HIPAA vs. HITECH: Der Unterschied und wie Sie Compliance gewährleisten können

„Es wird eine Explosion im neuen Kongress geben“, erwähnte René Quashie, VP of Digital Health für die Consumer Technology Association, kürzlich im Gespräch mit Politicos Ruth Reader. Er bezog sich damit auf eine ganze Batterie neuer Gesetze, die sich drohend über allem und jedem auftürmen, das oder der Gesundheitsdaten sammelt, handhabt, überträgt oder teilt. Über Parteigrenzen hinweg setzen Gesetzgeber sich dafür ein, den HIPAA – das Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz der US-amerikanischen Regierung – zu stärken, um eine Vielzahl von Gesundheitsinformationen zu schützen, von denen wir zum Zeitpunkt des Inkrafttretens des Bundesgesetzes für den Schutz von Gesundheitsdaten nicht einmal wussten, dass wir jemals über sie verfügen würden.

„Das Gesetz von 1996 besagt, dass die unter es fallenden juristischen Personen und Organisationen – Gesundheitsdienstleister, Versicherungen und Daten-Clearinghäuser – Gesundheitsdaten schützen müssen. Aber von Gesundheits-Apps gesammelte Daten, die alles Mögliche vom Gewichtsverlust bis hin zu Schwangerschaftsinformationen tracken, sind nicht geschützt“, erklärt Politicos Carmen Paun. Sie fügt hinzu: „Genauso wenig wie Internetsuchen nach Symptomen, Krankheiten oder Behandlungsmethoden. Von Fitbits und Apple Watches angehäufte Daten sind ebenfalls nicht geschützt. Das bedeutet, dass sie verkauft oder ohne die Einverständniserklärung des Nutzers geteilt werden können.“ Das Gleiche gilt für die Gesundheitsdaten, die Ärzte mit Patienten in Übereinstimmung mit dem 21st Century Cures Act teilen.

Welche Datenschutz-Gesetzentwürfe letztendlich zu Gesetzen werden und was sie bewirken werden, wird sich noch zeigen. Lassen Sie uns in der Zwischenzeit einen näheren Blick auf die Gesetze werfen, die erfolgreich dafür gesorgt haben, dass Gesundheitsdienstleister elektronische Gesundheitsdaten vor neugierigen Blicken schützen müssen.

In diesem Beitrag werden wir tief in den HITECH Act – kurz für Health Information Technology for Economic and Clinical Health Act – eintauchen, einschließlich seines Ursprungs, der Überlappungen und Unterschiede zwischen HIPAA und HITECH und der Gewährleistung von Compliance mit beiden.

HIPAA: Die Bedeutung und Auswirkungen für die Verfügbarkeit von personenbezogenen Gesundheitsdaten

Wie wir bereits in unseren früheren Beiträgen zum HIPAA Minimum Necessary Standard und zu technischen Sicherheitsmaßnahmen erwähnt haben, wurde das amerikanische Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) 1996 vom US-Kongress verabschiedet und von Präsident Bill Clinton unterzeichnet und in Kraft gesetzt. Sein Hauptzweck bestand darin, Menschen, die ihre Arbeitsstelle gewechselt oder verloren hatten, Krankenversicherungsschutz zu bieten – oder, um genau zu sein, mehr amerikanischen Bürgern Krankenversicherungsschutz zu gewähren, einen Verlust der Krankenversicherung beim Wechsel der Arbeitsstelle zu verhindern und Verschwendung, Betrug und Missbrauch bezüglich Krankenversicherungen und Gesundheitsversorgung zu minimieren.

Aufgrund der rapiden Technologiefortschritte sowie der Risiken, die diese für den Schutz von personenbezogenen Daten im Gesundheitswesen verursacht haben, waren zum Zeitpunkt des Inkrafttretens des Gesetzes seine Bestimmungen bereits mehr oder weniger veraltet. Deshalb wurde im Dezember 2000 die HIPAA-Datenschutzbestimmung (HIPAA Privacy Rule) ins Leben gerufen, gefolgt von der HIPAA-Sicherheitsbestimmung (HIPAA Security Rule) im Februar 2003. Diese Verordnungen legten einen nationalen Standard für den Schutz von persönlich identifizierbaren Gesundheitsinformationen und die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsinformationen (ePHI) fest.

