Der HIPAA Minimum Necessary Standard: Was es bedeutet, die Regeln einzuhalten

Im Bereich Informationssicherheit stellt das Prinzip der minimalen Rechtevergabe (Principle of least Privilege, POLP) ein Schlüsselkonzept dar: Es hilft Unternehmen, ihre Angriffsfläche für Cyberattacken zu minimieren. Dies erfolgt, indem die Zugriffsrechte der Nutzer auf Quellen auf das Minimum beschränkt werden, das sie benötigen, um ihre Tätigkeit ausführen zu können. Bei diesen Quellen kann es sich um Dateien, Anwendungen, Systeme oder Prozesse handeln.

Das US-amerikanische Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) hat seine eigene Version dieses Prinzips: die sogenannte Minimum Necessary Rule , was sich als die „Regel des notwendigen Minimums“ übersetzen lässt. Dies ist kein Wunder, denn die Anzahl der Datenschutzverletzungen im Gesundheitswesen hat neue Rekordhöhen erreicht: Das Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (HHS) berichtete, dass im Jahr 2021 die geschützten Gesundheitsinformationen (PHI) von 45 Millionen Bürgern offengelegt wurden, was einen Anstieg um 221% im Vergleich zu 2018 darstellt.

Gestohlene Krankenakten und medizinische Daten sind heiße Ware auf dem Schwarzmarkt und werden für bis zu 1000 US-Dollar gehandelt. Jedoch gehen die Konsequenzen von Cyberangriffen für das Gesundheitswesen weit über finanzielle Verluste und Datenschutzverletzungen hinaus, wie das Magazin Arzt & Wirtschaft berichtet. Zerstörte oder fehlerhafte Patientendaten und eine lahmgelegte medizinische Infrastruktur können Leben aufs Spiel setzen.

In diesem Artikel werden wir näher auf die Minimum Necessary Rule eingehen und erklären, wie sie Gesundheitsanbietern helfen kann, das Risiko von PHI-Offenlegungen und  Datenschutzverletzungen einzudämmen.

Was ist die HIPAA Minimum Necessary Rule?

Die HIPAA Minimum Necessary Rule – oder auch HIPAA Minimum Necessary Standard – ist ein Eckpfeiler der HIPAA-Datenschutzbestimmung. Hier eine kleine Zusammenfassung eines unserer früheren Beiträge: Das Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) wurde im Jahr 1996 vom US-Kongress verabschiedet und von Präsident Bill Clinton unterzeichnet und in Kraft gesetzt. Es wurde ursprünglich konzipiert, um mehr amerikanischen Bürgern Krankenversicherungsschutz zu gewähren, einen Verlust der Krankenversicherung beim Wechsel der Arbeitsstelle zu verhindern und Verschwendung, Betrug und Missbrauch bezüglich Krankenversicherungen und Gesundheitsversorgung zu minimieren.

Jedoch hatten Fortschritte im Bereich Technologie bereits neue Risiken für den Datenschutz der personenbezogenen Daten im Gesundheitswesen entstehen lassen. Dies machte es für politische Entscheidungsträger erforderlich, die HIPAA-Datenschutzbestimmung (HIPAA Privacy Rule) einzuführen – die erste nationale Norm zum Schutz von Krankenakten –, Patienten mehr Kontrolle über ihre Gesundheitsinformationen zu bieten und Einschränkungen für die Verwendung und Veröffentlichung derartiger Daten festzulegen. Darüber hinaus statuierte die Datenschutzbestimmung Schutzmaßnahmen, die Gesundheitsdienstleister ergreifen müssen, um die Sicherheit geschützter Gesundheitsdaten gewährleisten zu können.

Das Prinzip der minimalen notwendigen Offenlegung bezieht sich auf §164.514(d) des HIPAA, welcher festlegt, dass geschützte Gesundheitsinformationen (PHI) nicht verwendet oder offengelegt werden sollen, wenn dies nicht ausdrücklich erforderlich ist, um einen legitimen Zweck zu erfüllen oder eine bestimmte Funktion auszuführen. Das Prinzip verlangt, dass unter das HIPAA fallende juristische Personen ihre Praktiken beurteilen und Schutzmaßnahmen nach Bedarf verbessern, um unnötigen oder ungewollten Zugriff auf geschützte Gesundheitsinformationen einzuschränken.

