HIPAA-Datenschutz- und Sicherheitsvorschriften
Die HIPAA-Datenschutz- und Sicherheitsvorschriften sind die wichtigsten US-amerikanischen Bundesstandards für die Nutzung, Offenlegung und den Schutz identifizierbarer Gesundheitsinformationen. Die im Rahmen des Health Insurance Portability and Accountability Act von 1996 erlassene Datenschutzvorschrift legt nationale Standards für die Verwendung und Offenlegung geschützter Gesundheitsinformationen fest und gewährt Einzelpersonen Rechte an ihren Informationen, während die Sicherheitsvorschrift Standards für den Schutz dieser Informationen festlegt, wenn sie elektronisch gespeichert oder übertragen werden.
Definition
Die HIPAA-Datenschutzvorschrift legt nationale Standards für den Schutz individuell identifizierbarer Gesundheitsinformationen fest, die von erfassten Einheiten und ihren Geschäftspartnern gehalten oder übertragen werden, und definiert zulässige Verwendungen und Offenlegungen sowie individuelle Rechte; die HIPAA-Sicherheitsvorschrift legt Standards für die administrativen, physischen und technischen Schutzmaßnahmen fest, die elektronisch geschützte Gesundheitsinformationen schützen.
Scope
Dieser Eintrag erläutert die Struktur und die Kernkonzepte der beiden Vorschriften: die Definition von geschützten Gesundheitsinformationen, die Kategorien der von ihnen gebundenen erfassten Einheiten und Geschäftspartner, die zulässigen Verwendungen und Offenlegungen sowie das Prinzip des Mindestmaßes, die individuellen Zugangs- und Änderungsrechte und die administrativen, physischen und technischen Schutzmaßnahmen, die für elektronische Informationen erforderlich sind. Er behandelt die Vorschriften als regulatorischen Rahmen für Referenz und Bildung und bietet keine Konformitätsbestimmungen für eine bestimmte Organisation oder Situation.
Core questions
- Für welche Organisationen und Informationen gelten die Vorschriften?
- Welche Verwendungen und Offenlegungen von geschützten Gesundheitsinformationen sind ohne individuelle Genehmigung zulässig?
- Welche Rechte haben Einzelpersonen an ihren eigenen Gesundheitsinformationen?
- Welche Schutzmaßnahmen müssen elektronisch geschützte Gesundheitsinformationen schützen?
- Wie verstärken Durchsetzungs- und Verletzungsverpflichtungen die Vorschriften?
Key concepts
- Geschützte Gesundheitsinformationen (PHI)
- Erfasste Einheiten und Geschäftspartner
- Zulässige Verwendungen und Offenlegungen
- Mindestmaß-Standard
- Individuelle Zugangs- und Änderungsrechte
- Administrative, physische und technische Schutzmaßnahmen
- Erforderliche versus adressierbare Spezifikationen der Sicherheitsvorschrift
- Hinweis auf Datenschutzpraktiken
Mechanisms
Die Datenschutzvorschrift funktioniert, indem sie geschützte Gesundheitsinformationen definiert und dann festlegt, wann diese verwendet oder offengelegt werden dürfen: Einige Verwendungen (wie z. B. für Behandlung, Zahlung und Gesundheitsversorgung) sind ohne Genehmigung zulässig, während viele andere die schriftliche Genehmigung der Einzelperson erfordern, und Offenlegungen sind durch das Prinzip des Mindestmaßes eingeschränkt. Sie gewährt auch individuelle Rechte, einschließlich des Zugangs zu den eigenen Aufzeichnungen und der Möglichkeit, Änderungen zu beantragen. Die Sicherheitsvorschrift ergänzt dies, indem sie von erfassten Einheiten und Geschäftspartnern, die elektronisch geschützte Gesundheitsinformationen verarbeiten, verlangt, Risikoanalysen durchzuführen und Schutzmaßnahmen in drei Bereichen zu implementieren: administrativ (Richtlinien, Mitarbeiterschulung, Zugriffsverwaltung), physisch (Einrichtungs- und Gerätekontrollen) und technisch (Zugriffskontrolle, Audit-Kontrollen, Integrität und Übertragungssicherheit). Einige Implementierungsspezifikationen sind obligatorisch und andere sind adressierbar, was eine Flexibilität ermöglicht, die an die Größe und das Risiko einer Organisation angepasst ist. Das Office for Civil Rights setzt beide Vorschriften durch (HHS OCR, 2013; Nass et al., 2009).