Was ist HITECH? Bedeutung, Zweck und Vorteile

Der HITECH Act 2009 – oder Health Information Technology for Economic and Clinical Health Act – wurde als Teil des American Recovery and Reinvestment Act (ARRA) eingeführt. Das Konjunkturprogramm wurde von der Obama-Regierung ins Leben gerufen und in Kraft gesetzt, um der US-Wirtschaft Starthilfe zu leisten, indem durch die Weltfinanzkrise 2008 gefährdete Jobs gerettet wurden. Als eine seiner wichtigsten Prioritäten zielte der ARRA darauf ab, Investitionen bereitzustellen, die für das Ankurbeln der wirtschaftlichen Effizienz benötigt wurden, indem technologische Fortschritte in den Bereichen Wissenschaft und Gesundheit angetrieben wurden.

Und an dieser Stelle erschien der HITECH Act auf der Bildfläche. Laut dem HIPAA Journal stimmten die fünf Ziele des Gesetzes mit denen des US-Gesundheitssystems überein, nämlich:

1. Die Verbesserung von Qualität, Sicherheit und Effizienz
2. Das Einbeziehen von Patienten in ihre Versorgung
3. Die Verbesserung der Versorgungskoordination
4. Die Verbesserung des Gesundheitszustands der Bevölkerung
5. Die Gewährleistung von Datenschutz und -sicherheit

Um diese Zielsetzungen in die Realität umzusetzen, propagierte das Gesetz die Verwendung von Gesundheitsinformationstechnologie, bot Patienten mehr Kontrolle über ihre Gesundheitsdaten, unterstützte die Übernahme von sogenannten Health Information Exchanges (also Informationsaustauschsystemen im Gesundheitswesen) und stärkte die Datenschutz- und Datensicherheitsvorkehrungen des Health Information Portability and Accountability Act.

ePA-Übernahme: Hat der HITECH Act sein größtes Versprechen eingehalten?

Der HITECH Act hat die Übernahme von elektronischen Patientenakten (ePA) durch Krankenhäuser auf beispiellose Weise vorangetrieben, was einer der wichtigsten Punkte des Gesetzes war. Dies erfolgte, indem Medicaid-Anbietern Erfolgsprämien in Höhe von bis zu 63.750 US-Dollar über 6 Jahre hinweg und Medicare-Anbietern eine maximale Prämie von 44.000 US-Dollar über 5 Jahre hinweg in Aussicht gestellt wurde, wenn sie „zertifizierte ePA“ übernehmen und verwenden.

Studien zeigen, dass vor dem Inkrafttreten des HITECH Act die ePA-Übernahmeraten für berechtigte Krankenhäuser jährlich um bescheidene 3,2% anstiegen. Nach der Einführung des 27-Milliarden-Dollar-Bonusprogramms stieg dieser Wert auf 14,2% und die Prozentzahl der Akutkrankenhäuser, die ePA einsetzen, von 28% im Jahr 2011 auf 84% im Jahr 2015.

HIPAA und HITECH: Eine Erklärung der wichtigsten Unterschiede zwischen den beiden US-Gesundheitsgesetzen

Der Hauptunterschied zwischen dem HIPAA und HITECH Act liegt in der Tatsache, dass ersterer ins Leben gerufen wurde, um die Fortführung von Krankenversicherungsschutz für Arbeitnehmer zu gewährleisten, die sich zwischen zwei Jobs befanden, wohingegen letzterer verabschiedet wurde, um die Übernahme und sinnvolle Nutzung von Gesundheitsinformationstechnologie durch finanzielle Förderung voranzutreiben. Darüber hinaus unterscheiden sich die beiden Gesetze jedoch auch im Hinblick auf die Rechte der Patienten, erklärt das HIPAA Journal.

Vor HITECH hatten Patienten keine Möglichkeit herauszufinden, mit wem ihre ePHI (ihre elektronischen geschützten Gesundheitsinformationen) geteilt worden waren – egal, ob befugt oder unbefugt.