Bei diesen juristischen Personen kann es sich sowohl um Einzelpersonen als auch um Organisationen, wie um Krankenversicherungs- und Gesundheitsversorgungsanbieter oder Clearingstellen, handeln. Das HIPAA Journal erläutert: „Der HIPAA Minimum Necessary Standard bezieht sich auf die Verwendung und Offenlegung von PHI, die gemäß der HIPAA-Datenschutzbestimmung gestattet sind, einschließlich von Zugriffen auf ePHI durch Gesundheitspersonal und Offenlegungen vor Geschäftspartnern und anderen juristischen Personen, die unter das Gesetz fallen. Der Standard gilt ebenfalls für Bitten um geschützte Gesundheitsinformationen durch andere unter das HIPAA-fallende juristische Personen.“

Wie funktioniert der Minimum Necessary Standard?

Als allgemeine Vorgabe der HIPAA-Datenschutzbestimmung müssen unter sie fallende juristische Personen angemessene Anstrengungen unternehmen, um die Verwendung oder Offenlegung von und Bitten um PHI auf ein Minimum zu beschränken, das die Erfüllung des beabsichtigten Zwecks ermöglicht. Der HIPAA Minimum Necessary Standard ist für alle Arten geschützter Gesundheitsinformationen gültig, einschließlich Daten, die in physischen Dokumenten enthalten sind, elektronisch gespeichert sind, als Audioaufnahme existieren oder verbal kommuniziert werden. Die juristischen Personen müssen Sicherheitskontrollen einrichten und aufrechterhalten, um Zugriffe auf ePHI auf das notwendige Minimum zu beschränken, und Zugriffsprotokolle führen. Falls schriftliche Unterlagen vorgelegt werden müssen, die über das nötige Minimum hinausgehende PHI enthalten, sollten die zusätzlichen Informationen zensiert werden, rät das HIPAA Journal.

Bezüglich der Verwendung von geschützten Gesundheitsinformationen müssen die Richtlinien und Verfahren der unter die HIPAA-Datenschutzbestimmung fallenden juristischen Personen definieren, welche Personen oder Personengruppen innerhalb der Organisation Zugriff auf die Informationen benötigen, um so ihrer Arbeit nachkommen zu können, sowie welche genauen Kategorien oder Arten von PHI benötigt werden und unter welchen angemessenen Umständen dieser Zugriff erfolgen kann. So kann z. B. ein Krankenhaus seinen Ärzten, Krankenpflegern und anderen an der Behandlung beteiligten Mitarbeitern den Zugriff auf die vollständige Krankenakte eines Patienten gestatten, ohne dafür eine Einzelfallbewertung für jede Verwendung der Daten ausführen zu müssen. Jedoch müssen die Protokolle des Krankenhauses ausdrücklich nennen, wann und mit welcher Begründung die gesamte Patientenakte offengelegt werden kann.

Im Fall von routinemäßigen und sich wiederholenden Informationsanfragen und -offenlegungen können Standardprotokolle anwendet werden, die die geschützten Gesundheitsinformationen, die geteilt oder erbeten wurden, auf das absolute Minimum beschränken, das zur Ausführung dieser spezifischen Anfragen notwendig ist. Hierfür ist keine Einzelfallbewertung vorgeschrieben. Wenn es jedoch um nicht routinemäßige Anfragen und Offenlegungen geht, müssen die juristischen Personen angemessene Kriterien festlegen, um eine Abschätzung und Beschränkung der Offenlegung auf das nötige Minimum an Informationen zu ermöglichen. Zusätzlich müssen für diese Anfragen Einzelfallbewertungen anhand dieser Kriterien ausgeführt und entsprechende Beschränkungen vorgenommen werden.

