Gepostet: 01.02.2015 | Überarbeitet: 01.02.2015
- Einführung
- Was ist HIPAA?
a. Eine kurze Geschichte der HIPAA
b. Ist HIPAA das einzige Gesetz, das für Gesundheitsinformationen gilt? - Wer muss HIPAA einhalten?
a. Gedeckte Unternehmen
b. Geschäftspartner
c. Subunternehmer
d. Hybride Einheiten - Wer ist nicht verpflichtet, HIPAA einzuhalten?
- Welche Informationen deckt HIPAA ab?
a. Für welche Informationen gilt die HIPAA-Datenschutzregel?
b. Für welche Informationen gilt die HIPAA-Sicherheitsregel? - Welche Informationen fallen nicht unter die HIPAA-Datenschutzregel?
a. Gesundheitsinformationen in Beschäftigungsunterlagen
b. Gesundheitsinformationen in Bildungsunterlagen (größtenteils)
c. Gesundheitsinformationen zu einer Person, die über 50 Jahre verstorben ist
d. Nicht identifizierte Daten - Wie setzt das US-Gesundheitsministerium (HHS) die HIPAA durch?
a. Wann wird HHS eine Beschwerde untersuchen?
b. Wie ermittelt HHS eine Strafe für einen Verstoß?
c. Wenn es eine Geldstrafe gibt, erhält die Person, die die Beschwerde eingereicht hat, Geld?
d. Können Einzelpersonen unter HIPAA klagen? - Ressourcen
1. Einleitung
Fast jeder erkennt die Sensibilität von Gesundheits- und medizinischen Informationen. Datenschutz und Sicherheit von Gesundheitsinformationen sind jedoch komplexe Themen, die sowohl für Patienten als auch für Angehörige der Gesundheitsberufe von Bedeutung sind.
Die Bundesvorschriften, die den Datenschutz und die Sicherheit von Gesundheitsinformationen regeln, werden als HIPAA (Health Insurance Portability and Accountability Act) bezeichnet beauftragte sie. Als Patient ist es wichtig, den Umfang und die Einschränkungen von HIPAA zu verstehen. Dieser Leitfaden enthält Informationen zu den Grundlagen von HIPAA, z. B. für wen HIPAA gilt und welche Informationen darin enthalten sind.
2. Was ist HIPAA?
Das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) ist ein Bundesgesetz, das grundlegende Datenschutz- und Sicherheitsstandards für medizinische Informationen festlegt. Das US-Gesundheitsministerium (HHS) ist die Bundesbehörde, die für die Erstellung von Regeln zuständig ist die HIPAA implementieren und auch HIPAA durchsetzen.
a. Eine kurze Geschichte von HIPAA
- 1996 – Der Kongress verabschiedete das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA).
Die meisten Menschen kennen die HIPAA als Gesetz zum Schutz der Privatsphäre und der Sicherheit. Der ursprüngliche Zweck der HIPAA bestand jedoch darin, Standards für die Übermittlung elektronischer Gesundheitsdaten festzulegen und es den Menschen zu ermöglichen, die Krankenversicherung nach dem Wechsel oder dem Verlust eines Arbeitsplatzes zu übertragen und fortzusetzen.
In Tatsächlich gab es bis 2003 keine nationalen Datenschutzstandards für medizinische Informationen unter HIPAA. Alle Schutzmaßnahmen beruhten auf staatlichem Recht.
- 2003 – Das US-Gesundheitsministerium (HHS) hat die HIPAA-Datenschutzregel, die HIPAA-Sicherheitsregel und die HIPAA herausgegeben und verabschiedet Durchsetzungsregel.
Im Jahr 2003 gab HHS die ersten nationalen Datenschutz- und Sicherheitsbestimmungen im Rahmen der HIPAA heraus.
Die Datenschutzbestimmungen gewähren Einzelpersonen Rechte in Bezug auf ihre geschützten Gesundheitsinformationen (PHI). Außerdem wird erläutert, wie abgedeckte Unternehmen (diejenigen, die die HIPAA einhalten müssen) PHI verwenden und offenlegen können.
Die Sicherheitsregel legt Standards für den Schutz elektronischer PHI fest.
