder und weiteres Bildmaterial und können die Krankengeschichte von Patienten jederzeit nachvollziehen.

Dank der vielfältigen Integrationsmöglichkeiten lässt sich Doxis leicht mit anderen Systemen wie KIS, ERP, PACS und RIS verknüpfen, sodass alle Informationen zentral zusammengeführt sind. Auch spezielle Dokumentenarten wie Röntgenbilder können Sie sich direkt im DMS als Vorschau anzeigen lassen. Die Informationen sind zudem über mobile Endgeräte zugreifbar, was beispielsweise die Visite erleichtert.

Ein weiterer Vorteil: Die interne digitale Patientenakte von Doxis bietet eine sichere Anbindung zur elektronischen Patientenakte (ePA), die Krankenkassen in Deutschland ihren Versicherten seit 2021 über App-Lösungen bereitstellen.

Wir bei SER legen großen Wert darauf, eine Lösung anzubieten, die alle branchenspezifischen Standards erfüllt und Ihnen somit auch ein sorgenfreies, DSGVO- und HIPAA-konformes Arbeiten ermöglicht.