In einigen Fällen können die juristischen Personen das Ermessen, welcher Datenumfang nötig ist, der Partei überlassen, die die Informationen erbeten hat. Angemessenes Vertrauen ist gestattet, wenn die Anfrage vonseiten eines Amtsträgers oder einer Behörde, der/die angegeben hat, dass es sich bei den erbetenen Informationen um das Minimum handelt, das für einen unter 45 CFR 164.512 der Bestimmung aufgelisteten Zweck notwendig ist; einer anderen unter die Datenschutzbestimmung fallenden juristischen Person; eines Mitarbeiters oder Geschäftspartners, der über die Informationen verfügt und erklärt hat, dass es sich bei diesen um das notwendige Minimum für den vorliegenden Zweck handelt, oder eines Forschers mit den notwendigen Unterlagen einer Ethik- oder Datenschutzkommission erfolgt.

Insgesamt lässt sich sagen, dass es keine allgemein gültigen Verzeichnisse der Maßnahmen gibt, die die unter die Datenschutzbestimmung fallenden juristischen Personen implementieren sollten, um Compliance mit dem Minimum Necessary Standard zu gewährleisten. Jede Organisation sollte darum bemüht sein, Protokolle zu erstellen, die ihre spezifischen Geschäftspraktiken und die Gegebenheiten ihrer Belegschaft berücksichtigen. Tatsächlich sind die Vorgaben der Minimum Necessary Rule von Natur aus flexibel genug, um unterschiedliche Umstände und Szenarien abzudecken. Politische Entscheidungsträger und insbesondere das US-Ministerium für Gesundheitspflege und Soziale Dienste (HHS) haben außerdem zugesichert, die Praktikabilität der Bestimmung kontinuierlich zu überprüfen, um sicherzustellen, dass sie die Gesundheitsversorgung in keiner Weise behindert oder deren Qualität beeinträchtigt.

Nun stellt sich die Frage: Was sind angemessene Anstrengungen?

Auch dies ist vielseitig interpretierbar. Tatsächlich verlangt der Minimum Necessary Standard, dass die unter ihn fallenden juristischen Personen ihre eigene Beurteilung vornehmen, was das für einen bestimmten Zweck angemessene notwendige Minimum von PHI angeht, und Protokolle und Prozesse dementsprechend anpassen. Laut dem HHS handelt es sich bei der Minimum Necessary Rule nicht um einen absoluten Maßstab, sondern um eine „Norm der Angemessenheit, die eine Vorgehensweise verlangt, die mit den von vielen Anbietern heutzutage bereits genutzten bewährten Methoden und Richtlinien im Einklang ist, um das unnötige Teilen medizinischer Daten einzuschränken“.

Gemäß der im August 2002 veröffentlichten geänderten Verordnung sollte die „Angemessenheit“ der Einschränkung bestimmter Verwendungen oder Offenlegungen auf den folgenden Faktoren basierend entschieden werden:

● Das Ausmaß, in dem die Verwendung oder Offenlegung die Anzahl der Personen mit Zugriff auf die PHI erweitern würde
● Die Wahrscheinlichkeit, dass weitere Verwendungen oder Offenlegungen der geschützten Gesundheitsinformationen stattfinden könnten
● Der Umfang der PHI, die verwendet oder offengelegt werden würden
● Die Wichtigkeit der Verwendung oder Offenlegung
● Das Potenzial, mit dem im Wesentlichen der gleiche Zweck mit anonymisierten Daten erzielt werden könnte
● Die verfügbaren Technologien, mit denen der Umfang der verwendeten oder offengelegten PHI eingeschränkt werden könnte
● Die mit der Einschränkung der Verwendung/Offenlegung verbundenen Kosten
● Sonstige Faktoren, die nach Meinung der juristischen Person für die Entscheidung relevant sind

Wann der Minimum Necessary Standard nicht gilt: 6 Szenarien

Die HIPAA Minimum Necessary Rule gilt nicht für Folgendes:

1. Offenlegungen vor oder Anfragen durch Gesundheitsanbieter(n) zu Behandlungszwecken
2. Offenlegungen vor der Person, die Gegenstand der Informationen ist
3. Verwendungen oder Offenlegungen, die nach der Genehmigung durch eine Person erfolgen
4. Verwendungen oder Offenlegungen, die nötig sind, um den Bestimmungen für die Verwaltungsvereinfachung nachzukommen
5. Offenlegungen vor dem US-Ministerium für Gesundheitspflege und Soziale Dienste (HHS) gemäß der Datenschutzbestimmung für Vollstreckungszwecke
6. Verwendungen oder Offenlegungen, die anderweitig gesetzlich vorgeschrieben sind

Was, wenn Sie mehr als das notwendige Minimum an Informationen geteilt haben?