Die Durchsetzungsregel befasst sich mit der Einhaltung, Ermittlungen und möglichen Strafen für Verstöße gegen die HIPAA-Datenschutz- und Sicherheitsregel. Das Amt für Bürgerrechte (OCR) innerhalb von HHS ist für die Durchsetzung der HIPAA-Vorschriften verantwortlich.
- 2009 – Das Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH) wurde unterzeichnet Recht. Der HITECH Act ist Titel XIII des American Recovery and Reinvestment Act (AARA).
Zwischen 2003 und 2009 hat die Technologie die medizinische Datenschutzlandschaft verändert. Elektronische Patientenakten ersetzten Papierakten. Die Patienten begannen, per E-Mail und über Online-Portale mit ihren Ärzten zu kommunizieren. Apotheken begannen, Rezepte elektronisch zu verarbeiten.
Das HITECH-Gesetz schuf finanzielle Anreize für Gesundheitsdienstleister und Versicherer, weiterhin auf elektronische Patientenakten umzusteigen, und ging auch auf Datenschutz- und Sicherheitsbedenken im Zusammenhang mit der elektronischen Übermittlung von Gesundheitsinformationen ein, einschließlich unbefugtem Zugriff und Daten Verstöße.
- 2013 – Das HHS-Amt für Bürgerrechte hat die HIPAA-Omnibus-Regel herausgegeben.
Die HHS-Omnibus-Regel hat mehrere wichtige Änderungen an den Datenschutz-, Sicherheits- und Durchsetzungsbestimmungen der HIPAA vorgenommen Regeln. Es wurden viele Bestimmungen des HITECH-Gesetzes umgesetzt. Es änderte und finalisierte die Regel zur Benachrichtigung über Verstöße. Außerdem wurden Änderungen an der HIPAA-Datenschutzregel vorgenommen, die im Genetic Information Nondiscrimination Act von 2008 (GINA) vorgeschrieben sind.
b. Ist HIPAA das einzige Gesetz, das für Gesundheitsinformationen gilt?
Nein. Das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA) ist nicht das einzige Gesetz, das für Gesundheitsinformationen gilt.
Es gibt Bundesgesetze, die für bestimmte Arten von Gesundheitsinformationen (oder Aufzeichnungen, die Gesundheitsinformationen enthalten) gelten, wie genetische Informationen, Gesundheitsinformationen in Schulunterlagen, identifizierbare Informationen über von der Bundesregierung gepflegte Personen, bestimmte Alkohol- und Aufzeichnungen über Drogenmissbrauch und Informationen zur medizinischen Forschung.
Darüber hinaus können Staaten ihre eigenen Gesetze zum Schutz von Gesundheitsinformationen erlassen, da die HIPAA eine Grundlinie festlegt, anhand derer Staaten strengere Gesetze erstellen können. Weitere Informationen zum staatlichen Recht finden Sie unter HealthInfoLaw.org (ein Projekt des Hirsh Health Law and Policy Program der George Washington University).
3. Wer muss die HIPAA einhalten?
HIPAA schützt nicht alle Gesundheitsinformationen. Sie gilt auch nicht für alle Personen, die Gesundheitsinformationen sehen oder verwenden. HIPAA gilt nur für abgedeckte Unternehmen und deren Geschäftspartner.
a. Abgedeckte Unternehmen
Im Rahmen der HIPAA gibt es drei Arten von versicherten Einrichtungen.
- Gesundheitsdienstleister werden für die Bereitstellung von Gesundheitsleistungen bezahlt. Ärzte, Zahnärzte, Krankenhäuser, Pflegeheime, Apotheken, Notfallkliniken und andere Unternehmen, die Gesundheitsleistungen gegen Bezahlung erbringen, sind Beispiele für Anbieter.
Gesundheitsdienstleister müssen die HIPAA nur einhalten, wenn sie Gesundheitsinformationen im Zusammenhang mit gedeckten Transaktionen elektronisch übermitteln. Die meisten Anbieter übermitteln Informationen elektronisch, um Funktionen wie die Bearbeitung von Ansprüchen auszuführen und Zahlung erhalten. Daher die meisten prov Ider fallen unter die HIPAA. - Krankenversicherungen zahlen die Kosten für die medizinische Versorgung.