Im Jahr 2011 < a href="https://www.federalregister.gov/documents/2011/05/31/2011-13297/hipaa-privacy-rule-accounting-of-disclosures-under-the-health-information-technology-for-economic" rel="nofollow" target="_blank">bearbeitete das US Department of Health and Human Services jedoch den HIPAA durch die Implementierung der gesetzlichen Vorgabe gemäß HITECH, dass „unter das Gesetz fallende juristische Personen und Organisationen sowie deren Geschäftspartner über Offenlegungen von geschützten Gesundheitsinformationen für die Ausführung von Behandlungen, Zahlungen und Gesundheitsdienstleistungen Rechenschaft ablegen müssen, wenn diese Offenlegungen über eine elektronische Patientenakte erfolgen“.

Noch wichtiger: Wie hat der HITECH Act die HIPAA-Vorschriften untermauert?

Auf mehr als nur eine Weise. In erster Linie hat er die HIPAA-Sicherheitsbestimmung (HIPAA Security Rule) auf Geschäftspartner der unter das Gesetz fallenden juristischen Personen und Organisationen erweitert, erläutert das HIPAA Journal. Somit sind diese Geschäftspartner direkt rechenschaftspflichtig, wenn sie geschützte Gesundheitsinformationen auf irgendeine Weise nutzen oder offenlegen, die über die HIPAA-Genehmigung oder die Vereinbarung zwischen der betreffenden juristischen Person oder Organisation und ihrem Geschäftspartner hinausgeht.

Zweitens – wie wir bereits erwähnt haben – gewährt der HITECH Act Patienten das Recht, von den jeweiligen juristischen Personen und Organisationen zu verlangen, ihre PHI in einem elektronischen Format herauszugeben, wenn sie Gesundheitsakten in diesem Format aufbewahren und die angeforderten Informationen problemlos in diesem elektronischen Format generiert werden können. Dies ist ein Zusatz zu dem Recht der Patienten herauszufinden, an wen ihre PHI weitergereicht wurden und für welchen Zweck.

Eine weitere durch den HITECH Act hervorgerufene Entwicklung ist die sogenannte Breach Notification Rule, also die Meldepflicht von Datensicherheitsverletzungen. Gemäß dieser Regel müssen die betreffenden juristischen Personen und Organisationen sowie deren Geschäftspartner betroffene Personen benachrichtigen, wenn eine Datenschutzverletzung von ungesicherten geschützten Gesundheitsinformationen stattgefunden hat. Wenn 500 oder mehr Patientenakten offengelegt oder kompromittiert wurden, sollten darüber hinaus das US Department of Health and Human Services und die Nachrichtenmedien informiert werden.

HITECH- und HIPAA-Compliance: Vorsicht ist besser als Sanktionen

Der HITECH Act hat außerdem die Bemühungen zur Durchsetzung von HIPAA gestärkt, indem der Mindest- und Maximalbetrag für potenzielle zivile Geldstrafen, die Unternehmen für die Nichteinhaltung von HIPAA- und HITECH-Anforderungen auferlegt werden können, erhöht wurden. Bußgelder für HITECH- und HIPAA-Verletzungen basieren darauf, wie groß die Kenntnis der betreffenden juristischen Person oder Organisation und ihres Geschäftspartners in Bezug auf ihre eigenen Fehler und Versäumnisse war und ob freiwillige Handlungen unternommen wurden, um das nicht-konforme Verhalten zu beheben. HITECH- und HIPAA-Bußgelder sind in vier Kategorien unterteilt:

• Die Organisation hatte keine Kenntnis und hätte auch im Falle des Ausübens angemessener Sorgfalt keine Kenntnis gehabt, dass sie das Gesetz gebrochen hat. Geldstrafen dieser Stufe beginnen ab 100 US-Dollar pro Verstoß.
• Der HITECH- oder HIPAA-Verstoß erfolgte aufgrund einer angemessenen Ursache und ist nicht das Ergebnis bewusster Fahrlässigkeit seitens der Organisation. Das minimale Bußgeld in diesem Fall beträgt 1000 US-Dollar pro Verstoß.
• Der Verstoß erfolgte aufgrund von bewusster Fahrlässigkeit, aber das rechtswidrige Verhalten wurde von der Organisation zeitnah korrigiert. In diesem Fall beginnen die Geldstrafen ab 10.000 US-Dollar pro Verstoß.
• Der HITECH- oder HIPAA-Verstoß war das Ergebnis der bewussten Fahrlässigkeit seitens der juristischen Person oder Organisation und wurde nicht zeitnah berichtigt. Die minimale zivile Geldstrafe hierfür beträgt 50.000 US-Dollar pro Verstoß.