Leider bedeutet das, dass Sie gegen die HIPAA-Datenschutzbestimmung verstoßen haben. Die daraus resultierenden Sanktionen hängen in erster Linie von zwei Faktoren ab: ob die Offenlegung der Daten absichtlich verübt wurde und wie oft sie erfolgt ist. Wenn es sich um eine vorsätzliche Missachtung handelt, können die zivilrechtlichen Bußgelder von 100 US-Dollar für einen Einzelfall bis hin zu 25.000 US-Dollar für wiederholte Verletzungen derselben Art reichen. Sollte kein vorsätzliches Handeln vorliegen und die Verletzung wird innerhalb von 30 Tagen behoben, werden keine zivilrechtlichen Sanktionen verhängt werden. Dennoch sollte an dieser Stelle unbedingt angemerkt werden, dass HIPAA-Verletzungen je nach Vorsatz auch zu strafrechtlichen Sanktionen in Höhe von bis zu 250.000 US-Dollar in Form von individuellen Geldbußen und einer maximalen Freiheitsstrafe von 10 Jahren führen können.

So setzen Sie die Anforderungen der Minimum Necessary Rule in die Praxis um: 3 nützliche Tipps

1. Dokumentieren Sie alles – und dann noch ein wenig mehr

Beginnen Sie mit dem Verfassen einer schriftlichen Richtlinie, in der Sie klar definieren, worauf die HIPAA Minimum Necessary Rule abzielt, was dies für Ihre Organisation bedeutet und welche Vorkehrungen Sie getroffen haben, um Compliance zu gewährleisten. Führen Sie außerdem alle Systeme auf, die elektronische PHI enthalten und erläutern Sie, auf welche Art von Informationen abhängig von Rollen und Verantwortlichkeiten innerhalb und außerhalb der Organisation zugegriffen werden kann sowie welche Sanktionen bei Nichteinhaltung verhängt werden können.

2. Nutzen Sie differenzierte Zugriffsberechtigungen

Rollenbasierte Zugriffsberechtigungen und differenzierte Kontrollen sind Ihr bester Schutz gegen übermäßiges Teilen von geschützten Gesundheitsinformationen. Wenn Sie Mitarbeitern und Geschäftspartnern nur Zugriff auf bestimmte Informationen und Systeme gestatten, können Sie potenzielle HIPAA-Verletzungen im Keim ersticken. Darüber hinaus ist es wichtig, Protokolle über stattgefundene – oder versuchte – Zugriffe auf PHI zu führen (durch wen und wann diese erfolgt sind) sowie periodische Audits von Protokollen und Zugriffsberechtigungen vorzunehmen.

3. Machen Sie Ihre Mitarbeiter zu Ihren engsten Verbündeten

Wenn Sie Ihre Organisation vor Cyberattacken und gepfefferten HIPAA-Bußgeldern schützen möchten, sollten Sie damit beginnen, eine Kultur der Wachsamkeit zu schaffen. Entwickeln Sie ein Schulungsprogramm für langzeitige und neue Mitarbeiter, sodass alle auf dem gleichen Stand sind, was die erfolgreiche Einhaltung der Minimum Necessary Rule betrifft – egal, in welcher Abteilung die Mitarbeiter tätig sind oder welche Verantwortlichkeiten sie haben. Bewerten Sie in regelmäßigen Abständen, wie effektiv die Compliance-Bemühungen Ihrer Mitarbeiter sind und wie gut sie sich ihr erworbenes HIPAA-Wissen eingeprägt haben.