Im Folgenden sind Beispiele für Krankenversicherungen aufgeführt, die unter die HIPAA fallen: Krankenkassen, Organisationen zur Erhaltung der Gesundheit (HMOs), Gruppengesundheitspläne gesponsert von einem Arbeitgeber, staatlich finanzierten Gesundheitsplänen wie Medicare und Medicaid und den meisten anderen Unternehmen oder Vereinbarungen, die für die Gesundheitsversorgung bezahlen. - Clearingstellen für das Gesundheitswesen verarbeiten Informationen so, dass sie in einem Standardformat übertragen werden können zwischen gedeckten Unternehmen. Clearingstellen fungieren häufig als Vermittler zwischen Gesundheitsdienstleistern und Gesundheitsplänen, was bedeutet, dass sie sich selten direkt mit Patienten befassen. Beispielsweise kann eine Clearingstelle Informationen von einem Arzt entgegennehmen und in ein standardmäßiges codiertes Format umwandeln, das für Versicherungszwecke verwendet werden kann.
Für weitere Informationen darüber, ob ein Unternehmen unter HIPAA fällt, bietet HHS ein hilfreiches Diagramm.
b. Geschäftspartner
Was ist ein Geschäftspartner? Gesundheitsdienstleister, Gesundheitspläne und Clearingstellen für das Gesundheitswesen sind nur einige der Akteure im Gesundheitsgeschäft. Versicherte Unternehmen stellen Personen und Unternehmen ein oder schließen Verträge mit ihnen ab, um zahlreiche Dienstleistungen zu erbringen.
Ein „Geschäftspartner“ erstellt, empfängt, verwaltet oder überträgt geschützte Gesundheitsinformationen (PHI) im Auftrag eines abgedeckten Unternehmens oder eines anderen Geschäftspartners, der als Subunternehmer fungiert.
Zur Definition eines Geschäftspartners siehe 45 CFR § 160.103.
Was machen Geschäftspartner? Geschäftspartner können für ein gedecktes Unternehmen viele verschiedene Dienstleistungen erbringen, einschließlich (aber nicht beschränkt auf):
- rechtliche
- versicherungsmathematische
- Buchhaltung
- Beratung
- Datenaggregation
- Verwaltung
- Verwaltungsakkreditierung
- Verarbeitung oder Verwaltung von Schadensfällen
- Daten Analyse
- Datenübertragung
- Nutzungsüberprüfung
- Qualitätssicherung
- bestimmte Aktivitäten zur Patientensicherheit
- Abrechnung
- Leistungsmanagement
- Praxismanagement
- Neubewertung.
Geschäftspartner führen häufig Dienstleistungen durch, bei denen keine Patienteninteraktion erforderlich ist. Ein häufiges Beispiel für die Interaktion eines Geschäftspartners mit Patienten ist jedoch ein Unternehmen, das Einzelpersonen im Namen der betroffenen Unternehmen eine persönliche Gesundheitsakte (PHR) anbietet.
Welche Verantwortlichkeiten haben Geschäftspartner? Versicherte Unternehmen müssen schriftliche Verträge mit ihren Geschäftspartnern abschließen, um sicherzustellen, dass sie PHI gemäß den HIPAA-Standards schützen. Geschäftspartner müssen dasselbe mit jedem ihrer Subunternehmer tun, die als Geschäftspartner gelten können. Die HHS-Website enthält weitere Informationen zu Geschäftspartnerbeziehungen sowie Beispielklauseln für Geschäftspartnervereinbarungen.
Geschäftspartner müssen die Verträge einhalten, die sie mit den betroffenen Unternehmen unterzeichnen. Darüber hinaus haften Geschäftspartner direkt für Verstöße gegen die HIPAA-Sicherheitsregel und viele Bestimmungen der HIPAA-Datenschutzregel. Dies bedeutet, dass Geschäftspartner den meisten Datenschutz- und Datensicherheitsstandards unterliegen, die für abgedeckte Unternehmen gelten, und möglicherweise HHS-Audits und Strafen unterliegen.
c. Subunternehmer
Ein Subunternehmer, der im Auftrag eines Geschäftspartners geschützte Gesundheitsinformationen (PHI) erstellt, verwaltet oder überträgt, hat die gleichen rechtlichen Verantwortlichkeiten wie ein Geschäftspartner gemäß HIPAA.Mit anderen Worten, datenschutz- und sicherheitsrelevante rechtliche Verantwortlichkeiten fließen „nachgeschaltet“ an Subunternehmer, die Arbeiten für einen Geschäftspartner ausführen.