Seit April 2003 wurden beim HHS Office for Civil Rights über 309.475 HIPAA-Beschwerden eingereicht und die Behörde hat 1053 Compliance-Prüfungen in die Wege geleitet. Darüber hinaus wurden in 126 Fällen zivile Geldstrafen in einer Gesamthöhe von 133.519.272 US-Dollar verhängt oder beglichen.

So kurbeln Sie Ihre HIPAA- und HITECH-Compliance an: 4 Tipps plus eine HITECH-Compliance-Checkliste

1. Gehen Sie auf Nummer extra sicher
Um Datenschutzverletzungen zu vermeiden, sollten Gesundheitsdienstleister bedenken, dass die Technologie – egal, ob sie zum Schutz oder Missbrauch der Gesundheitsinformationen verwendet wird – sich stets weiterentwickelt. Aus genau diesem Grund haben die Gesetzgeber die HIPAA-Verschlüsselungsregeln in einem technologieneutralen Wortlaut formuliert, indem sie sie der Kategorie „adressierbarer“ Implementierungsspezifikationen zuordneten.

Aber täuschen Sie sich nicht: „Adressierbar“ bedeutet nicht „schön, es zu haben“. Im Einklang mit den Empfehlungen des HHS sollten Sie erwägen, wie und wie oft Sie ePHI übertragen, ob Verschlüsselung zum Schutz der ePHI bei der Übertragung nötig ist und welche Verschlüsselungsmethoden am besten dazu geeignet wären, riskante E-Mail-Anhänge und Datentransfermethoden zu ersetzen.

2. Legen Sie Richtlinien und Protokolle fest
Wie wir bereits erwähnt haben, hat der HITECH Act für Patienten das Zugriffsrecht auf ihre ePHI untermauert. Insbesondere hat es Personen das Recht zugestanden, eine Kopie ihrer geschützten Gesundheitsinformationen in einem elektronischen Format – insofern die juristische Person oder Organisation solche Akten in einem elektronischen Format verwahrt – anzufordern. Stellen Sie sicher, dass Sie effiziente Verfahren implementieren, um die korrekten Daten aus den korrekten Quellen innerhalb der dafür zugewiesenen Zeitspanne abzurufen und somit derartigen Anforderungen nachkommen zu können.

3. Handeln Sie nach dem „Kenntnis nur, wenn nötig“-Prinzip
Ersticken Sie potenzielle HIPAA- und HITECH-Verstöße im Keim, indem Sie rollenbasierte Zugriffsberechtigungen und differenzierte Kontrollen nutzen und Mitarbeitern und Geschäftspartnern nur Zugriff auf bestimmte Arten von Informationen und Systeme gestatten. Darüber hinaus sollten Sie Protokolle darüber führen, wer auf geschützte Gesundheitsinformationen wann zugegriffen – oder dies versucht – hat, und Ihre Protokolle und Berechtigungen regelmäßigen Prüfungen unterziehen.

4. Machen Sie Ihre Mitarbeiter zu Ihrer vordersten Verteidigungslinie
Es ist unerlässlich, dass die betreffenden juristischen Personen und Organisationen und deren Zulieferer relevante HITECH-Bestimmungen im Zuge der vorgeschriebenen HIPAA-Schulungen, die sie für ihre Mitarbeiter durchführen, adressieren. Die wichtigsten zu behandelnden Themen beinhalten die Breach Notification Rule, mit einem Schwerpunkt darauf, wann ein Sicherheitsvorfall gemeldet werden und wer benachrichtigt werden muss, sowie welche Konsequenzen HIPAA-Verstöße wie das Versäumnis einer Sicherheitsvorfallmeldung nach sich ziehen, einschließlich interner Disziplinarmaßnahmen und ziviler Geldstrafen.

Sie benötigen mehr Hilfe bei der Verbesserung Ihrer HITECH-Compliance? Hier finden Sie eine umfassende HITECH-Compliance-Checkliste, mit der Sie loslegen können. Sind Sie auf der Suche nach einer HIPAA-konformen, verschlüsselten Cloudspeicher- und Datentransferlösung für die Verwaltung Ihrer Gesundheitsdaten?