Ultimative Checkliste zur Einhaltung des HIPAA: Wichtige Schritte für Gesundheitsdienstleister

Image of Iron Brands

Veröffentlicht am 22. Juni 2023 und bearbeitet am 15. Aug. 2023 von Iron Brands

Der HIPAA ist ein langer und komplexer Rechtsakt. Wir können hier nur sehr allgemeine Informationen geben. Diese Checkliste ist lediglich als Ausgangspunkt gedacht, um Sie bei der Einhaltung des HIPAA zu unterstützen. Wenn Sie tiefer in die Materie eindringen wollen, müssen Sie einen Rechtsexperten hinzuziehen.

Denken Sie auch daran, dass es beim HIPAA nicht nur um den Datenschutz geht. Das Gesetz enthält Vorschriften über die Sicherheit, die Übertragbarkeit, technische Standards für elektronische Gesundheitsakten und vieles mehr. Die Einhaltung der Privacy Rule allein garantiert noch nicht die Einhaltung des HIPAA als Ganzes. Vergessen Sie den ganzen Rest nicht!

  1. Gilt der HIPAA für mich?
    1. Ist mein Unternehmen oder mein Kunde eine vom HIPAA abgedeckte Einrichtung?
    2. Ist meine Organisation ein Geschäftspartner oder Unterauftragnehmer?
  2. Welche Informationen fallen unter den HIPAA?
  3. Ich bin eine betroffene Einrichtung; was nun?
  4. Ich bin ein Geschäftspartner/Unterauftragnehmer; was nun?
  5. Abschließende Überlegungen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Gilt der HIPAA für mich?

Zunächst einmal müssen Sie herausfinden, ob der HIPAA für Ihre Organisation gilt. Das bedeutet, dass Sie herausfinden müssen, ob Sie ein betroffenes Unternehmen, ein Geschäftspartner oder ein Unterauftragnehmer sind.

Wenn Sie nichts von alledem sind, brauchen Sie sich um den HIPAA keine Sorgen zu machen. Andere Vorschriften für Gesundheitsdaten können jedoch weiterhin gelten (z. B. die Vorschriften des CCPA für sensible Daten).

Ist mein Unternehmen oder mein Kunde eine vom HIPAA abgedeckte Einrichtung?

Abgedeckte Einrichtungen (CEs) gehören zu drei Kategorien:

  • Gesundheitsdienstleister. Dabei handelt es sich um Einzelpersonen, Gruppen oder Organisationen, die im Rahmen ihrer üblichen Tätigkeit medizinische Dienstleistungen, Pflege, Ausrüstung oder Zubehör anbieten.
  • Gesundheitspläne sind Einzel- oder Gruppenpläne, die medizinische Versorgung anbieten oder bezahlen.
  • Clearingstellen im Gesundheitswesen sind sehr kompliziert definiert, aber in der Praxis handelt es sich in der Regel um Vermittler wie Zahlungsanbieter und Mehrwertnetzwerke.

Bitte beachten Sie, dass diese rechtlichen Definitionen mit vielen Ausnahmen verbunden sind. Es ist unmöglich, sie alle zusammenzufassen, daher sollten Sie unbedingt § 160.103 in der konsolidierten Fassung des Gesetzes nachlesen.

Ist meine Organisation ein Geschäftspartner oder Unterauftragnehmer?

AuchGeschäftspartner (BAs) haben Verpflichtungen gemäß den HIPAA- und Datenschutzbestimmungen. Ein Geschäftspartner ist jemand, der einer betroffenen Einrichtung bestimmte Dienstleistungen erbringt und geschützte Gesundheitsinformationen (PHI) von der betroffenen Einrichtung erhält.

Zu den von BAs erbrachten Dienstleistungen gehören Datenanalyse, -verarbeitung und -verwaltung. Die rechtliche Definition umfasst also viele Vermittler, die Dienste der Informationsgesellschaft wie Webhosting und Webanalyse anbieten. Der schwierigste Teil bei der Bestimmung, ob Sie ein BA sind, ist die Beurteilung, ob Ihr Kunde eine vom HIPAA abgedeckte Einrichtung ist (siehe den obigen Abschnitt).

Bitte beachten Sie, dass die Arbeit für eine geschützte Einrichtung und der Zugriff auf PHI kumulative Anforderungen sind. Wenn Sie keine PHI erhalten, dann sind Sie kein BA, unabhängig davon, mit wem Sie arbeiten. Wenn Sie zwar Gesundheitsinformationen verarbeiten, aber keine BA sind und nicht mit einer solchen zusammenarbeiten, brauchen Sie sich auch keine Gedanken über den HIPAA zu machen (andere Rechtsvorschriften wie der CCPA können jedoch für Sie gelten).

Der HIPAA gilt auch für Unterauftragnehmer, die BAs bei der Erbringung ihrer Dienstleistung unterstützen. Sie können sich einen Unterauftragnehmer als den Geschäftspartner eines Geschäftspartners vorstellen.