Clinical relevance
Die Vorschriften prägen den täglichen Umgang mit Informationen in Pflegeeinrichtungen: wie Aufzeichnungen zur Behandlung geteilt werden, worauf Patienten zugreifen dürfen und unter welchen Schulungen und Kontrollen das klinische Personal arbeitet. Kommentatoren haben argumentiert, dass die Datenschutzvorschrift den angemessenen Austausch von Gesundheitsinformationen bei richtiger Anwendung eher unterstützt als behindert (McDonald, 2009). Dieser Eintrag ist eine Referenzbeschreibung des regulatorischen Rahmens und keine Rechtsberatung oder Konformitätsbestimmung für eine bestimmte Einrichtung.
Evidence & guidelines
Die maßgebliche Quelle ist der Regulierungstext selbst (45 CFR Parts 160 und 164) und die Leitlinien des Office for Civil Rights, die ihn interpretieren (HHS OCR, 2013). Das Institute of Medicine untersuchte, wie die Datenschutzvorschrift die Gesundheitsforschung beeinflusst und empfahl Reformen, um den Datenschutz besser mit dem Nutzen der Forschung in Einklang zu bringen (Nass et al., 2009). Da die Vorschriften und ihre Leitlinien regelmäßig geändert werden, sollten für spezifische Anforderungen aktuelle offizielle HHS-Quellen konsultiert werden.
History
HIPAA wurde 1996 hauptsächlich erlassen, um die Portabilität von Versicherungen und die administrative Vereinfachung zu regeln; ihre Datenschutz- und Sicherheitsbestimmungen wurden Anfang der 2000er Jahre als Vorschriften erlassen, wobei die Datenschutzvorschrift und die Sicherheitsvorschrift 2003 bzw. 2005 in Kraft traten. Der HITECH Act von 2009 erweiterte die Verpflichtungen direkt auf Geschäftspartner, verstärkte die Durchsetzung und fügte Anforderungen zur Benachrichtigung bei Verstößen hinzu, und die Omnibus Rule von 2013 konsolidierte diese Änderungen. Der Rahmen bleibt die Grundlage, an der ein Großteil der US-amerikanischen Gesundheitspraxis gemessen wird (Nass et al., 2009).
Debates
- Wägt die Datenschutzvorschrift den Schutz und die Nutzung von Gesundheitsdaten angemessen ab?
- Einige argumentieren, dass die Vorschrift die Koordinierung der Versorgung und die Forschung unnötig behindert, während andere sie als mit einem angemessenen Austausch von Gesundheitsinformationen vereinbar verteidigen; das Institute of Medicine empfahl gezielte Reformen speziell für den Forschungskontext.
Related topics
- Datenschutz, Sicherheit und Compliance in der Gesundheitstelematik
- Gesundheitsdaten-Lecks und Reaktion auf Vorfälle
- De-Identifizierung und datenschutzfreundliche Datenanalyse
- Internationale Vorschriften und Governance für Gesundheitsdaten
- Vertraulichkeit, Datenschutz und HIPAA in der präklinischen Versorgung
Seminal works
- nass-2009
- mcdonald-2009
Frequently asked questions
- Wer muss die HIPAA-Datenschutz- und Sicherheitsvorschriften befolgen?
- Die Vorschriften binden erfasste Einheiten (die meisten Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen) und ihre Geschäftspartner, die geschützte Gesundheitsinformationen in ihrem Namen erstellen, empfangen, pflegen oder übermitteln. Sie decken nicht direkt jede Organisation ab, die gesundheitsbezogene Daten verarbeitet.
- Was ist der Mindestmaß-Standard?
- Es ist das Prinzip der Datenschutzvorschrift, dass erfasste Einheiten für die meisten Verwendungen und Offenlegungen angemessene Anstrengungen unternehmen müssen, um geschützte Gesundheitsinformationen auf das Mindestmaß zu beschränken, das zur Erfüllung des beabsichtigten Zwecks erforderlich ist, anstatt standardmäßig ganze Aufzeichnungen weiterzugeben.
Methods for this concept
Related concepts
- Datenschutz, Sicherheit und Compliance in der Gesundheitstelematik
- Datenschutz, Datensicherheit und Einhaltung gesetzlicher Vorschriften
- Internationale Vorschriften und Governance für Gesundheitsdaten
- Gesundheitsdaten-Lecks und Reaktion auf Vorfälle
- Vertraulichkeit, Datenschutz und HIPAA in der präklinischen Versorgung
- De-Identifizierung und datenschutzfreundliche Datenanalyse