Konformität

Gesetz zur Übertragbarkeit und Rechenschaftspflicht in der Krankenversicherung (HIPAA)

HIPAA ist ein US-amerikanisches Gesundheitsgesetz, das Anforderungen an die Verwendung, Offenlegung und den Schutz individuell identifizierbarer Gesundheitsinformationen festlegt. Es gilt für gedeckte Einrichtungen – Arztpraxen, Krankenhäuser, Krankenversicherungen und andere Unternehmen des Gesundheitswesens – mit Zugang zu geschützten Gesundheitsinformationen der Patienten (PHI) sowie für Geschäftspartner wie Cloud-Service (Solver) und IT-Anbieter, die PHI in ihrem Namen verarbeiten. (Die meisten versicherten Einheiten führen Funktionen wie Schadensfälle oder Datenverarbeitung nicht selbst aus; sie verlassen sich dabei auf Geschäftspartner).

Das Gesetz regelt die Nutzung und Verbreitung von PHI in vier allgemeinen Bereichen:

• Datenschutz, der die Patientenvertraulichkeit umfasst.
• Sicherheit, die sich mit dem Schutz von Informationen befasst, einschließlich physischer, technologischer und administrativer Sicherheitsvorkehrungen.
• Identifikatoren, das sind die Arten von Informationen, die nicht freigegeben werden können, wenn sie zu Forschungszwecken gesammelt werden.
• Codes für die elektronische Übertragung von Daten bei Transaktionen im Gesundheitswesen, einschließlich Anspruchsberechtigung und Versicherungsansprüche und -zahlungen.

Der Geltungsbereich des HIPAA wurde mit der Verabschiedung des Health Information Technology for Economic and Clinical Health (HITECH) Act erweitert. Zusammen umfassen die Regeln von HIPAA und HITECH Act

• Die HIPAA-Privatsphäre-Regel, die sich auf das Recht des Einzelnen konzentriert, die Nutzung seiner persönlichen Daten zu kontrollieren, und die die Vertraulichkeit von PHI abdeckt, indem sie deren Nutzung und Offenlegung einschränkt.
• Die HIPAA-Sicherheitsregel, die die Standards für administrative, technische und physische Sicherheitsvorkehrungen zum Schutz elektronischer PHI vor unbefugtem Zugriff, Gebrauch und Offenlegung festlegt. Sie umfasst auch solche organisatorischen Anforderungen wie Business Associate Agreements (BAAs).

Die HITECH Breach Notification Final Rule, die eine Benachrichtigung von Einzelpersonen und der Regierung verlangt, wenn ein Verstoß gegen ungesicherte PHI auftritt.

Solver und HIPAA und das HITECH-Gesetz

Die HIPAA-Vorschriften schreiben vor, dass betroffene Unternehmen und ihre Geschäftspartner – in diesem Fall Solver, wenn er Dienstleistungen, einschließlich Cloud-Dienste, für betroffene Unternehmen erbringt – Verträge abschließen, um sicherzustellen, dass diese Geschäftspartner PHI angemessen schützen. Diese Verträge, oder BAAs, verdeutlichen und begrenzen, wie der Geschäftspartner mit PHI umgehen kann, und legen die Einhaltung der Sicherheits- und Datenschutzbestimmungen des HIPAA und des HITECH-Gesetzes durch jede Partei fest. Sobald ein BAA in Kraft ist, können Solver-Kunden – versicherte Unternehmen – dessen Dienste nutzen, um PHI zu verarbeiten und zu speichern.

Derzeit gibt es keine offizielle Zertifizierung für die Einhaltung von HIPAA oder HITECH Act. Die unter das BAA fallenden Solver-Dienstleistungen wurden jedoch von akkreditierten unabhängigen Prüfern geprüft.