Welche Informationen fallen unter den HIPAA?

Wenn Sie sich als zertifizierte Einrichtung/Geschäftspartner/Subunternehmer qualifizieren, haben Sie im Rahmen des HIPAA bestimmte Verpflichtungen. Das bedeutet jedoch nicht, dass diese Verpflichtungen alle Daten abdecken, die Sie verarbeiten! Der nächste Schritt besteht also darin, herauszufinden, welche der von Ihnen verarbeiteten Daten zu den PHI gehören und welche nicht.

Drei kumulative Kriterien definieren geschützte Gesundheitsinformationen:

  • a. sie werden von einer erfassten Einrichtung gesammelt
  • b. sie beziehen sich auf die Gesundheit
  • c. sie sind persönlich identifizierbar

Fehlt eine dieser Voraussetzungen, dann verarbeiten Sie keine PHI.

Angenommen, ein Krankenhaus bietet medizinischen Fachkräften ein Seminar über eine neue und innovative Behandlung an und bewirbt das Seminar über seine Website. Die Website verwendet Google Analytics auf der Seite für das Seminar. Handelt es sich hierbei um die Weitergabe von PHI?

Schauen wir uns das genauer an:

  • Ein Krankenhaus ist ein Gesundheitsdienstleister, also ist Anforderung a erfüllt.
  • Google Analytics sammelt Daten, die als personenbezogene Daten im Sinne des HIPAA gelten (Cookie-IDs und möglicherweise IP, je nach Einstellungen und Softwareversion). Bedingung c ist erfüllt
  • Die Tatsache, dass jemand ein Seminar zu diesem Thema besuchen möchte, bedeutet nicht, dass er die Krankheit hat. Vielmehr richtet sich das Seminar an medizinisches Fachpersonal, das wahrscheinlich beruflich an dem Thema interessiert ist. Bedingung b ist NICHT erfüllt

In diesem Fall werden keine PHI weitergegeben. Die Antwort könnte jedoch anders ausfallen, wenn die Seite Informationen für die breite Öffentlichkeit bereitstellen würde, anstatt ein Seminar zu bewerben.

Unterm Strich ist es nicht einfach herauszufinden, welche Informationen PHI sind und welche nicht! Alle drei Anforderungen des HIPAA müssen beachtet werden.

Aber es ist auch sehr wichtig! Der Versuch, alle Daten, die Sie verarbeiten, mit dem HIPAA in Einklang zu bringen, wird für Ihr Unternehmen eine unglaubliche Belastung darstellen. Deshalb ist es von entscheidender Bedeutung, zu bestimmen, welche Daten unter den HIPAA fallen und welche nicht.

Denken Sie daran, dass alle Informationen, die Sie als BA nicht von einem CE erhalten, per Definition keine PHI sein können. Andererseits bedeutet die Tatsache, dass Sie Informationen von einer zuständigen Behörde erhalten, nicht per se, dass es sich um PHI handelt. Auch hier müssen Sie jede Datenkategorie auf der Grundlage der HIPAA-Definition von PHI untersuchen.

Was die Webanalyse betrifft, so finden Sie auf der Website des HHS nützliche Informationen über die Offenlegung von PHI. Wenn Sie sich immer noch nicht zu 100 % sicher sind, was PHI ist und was nicht, lassen Sie sich bitte rechtlich beraten - die Antwort ist für die Einhaltung der Vorschriften wirklich wichtig!

Ich bin eine betroffene Einrichtung; was nun?

Wenn Sie eine geschützte Einrichtung sind, müssen Sie bestimmte Regeln für die Weitergabe von personenbezogenen Daten einhalten .

Einige Offenlegungen sind immer erlaubt, weil sie für die Behandlung des Patienten oder für das Funktionieren des Gesundheitssystems als Ganzes notwendig sind. So können Sie beispielsweise die elektronische Patientenakte an das neue Krankenhaus weitergeben oder die Arztrechnungen an die Krankenkasse des Patienten weiterleiten.

Für jede andere Weitergabe ist eine schriftliche Genehmigung des Patienten erforderlich. Dies ist sehr wichtig, da eine unbefugte Weitergabe nach dem HIPAA strafbar ist!

Der HIPAA enthält detaillierte Vorschriften darüber, was eine schriftliche Genehmigung ist. Als Faustregel gilt, dass es dem Patienten wirklich freistehen muss, die Genehmigung abzulehnen. Es ist nicht erlaubt, einem Patienten Gesundheitsdienstleistungen zu verweigern, um eine Genehmigung zu erpressen!

Übrigens hat das HHS klargestellt, dass das Anklicken von "ok" auf Cookie-Bannern und ähnlichen Pop-ups nicht als Erteilung einer schriftlichen Genehmigung gilt. Wenn Sie einen Online-Dienst wie z. B. einen Webanalysedienst nutzen, können Sie sich nicht auf Pop-ups verlassen, um Ihre Zustimmung einzuholen.

