Unser Rückblick auf die HIPAA-Geschichte beginnt am 21. August 1996, als das Gesetz über die Übertragbarkeit von Krankenversicherungen und die Rechenschaftspflicht (Healthcare Insurance Portability and Accountability Act, HIPAA) in Kraft trat. Warum wurde das HIPAA-Gesetz formuliert?

Das HIPAA-Gesetz wurde formuliert, um „die Übertragbarkeit und Rechenschaftspflicht des Krankenversicherungsschutzes“ für Arbeitnehmer zu verbessern, die ihren Arbeitsplatz wechseln. Weitere Ziele des Gesetzes waren die Bekämpfung von Verschwendung, Betrug und Missbrauch in der Krankenversicherung und bei der Gesundheitsversorgung. Das Gesetz enthielt auch Passagen, die die Nutzung medizinischer Sparkonten durch die Schaffung von Steuervergünstigungen förderten, einen Versicherungsschutz für Arbeitnehmer mit Vorerkrankungen vorsahen und die Verwaltung der Krankenversicherung vereinfachten.

Die Verfahren zur Vereinfachung der Verwaltung der Krankenversicherung wurden zu einem Mittel, um die Gesundheitsbranche zu ermutigen, die Krankenakten der Patienten zu computerisieren. Dieser spezielle Teil des Gesetzes führte 2009 zum Health Information Technology for Economic and Clinical Health Act (HITECH), der wiederum zur Einführung des Meaningful Use Anreizprogramms führte – von führenden Vertretern des Gesundheitswesens als „das wichtigste Gesetz im Gesundheitswesen der letzten 20 bis 30 Jahre“ bezeichnet.

Die Entwicklung der HIPAA-Datenschutz- und Sicherheitsvorschriften beginnt

Nach der Verabschiedung des HIPAA-Gesetzes machte sich das US-Gesundheitsministerium an die Ausarbeitung der ersten HIPAA-Datenschutz- und Sicherheitsvorschriften. Die Privacy Rule trat am 14. April 2003 in Kraft und bezeichnete geschützte Gesundheitsinformationen (Protected Health Information, PHI) als „alle Informationen, die sich im Besitz einer betroffenen Einrichtung befinden und die sich auf den Gesundheitszustand, die Bereitstellung von Gesundheitsleistungen oder die Bezahlung von Gesundheitsleistungen beziehen und mit einer Person in Verbindung gebracht werden können“.

Es wurden Anweisungen gegeben, wie PHI weitergegeben werden sollten und dass die Erlaubnis der Patienten eingeholt werden sollte, bevor ihre persönlichen Daten für Marketing, Spendensammlungen oder Forschung verwendet werden. Außerdem wurde den Patienten die Erlaubnis erteilt, Informationen über ihre Gesundheitsfürsorge gegenüber Krankenversicherern zurückzuhalten, wenn ihre Behandlung privat finanziert wird.

Die HIPAA-Sicherheitsregel wurde zwei Jahre nach der ursprünglichen Gesetzgebung am 21. April 2005 in Kraft gesetzt. Die Sicherheitsregel bezog sich speziell auf elektronisch gespeicherte PHI (ePHI) und legte drei Sicherheitsmaßnahmen – administrative, physische und technische – fest, die vollständig eingehalten werden müssen, um den HIPAA zu erfüllen. Die Sicherheitsmaßnahmen verfolgten folgende Ziele:

• Administrative Maßnahmen – Entwicklung von Richtlinien und Prozessen, die klar angeben, wie die Einrichtung das Gesetz einhalten wird.
• Physisch – Verwaltung des physischen Zugangs zu Bereichen der Datenspeicherung zum Schutz vor unberechtigtem Zugriff
• Technisch – Schutz der Kommunikation, einschließlich der PHI, wenn diese elektronisch über offene Netze gesendet werden

Wann wurde HIPAA durchsetzbar?

In welchem Jahr wurde HIPAA in Kraft gesetzt? Der HIPAA wurde am 21. August 1996 in Kraft gesetzt, aber in den letzten 20 Jahren gab es wichtige Änderungen des HIPAA: Die Einführung der Privacy Rule, der Security Rule, der Breach Notification Rule und der Omnibus Final Rule.

Die wichtigsten Stichtage sind: 14. April 2003 für die HIPAA Privacy Rule, obwohl es eine Verlängerung von 12 Monaten für kleine Gesundheitspläne gab, die die Bestimmungen der HIPAA Privacy Rule bis zum 14. April 2004 einhalten mussten.

Das Datum des Inkrafttretens für die HIPAA Security Rule war der 21. April 2005. Ähnlich wie bei der HIPAA Privacy Rule wurde kleinen Gesundheitsplänen ein zusätzliches Jahr eingeräumt, um die Bestimmungen der HIPAA Security Rule einzuhalten, und das Datum der tatsächlichen Einhaltung war der 21. April 2006.

Die HIPAA Breach Notification Rule wurde am 23. September 2009 und die Omnibus Final Rule wurde am 26. März 2013 in Kraft gesetzt.

Das Inkrafttreten der Enforcement Rule

Das Versäumnis vieler abgedeckter Einrichtungen, die HIPAA-Datenschutz- und Sicherheitsvorschriften vollständig einzuhalten, führte im März 2006 zur Einführung der Enforcement Rule. Die Enforcement Rule gab dem Department of Health and Human Services die Befugnis, Beschwerden gegen betroffene Einrichtungen wegen Nichteinhaltung der Privacy Rule zu prüfen und Geldstrafen für vermeidbare Verletzungen von ePHI zu verhängen, die auf die Nichteinhaltung der in der Security Rule festgelegten Sicherheitsmaßnahmen zurückzuführen sind.

Das Department’s Office for Civil Rights erhielt außerdem die Befugnis, strafrechtliche Anklagen gegen Wiederholungstäter zu erheben, die nicht innerhalb von 30 Tagen Abhilfemaßnahmen ergreifen. Die Bürger haben auch das Recht, zivilrechtlich gegen die betroffene Einrichtung vorzugehen, wenn ihre persönlichen Gesundheitsdaten ohne ihre Zustimmung weitergegeben wurden und ihnen dadurch ein „ernsthafter Schaden“ entsteht.

HITECH 2009 und die Breach Notification Rule

Die Geschichte des HIPAA nahm 2009 mit der Einführung des Health Information Technology for Economic and Clinical Health Act (HITECH) an Fahrt auf. Das Hauptziel von HITECH bestand darin, die Gesundheitsbehörden zur Verwendung elektronischer Patientenakten (EHR) zu verpflichten, und es wurde das Meaningful Use Anreizprogramm eingeführt. Die erste Stufe von Meaningful Use wurde im darauf folgenden Jahr eingeführt, um Anreize für Gesundheitseinrichtungen zu schaffen, die geschützten Gesundheitsdaten von Patienten in elektronischer Form statt in Papierform zu speichern.

Mit dem Anreizprogramm wurden auch die HIPAA-Regeln auf Geschäftspartner und Drittanbieter im Gesundheitswesen ausgedehnt und die Breach Notification Rule eingeführt, die besagt, dass alle Verletzungen von ePHI, die mehr als 500 Personen betreffen, dem Office for Civil Rights des Department of Health and Human Services gemeldet werden müssen. Die Kriterien für die Meldung von Verstößen gegen ePHI wurden dann in der endgültigen Omnibus-Regel vom März 2013 erweitert.

Die endgültige Omnibus-Regel von 2013

Der letzte Rechtsakt in der Geschichte des HIPAA war die endgültige Omnibus-Regel von 2013. Die Vorschrift führte eigentlich keine neuen Gesetze ein, sondern schloss Lücken in den bestehenden HIPAA- und HITECH-Vorschriften – zum Beispiel die Festlegung der Verschlüsselungsstandards, die angewendet werden müssen, um ePHI im Falle eines Verstoßes unbrauchbar, unentzifferbar und unlesbar zu machen.

Viele Definitionen wurden geändert oder erweitert, um Grauzonen zu beseitigen – zum Beispiel wurde die Definition des Begriffs „Arbeitskräfte“ geändert, um klarzustellen, dass der Begriff Angestellte, Freiwillige, Praktikanten und andere Personen umfasst, deren Verhalten bei der Ausführung von Arbeiten für eine betroffene Einrichtung oder einen Geschäftspartner unter der direkten Leitung der betroffenen Einrichtung oder des Geschäftspartners steht.

Die Datenschutz- und Sicherheitsvorschriften wurden auch dahingehend geändert, dass die Gesundheitsdaten von Patienten unbegrenzt aufbewahrt werden dürfen (in der vorherigen Gesetzgebung war eine Aufbewahrungsfrist von 50 Jahren vorgesehen), während neue Verfahren in die Regelung zur Meldung von Verstößen aufgenommen wurden. Außerdem wurden – wie von HITECH vorgeschrieben – neue Strafen für Unternehmen eingeführt, die gegen die HIPAA Enforcement Rule verstoßen.

Es wurden auch Änderungen vorgenommen, um den sich durch den technologischen Fortschritt verändernden Arbeitspraktiken Rechnung zu tragen, insbesondere was die Verwendung mobiler Geräte betrifft. Eine große Zahl von Angehörigen der Gesundheitsberufe nutzt jetzt ihre eigenen mobilen Geräte, um ePHI einzusehen und weiterzugeben, und die endgültige Omnibus-Regelung enthielt neue Verwaltungsverfahren und -richtlinien, um diesem Umstand Rechnung zu tragen und Szenarien zu berücksichtigen, die 1996 noch nicht vorhersehbar waren. Der vollständige Text der Final Omnibus Rule ist hier zu finden.

Nach mehreren Verzögerungen wurde der Termin für die Verwendung der klinischen Modifikation ICD-10-CM für die Kodierung von Diagnosen und des Prozedurenkodierungssystems ICD-10-PCA für die Kodierung von Prozeduren in stationären Krankenhäusern in den Vereinigten Staaten schließlich auf den 1. Oktober 2015 festgelegt. Alle vom HIPAA abgedeckten Einrichtungen müssen ICD-10-CM verwenden. Eine weitere Anforderung ist die der EDI-Version 5010.

HIPAA-Geschichte Wichtige Daten

• August 1996 – HIPAA wird von Präsident Bill Clinton in Kraft gesetzt.
• April 2003 – Datum des Inkrafttretens der HIPAA Privacy Rule.
• April 2005 – Datum des Inkrafttretens der HIPAA Security Rule.
• März 2006 – Datum des Inkrafttretens der HIPAA Breach Enforcement Rule.
• September 2009 – Datum des Inkrafttretens von HITECH und der Breach Notification Rule.
• März 2013 – Datum des Inkrafttretens der endgültigen Omnibus Rule.

Einigen CEs und BAs wurde eine Zeitspanne eingeräumt, um die Bestimmungen der einzelnen Rule einzuhalten. Obwohl das Datum des Inkrafttretens der endgültigen Omnibus-Regel im März 2013 lag, erhielten CEs und BAs 180 Tage Zeit, um die Bestimmungen einzuhalten.

Auswirkungen der endgültigen Omnibus-Regel

Die endgültige Omnibus-Regel hat mehr als alle früheren Gesetze dazu beigetragen, dass sich die betroffenen Einrichtungen der HIPAA-Schutzmaßnahmen, die sie einhalten müssen, stärker bewusst wurden. Viele Einrichtungen des Gesundheitswesens – die fast 20 Jahre lang gegen den HIPAA verstoßen hatten – setzten eine Reihe von Maßnahmen um, um die Vorschriften einzuhalten, z. B. die Verwendung von Datenverschlüsselung auf tragbaren Geräten und Computernetzwerken, die Verwendung von sicheren Messaging-Lösungen für die interne Kommunikation mit Pflegeteams, die Einrichtung von Webfiltern und die sorgfältigere Archivierung von E-Mails.

Die Geldstrafen, die jetzt für Datenschutzverletzungen verhängt werden, sowie die enormen Kosten für die Herausgabe von Benachrichtigungen über Datenschutzverletzungen, die Bereitstellung von Kreditüberwachungsdiensten und die Durchführung von Schadensbegrenzungsmaßnahmen lassen Investitionen in neue Technologien zum Schutz von Daten im Vergleich dazu billig erscheinen.

Das HIPAA-Compliance-Audit-Programm

Im Jahr 2011 begann das Office for Civil Rights eine Reihe von Pilot-Compliance-Audits, um zu überprüfen, wie gut Gesundheitsdienstleister die HIPAA-Datenschutz- und Sicherheitsvorschriften einhalten. Die erste Reihe von Audits wurde 2012 abgeschlossen und zeigte den schockierenden Zustand der Einhaltung der Vorschriften im Gesundheitswesen auf.

Die geprüften Gruppen verzeichneten viele Verstöße gegen die HIPAA Breach Notification Rule, Privacy Rule und Security Rule, wobei letztere zu den meisten Verstößen führte. Die OCR gab Aktionspläne heraus, um diesen Organisationen bei der Einhaltung der Vorschriften zu helfen; es wird jedoch erwartet, dass sie in der zweiten Phase der Audits nicht mehr so nachsichtig sein wird.

Die Audits werden sich voraussichtlich auf bestimmte Bereiche konzentrieren, die sich für so viele Gesundheitsdienstleister als problematisch erwiesen haben, während ein ständiger Auditplan geplant ist, um die kontinuierliche Einhaltung des HIPAA sicherzustellen. Die Zeit der laxen Sicherheitsstandards ist nun vorbei, und das Gesundheitswesen muss, wie zuvor schon der Finanzsektor, die Standards verbessern, um sicherzustellen, dass vertrauliche Daten privat bleiben.

Wer die notwendigen Kontrollen nicht anpasst, muss mit Geldstrafen, Sanktionen, dem möglichen Verlust der Zulassung und sogar strafrechtlichen Verurteilungen rechnen, weil er es versäumt hat, seine ePHI zu schützen.

Wie man die vollständige Einhaltung des HIPAA sicherstellt

Unsere „Checkliste für die Einhaltung des HIPAA“ deckt die Aspekte des Health Insurance Portability and Accountability Act ab, die sich auf die Speicherung, Übertragung und Entsorgung elektronischer geschützter Gesundheitsdaten beziehen, sowie die Maßnahmen, die Outfits ergreifen müssen, um einen Verstoß zu beheben, und die Richtlinien und Verfahren, die für eine vollständige Einhaltung der Vorschriften erforderlich sind.

Die HIPAA-Vorschriften mögen zwar streng sein, doch wird den betroffenen Einrichtungen eine gewisse Flexibilität bei den Datenschutz- und Sicherheitsmaßnahmen zugestanden, die zum Schutz der Daten eingesetzt werden. So muss beispielsweise die Datenverschlüsselung zwar angesprochen, aber nicht unbedingt umgesetzt werden, wenn andere Kontrollen den erforderlichen Schutz gewährleisten.