Beispielsweise kann der Geschäftspartner eines Krankenhauses ein externes Unternehmen beauftragen, Dokumente zu vernichten, die enthalten PHI oder Bereitstellung eines Cloud-Dienstes zum Speichern der Daten. In beiden Fällen müsste das externe Unternehmen (Subunternehmer) die meisten HIPAA-Regeln als Geschäftspartner einhalten. Es wäre auch an einen Vertrag mit dem Geschäftspartner gebunden und nicht das abgedeckte Unternehmen (oder in diesem Beispiel das Krankenhaus).
d. Hybridunternehmen
Ein Hybridunternehmen führt im Rahmen seines Geschäfts sowohl HIPAA-abgedeckte als auch nicht abgedeckte Funktionen aus Unternehmen, die einen selbstversicherten Krankenversicherungsplan für ihre Mitarbeiter haben, können sich dafür entscheiden, als hybride Einheit behandelt zu werden. Andere Beispiele sind eine Universität mit einem medizinischen Zentrum oder ein Lebensmittelgeschäft mit einer Apotheke.
Wenn eine Organisation wählt, als hybride Einheit behandelt zu werden, nur der Teil der Unternehmen, das eine gedeckte Einheit ist (als Gesundheitskomponente bezeichnet), unterliegt der HIPAA. Hybride Unternehmen müssen sicherstellen, dass die Gesundheitskomponente geschützte Gesundheitsinformationen nicht an eine andere nicht abgedeckte Komponente des Unternehmens weitergibt. Sie müssen auch elektronisch geschützte Gesundheitsinformationen schützen.
4. Wer ist nicht verpflichtet, HIPAA einzuhalten?
Denken Sie daran, dass viele Unternehmen und Personen nicht verpflichtet sind, HIPAA einzuhalten, und es gibt viele Fälle, in denen diesen Personen und Unternehmen Gesundheitsinformationen zur Verfügung stehen HIPAA gilt nur für abgedeckte Unternehmen und deren Geschäftspartner.
Hier sind nur einige Beispiele für diejenigen, die nicht unter HIPAA fallen, aber möglicherweise Gesundheitsinformationen verarbeiten:
- Lebens- und Langzeitversicherungsunternehmen
- Arbeitnehmerentschädigungsversicherer, Verwaltungsbehörden oder Arbeitgeber (sofern sie nicht anderweitig als gedeckte Unternehmen gelten)
- Agenturen, die Sozialversicherungs- und Sozialleistungen erbringen
- Kfz-Versicherungen mit Gesundheitsleistungen
- Suchmaschinen und Websites, die gesundheitliche oder medizinische Informationen bereitstellen und nicht von einem versicherten Unternehmen betrieben werden
- Vermarkter
- wenden sich direkt an Gentestunternehmen für Verbraucher (DTC)
- , die viele mobile Anwendungen (Apps) verwenden d für Gesundheits- und Fitnesszwecke
- diejenigen, die in Apotheken, Einkaufszentren, Gesundheitsmessen oder anderen öffentlichen Orten Vorsorgeuntersuchungen auf Blutdruck, Cholesterin, Ausrichtung der Wirbelsäule und andere
- bestimmte Bedingungen durchführen Heilpraktiker
- die meisten Schulen und Schulbezirke
- Forscher, die Gesundheitsdaten direkt von Gesundheitsdienstleistern erhalten
- die meisten Strafverfolgungsbehörden
- Viele staatliche Stellen, wie z. B. Kinderschutzdienste, bei denen Gesundheitsinformationen für einen Fall wesentlich sind.
itnessstudios und Fitnessclubs
Um mehr darüber zu erfahren, wer von (oder nicht) abgedeckt ist HIPAA, siehe HHS-Leitfäden für Verbraucher.
5. Welche Informationen deckt HIPAA ab?
Um festzustellen, ob HIPAA eine bestimmte Art von Gesundheitsinformationen schützt, ist es am einfachsten, zunächst herauszufinden, ob es ein gedecktes Unternehmen oder einen Geschäftspartner gibt, der / die das Gesetz einhalten muss.
Unter HIPAA sind „Gesundheitsinformationen“ alle Informationen (einschließlich genetischer Informationen), die von einem Gesundheitsdienstleister, einem Gesundheitsplan, einer öffentlichen Gesundheitsbehörde, einem Arbeitgeber, einer Lebensversicherungsgesellschaft, einer Schule oder Universität oder einer Gesundheitsbehörde erstellt oder empfangen werden Pflege-Clearingstelle und bezieht sich auf die vergangene, gegenwärtige oder zukünftige körperliche oder geistige Gesundheit oder den Zustand einer Person;
Gesundheitsinformationen können in jeder Form oder in jedem Medium vorliegen, einschließlich in Papierform, elektronisch oder mündlich.
Wenn eine abgedeckte Entität Gesundheitsinformationen erstellt oder empfängt, die eine Person identifizieren oder zur Identifizierung verwendet werden können, nennt die HIPAA sie „individuell identifizierbar“ Lebensfähige Gesundheitsinformationen. „Individuell identifizierbare Gesundheitsinformationen umfassen demografische und andere Informationen, die eine Person identifizieren, wie Name, Adresse, Geburtsdatum und Sozialversicherungsnummer.
Für genaue Definitionen der darin enthaltenen Begriffe Abschnitt, siehe 45 CFR § 160.103.
a. Für welche Informationen gilt die HIPAA-Datenschutzregel?
Die HIPAA-Datenschutzregel gilt für „geschützte Gesundheitsinformationen“ (PHI), die alle „individuell identifizierbaren Gesundheitsinformationen“ enthalten, die in einem beliebigen Format oder Medium übertragen oder verwaltet werden.
Dies bedeutet, dass Gespräche zwischen einem Patienten und einem Arzt den gleichen Schutz der Privatsphäre haben wie handschriftliche oder elektronische Notizen.
Weitere Informationen zur HIPAA-Datenschutzregel finden Sie unter: Die HIPAA-Datenschutzregel : Wie können abgedeckte Unternehmen Gesundheitsinformationen verwenden und offenlegen?
b. Für welche Informationen gilt die HIPAA-Sicherheitsregel?
Nach der HIPAA-Sicherheitsregel müssen abgedeckte Stellen Datensicherheitsmaßnahmen nur für PHI festlegen, die in elektronischem Format verwaltet werden und als „elektronisch geschützte Gesundheitsinformationen“ (ePHI) bezeichnet werden. Die Sicherheitsregel gilt nicht für PHI, die mündlich oder schriftlich übermittelt werden.
Weitere Informationen zur HIPAA-Sicherheitsregel finden Sie im Informationsblatt 8d zum Schutz von Datenschutzrechten: Schutz von Gesundheitsinformationen: Die HIPAA-Sicherheits- und Verstoßbenachrichtigung Regeln.
6. Welche Informationen fallen nicht unter die HIPAA-Datenschutzregel?
a. Gesundheitsinformationen in Arbeitsunterlagen
HIPAA gilt nicht für Arbeitsunterlagen, selbst wenn diese Aufzeichnungen medizinische Informationen enthalten Enthält Beschäftigungsnachweise, die ein gedecktes Unternehmen in seiner Rolle als Arbeitgeber innehat. Wenn jedoch ein Mitarbeiter eines Gesundheitsdienstleisters ein Patient dieses Anbieters wird, gilt die HIPAA.
Um mehr über medizinische Informationen am Arbeitsplatz zu erfahren, Siehe HHS „Arbeitgeber- und Gesundheitsinformationen am Arbeitsplatz“.
b. Gesundheitsinformationen in Bildungsunterlagen (größtenteils)
Gesundheitsinformationen in Bildungsunterlagen, die dem Gesetz über Rechte und Datenschutz in Bezug auf Familienerziehung (FERPA) unterliegen, gelten gemäß HIPAA nicht als geschützte Gesundheitsinformationen (PHI). Zum Beispiel unterliegen die K-12-Aufzeichnungen eines Kindes, die Informationen über Besuche von Schulkrankenschwestern enthalten, nicht der HIPAA.
Weitere Informationen zu FERPA in Bezug auf Gesundheitsinformationen und HIPAA finden Sie unter: Gemeinsame Leitlinien zur Anwendung des Gesetzes über Familienrechte und Datenschutz (FERPA) und des Gesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen von 1996 (HIPAA) auf Krankenakten und Datenschutz für Schüler 101: Datenschutz in Schulen – Welches Gesetz gilt?
c. Gesundheitsinformationen zu einer Person, die seit über 50 Jahren verstorben ist
Geschützte Gesundheitsinformationen (PHI) enthalten keine Gesundheitsinformationen zu einer Person, die vor mehr als 50 Jahren verstorben ist.
Weitere Informationen zu den Gesundheitsinformationen verstorbener Personen finden Sie auf der HHS-Website.
d. Nicht identifizierte Daten
Nicht identifizierte Daten sind Gesundheitsinformationen mit 18 spezifischen Daten Kennungen entfernt und daher als Person betrachtet, die Gegenstand der Informationen ist dentifizierbar. Dies bedeutet, dass nicht identifizierte Daten nicht durch die HIPAA-Datenschutzregeln geschützt sind, da PHI und abgedeckte Unternehmen sie in größerem Umfang verwenden und offenlegen können.
Nicht identifizierte Daten sind häufig Gegenstand von Debatten, da die Möglichkeit besteht, eine Person erneut zu identifizieren. Prof. Latanya Sweeney hat im Bereich der erneuten Identifizierung erhebliche Arbeit geleistet.
Weitere Informationen zur Entidentifizierung finden Sie in 45 CFR 164.514 und in den HHS-Leitlinien zu Methoden zur Entidentifizierung von Geschützte Gesundheitsinformationen gemäß der HIPAA-Datenschutzregel.
7. Wie setzt HHS HIPAA durch?
Die HIPAA-Durchsetzungsregel ermöglicht es dem Amt für Bürgerrechte (OCR) des US-Gesundheitsministeriums (HHS), potenzielle Verstöße gegen HIPAA zu untersuchen und zivilrechtliche Geldstrafen (CMP) für zu bewerten Verstöße. Generalstaatsanwälte haben auch die Befugnis, die HIPAA-Regeln durchzusetzen. Einzelpersonen haben kein privates Klagerecht im Rahmen der HIPAA und können keinen Verstoß geltend machen.
OCR startet den Durchsetzungsprozess, indem eine Untersuchung möglicher Verstöße gegen die HIPAA-Datenschutz- oder Sicherheitsregeln eingeleitet wird. OCR reagiert auf einzelne Beschwerden, kann jedoch auch auf andere Weise Verstöße gegen die HIPAA feststellen (z. B. bei der Durchführung von Audits). Nach der Untersuchung kann OCR ein Problem beheben, indem festgestellt wird, dass kein Verstoß vorliegt, eine Abwicklungsvereinbarung mit der verantwortlichen Partei geschlossen wird oder festgestellt wird, dass die Partei gegen die Bestimmungen verstößt, und Strafen bewertet werden.
Weitere Informationen zu HIPAA Durchsetzung, siehe Wie OCR die HIPAA-Datenschutz- und Sicherheitsregeln, Durchsetzungsdaten, Durchsetzungshighlights und HIPAA-Durchsetzung durchsetzt.
a. Wann wird HHS eine Beschwerde untersuchen?
Wenn Einzelpersonen Kenntnis von einer möglichen HIPAA-Verletzung haben, können sie eine Beschwerde beim HHS-Büro für Bürgerrechte (OCR) einreichen. Um für eine Untersuchung in Betracht gezogen zu werden, muss eine Beschwerde die folgenden grundlegenden Kriterien erfüllen:
- Wenn die Beschwerde einen potenziellen Verstoß gegen die Datenschutzbestimmungen betrifft, muss die Maßnahme nach April 2003 erfolgt sein. Wenn die Beschwerde einen potenziellen Verstoß betrifft Verstoß gegen die Sicherheitsregeln, die Aktion muss nach April 2005 stattgefunden haben.
- Eine Person muss eine Beschwerde gegen eine Person, Organisation oder andere Einrichtung einreichen, die der HIPAA unterliegt.
- In der Beschwerde muss behauptet werden, dass etwas gegen die HIPAA-Regeln verstoßen würde.
- Einzelpersonen müssen innerhalb von 180 Tagen nach dem Zeitpunkt, zu dem sie von dem möglichen Verstoß wussten (oder hätten wissen müssen), Beschwerden einreichen.
Wenn OCR der Ansicht ist, dass die Beschwerde berechtigt ist, wird die Agentur die Person, die die Beschwerde eingereicht hat, sowie die betroffene betroffene Stelle kontaktieren, um eine gegenseitige Lösung zu erreichen.Einige Angelegenheiten können auf eine Anhörung vor einem Verwaltungsrichter verwiesen werden.
b. Wie ermittelt HHS eine Strafe für einen Verstoß?
Für Verstöße, die nach 2009 aufgetreten sind, ermittelt HHS Strafen für HIPAA-Verstöße auf der Grundlage des Verschuldens des Verstoßes. Die Mindeststrafe variiert, aber die Höchststrafe beträgt 1,5 Millionen US-Dollar pro Jahr für Verstöße gegen dieselbe HIPAA-Bestimmung.
Die vierstufige Struktur der Zivilstrafe sieht wie folgt aus:
Unwissen bedeutet, dass das versicherte Unternehmen von dem Verstoß nichts wusste und es durch angemessene Sorgfalt nicht gewusst hätte.
Ein vernünftiger Grund bedeutet, dass das versicherte Unternehmen von dem Verstoß durch angemessene Sorgfalt erfahren hätte.
Vorsätzliche Vernachlässigung bedeutet, dass das versicherte Unternehmen absichtlich gegen die HIPAA verstoßen oder mit rücksichtsloser Gleichgültigkeit gehandelt, den Verstoß jedoch korrigiert hat innerhalb von 30 Tagen nach Entdeckung.
Vorsätzliche Vernachlässigung – unkorrigiert bedeutet, dass das abgedeckte Unternehmen absichtlich gegen HIPAA verstoßen oder mit rücksichtsloser Gleichgültigkeit gehandelt hat, den Verstoß jedoch nicht innerhalb von 30 Tagen nach Entdeckung korrigiert hat.
c . Wenn es eine Geldstrafe gibt, erhält die Person, die die Beschwerde eingereicht hat, Geld?
Nein. Jedes Geld aus Strafen, das HHS erhebt, wird an das US-Finanzministerium gezahlt.
d. Can Einzelpersonen klagen unter HIPAA?
Nein. Einzelpersonen haben kein Recht, unter HIPAA zu klagen. Die HIPAA hindert Staaten jedoch nicht daran, Gesetze zu verabschieden, die einen verbesserten Schutz bieten. Die George Washington University verfügt über einen Leitfaden, Gesundheitsinformationen und das Gesetz, das Informationen zu staatlichen Gesetzen enthält.
8. Ressourcen
Bundesgesetz
Gesetz über Gesundheitsinformationstechnologie für wirtschaftliche und klinische Gesundheit (HITECH), öffentlich Gesetz 111-5, 2009
Gesetz zur Nichtdiskriminierung genetischer Informationen von 2008 (GINA), (Öffentliches Recht 110-223, 122 Stat. 881)
Bundesvorschriften
HIPAA-Datenschutzregel von 2003 und nachfolgende Änderungen
HHS-Omnibus-Regel, 78 Federal Register, 25. Januar 2013
Staatliche Gesetze und Gesundheitsschutz
George Washington University, Gesundheitsinformationen und die Recht
Nationale Vereinigung der Versicherungskommissare
Ministerium für Gesundheit und menschliche Dienste, Amt für Bürgerrechte
Leitfäden für Verbraucher
Spezielle Themen im Bereich Datenschutz für Gesundheitsinformationen
Vereinbarungen mit Geschäftspartnern
Berechtigungen
Abgedeckte Unternehmen
Arbeitgeber- und Gesundheitsinformationen am Arbeitsplatz