Wenn Sie mit einer BA zusammenarbeiten, benötigen Sie außerdem eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA). Eine BAA ist ein Vertrag, der der BA vorschreibt, was sie mit PHI tun darf und was nicht. Eine BAA enthält Standardklauseln, die vom US-Gesundheitsministerium (Department of Health and Human Services) detailliert beschrieben werden (mehr über diese Klauseln können Sie hier erfahren).

Ich bin ein Geschäftspartner/Unterauftragnehmer; was nun?

Wenn Sie ein Geschäftspartner oder Unterauftragnehmer sind, müssen Sie eine Vereinbarung mit Ihrem Geschäftspartner bzw. der erfassten Einrichtung abschließen.

BAAs verpflichten BAs und Unterauftragnehmer zu ähnlichen Datenschutz- und Sicherheitsstandards wie betroffene Einrichtungen. Bei einer BAA geht es also nicht nur darum, ein paar Papiere zu unterschreiben - Sie müssen den Inhalt im Detail prüfen und sicherstellen, dass Sie alle Anforderungen erfüllen können. Dazu gehören die Beantwortung von Informationsanfragen von Patienten und die Bereitstellung bestimmter Unterlagen.

Wenn Sie eine BAA unterzeichnen, haften Sie für jede Verletzung der Vereinbarung. Sie sollten die Unterzeichnung eines BAA nur dann anbieten, wenn Sie wirklich sicher sind, dass Ihre Organisation Informationen in Übereinstimmung mit dem HIPAA verarbeiten kann. Aus diesem Grund sind viele Dienste, auch sehr große wie Google Analytics, nicht in der Lage, ein BAA zu unterzeichnen! Im Zweifelsfall sollten Sie einen Juristen konsultieren, um jegliche Haftung nach dem HIPAA zu vermeiden.

Es gibt verschiedene HIPAA-Compliance-Zertifizierungen für Dienstanbieter, die bei der Aushandlung von Verträgen mit betroffenen Einrichtungen von Vorteil sein können. Beachten Sie jedoch, dass keine Zertifizierung rechtlich anerkannt ist. Der Nutzen einer Zertifizierung hängt ausschließlich von ihrer Anerkennung in der Branche ab. Bevor Sie Geld für eine Zertifizierung ausgeben, sollten Sie einige Nachforschungen anstellen und einen Rechtsexperten konsultieren.

Schließlich ist noch anzumerken, dass BAs und Unterauftragnehmer in der Regel keine direkte Beziehung zu Patienten haben. Das bedeutet, dass Sie sich bei der Weitergabe von Informationen nicht auf die Genehmigung der Patienten verlassen können.

Abschließende Überlegungen

Die Einhaltung von Vorschriften beginnt immer damit, dass man sich die richtigen Fragen stellt, und das gilt auch für die Einhaltung der Datenschutzbestimmungen des HIPAA. Hier sind einige nützliche Schritte, die Sie durchlaufen können:

  1. Beurteilen Sie, ob Sie ein betroffenes Unternehmen, ein Geschäftspartner, ein Unterauftragnehmer oder keiner der oben genannten sind.
  2. Finden Sie heraus, welche Daten unter den HIPAA fallen und welche nicht
  3. Vergewissern Sie sich, dass Sie die Privacy Rule und die Regeln zur Einschränkung der Offenlegung einhalten
  4. Prüfen Sie, ob alle erforderlichen Vereinbarungen mit Geschäftspartnern vorhanden sind (und stellen Sie sicher, dass Sie diese einhalten können).
  5. (optional) Erwägen Sie eine HIPAA-Zertifizierung durch eine angesehene Einrichtung
  6. Vergessen Sie nicht die anderen Regeln des HIPAA!
  7. Vergessen Sie nicht die anderen Gesetze über Gesundheitsdaten! (CCPA, Meine Gesundheit, meine Daten, usw.)

Auch hier gilt: HIPAA ist ein langer und komplexer Rechtsakt. Dieser Blog enthält nur sehr allgemeine Informationen und ist kein Ersatz für die Meinung eines qualifizierten Fachmanns.

Letztendlich ist die Einhaltung der Vorschriften nicht einfach. Es lohnt sich also, sich zu fragen: Muss ich diese Daten wirklich offenlegen? Vielleicht gibt es vollständig anonymisierte und datenschutzfreundliche Alternativen, die Ihnen eine Menge Compliance-Kopfschmerzen ersparen können.

Simple Analytics kann eine solche Lösung für Ihre Webanalyse sein. Wir verfolgen keine Besucher und sammeln keine sensiblen Daten. Wir verwenden nur IP-Adressen für die Kommunikation; selbst diese minimale Offenlegung kann durch Proxying der Adresse vermieden werden.

Simple Analytics kann leicht HIPAA-konform implementiert werden und erfordert kein BAA. Wenn Ihnen das zusagt, probieren Sie uns doch einfach aus!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten