Die 9 häufigsten HIPAA-Mythen entlarvt
Das ist nicht wahr. Lassen Sie uns zunächst klären, wann und für wen HIPAA gilt.
Unter den HIPAA fallen folgende Einrichtungen:
-
Gesundheitsdienstleister (Ärzte, Kliniken, Krankenhäuser, Apotheken).
-
Gesundheitspläne (Versicherungsgesellschaften, staatliche Programme wie Medicare)
-
Clearingstellen des Gesundheitswesens (Abrechnungsdienste und kommunale Gesundheitssysteme zur Organisation von Gesundheitsdaten)
Der HIPAA gilt nur für Gesundheitsdaten, die von einer unter den HIPAA fallenden Einrichtung empfangen, gespeichert, verwaltet oder übermittelt werden.
Alle Informationen, die von anderen Gesundheits-Apps, Fitness-Trackern und anderen Geräten dieser Art gesammelt werden, fallen nicht unter den HIPAA. Die einzige Ausnahme ist, wenn Ihnen ein solches Gerät von Ihrem Arzt oder Gesundheitsdienstleister zur Verfügung gestellt wurde.
HIPAA MYTHOS Nr. 2: Die Aufbewahrung von Krankenakten auf gutem alten Papier entbindet uns von der Verpflichtung zur Einhaltung der HIPAA-Datenschutzbestimmungen. HIPAA gilt nur für elektronisch gespeicherte und elektronisch übermittelte Daten.
FAKT: Der HIPAA gilt für alle Gesundheitsdaten, die verarbeitet, gespeichert, übertragen oder offengelegt werden können. Unabhängig von der Art der Daten! Es muss sichergestellt werden, dass alle medizinischen Unterlagen ordnungsgemäß verarbeitet und in angemessener Weise an die Eigentümer*innen der Daten weitergegeben werden, unabhängig davon, ob sie elektronisch oder in Form von Kopien und Faxen übermittelt werden.
Das bedeutet, dass das Vorhandensein von Papierunterlagen Sie nicht von Ihrer Verpflichtung entbindet, die HIPAA-Datenschutzbestimmungen einzuhalten. Außerdem werden im Zeitalter der Digitalisierung fast alle Praxisunterlagen inzwischen elektronisch erfasst und gespeichert. Das Festhalten an Papierakten wird Ihr Unternehmen also nicht voranbringen und Sie auch nicht von Ihren Verpflichtungen zur Einhaltung des HIPAA entbinden.
HIPAA MYTHOS Nr. 3: Gesundheitsdienstleister dürfen die Gesundheitsdaten ihrer Patient*innen erforschen und an andere Mitarbeitende weitergeben.
FAKT: Nach dem HIPAA dürfen Gesundheitsdienstleister persönliche Gesundheitsinformationen nicht ohne die Zustimmung der Patienten an Arbeitgeber weitergeben.
Gesundheitsdienstleister dürfen die geschützten Gesundheitsinformationen (PHI) von Patienten nur an andere Mitarbeitende weitergeben, die diese Informationen für die Behandlung, die Bezahlung oder die Gesundheitsfürsorge benötigen. Dies ist der so genannte „erforderliche Mindeststandard“.
Ein Beispiel: Ein Arzt kann die PHI eines Patienten an eine Krankenschwester weitergeben, die den Patienten pflegt, oder eine Rechnungsabteilung benötigt Zugang zu PHI, um Versicherungsansprüche zu bearbeiten. Dennoch sollten Gesundheitsdienstleister geeignete Maßnahmen ergreifen, um die Vertraulichkeit von PHI zu schützen, z. B. indem sie den Zugang zu PHI auf diejenigen Mitarbeitenden beschränken, welche die Daten für ihre Arbeit benötigen. Außerdem sollten sie physische, technische und administrative Sicherheitsvorkehrungen zum Schutz von PHI treffen. Daten, die im Rahmen von Mitarbeiterbefragungen erhoben werden, gelten jedoch als gesondert erhobene Daten und fallen nicht unter den HIPAA.
HIPAA MYTHOS Nr. 4: Die Weitergabe von Patientendaten an Familienmitglieder ist verboten.
FAKT: Der HIPAA verbietet nicht die Weitergabe von Patientendaten an Familienmitglieder. Informationen können an Freunde und Familienmitglieder weitergegeben werden, wenn der Patient anwesend ist und nicht widerspricht. Wenn der Leistungserbringer überzeugt ist, dass die Weitergabe der Informationen im besten Interesse des Patienten liegt, kann er die Informationen auch weitergeben. Lehnt der Patient die Weitergabe der Informationen an seine Familie oder an eine bestimmte Person eindeutig ab, muss sein Wunsch respektiert jedoch werden.
Ohne die Anwesenheit des Patienten können Informationen nur dann an die Familie des Patienten weitergegeben werden, wenn dieser Urteils-unfähig ist und die Fachkräfte des Gesundheitswesens zu dem Schluss gekommen sind, dass der Patient keine Einwände gegen die Weitergabe seiner Informationen hätte. Weitere Informationen finden Sie in 45 CFR 164.524(c)(3)(ii).
HIPAA MYTHOS Nr. 5: Patienten haben das Recht auf eine Kopie aller ihrer Gesundheitsdaten.
Zunächst einmal sollten wir den Begriff „Krankenakte“ definieren. Eine Krankenakte ist jede Sammlung oder Gruppierung von Informationen über die Gesundheit von Patient*innen, die von einer Einrichtung des Gesundheitswesens oder für diese gesammelt, verwendet, aufbewahrt oder verbreitet werden.
FAKT: Es stimmt, dass die Gesundheitseinrichtungen auf Anfrage der Patienten verpflichtet sind, eine Kopie ihrer Gesundheitsdaten zur Verfügung zu stellen. Es gibt jedoch Informationen, die nicht herausgegeben werden dürfen, wenn davon auszugehen ist, dass die Offenlegung dieser Informationen den Patienten schädigen könnte.
Die beiden Kategorien, die vom Recht auf Zugang ausgeschlossen sind:
-
Psychotherapienotizen, persönliche Notizen des psychosozialen Dienstleisters, die getrennt von anderen medizinischen Unterlagen aufbewahrt werden. Dabei handelt es sich um Notizen, die zur Analyse und Dokumentation des gesamten Inhalts der Patientensitzung dienen.
-
Alle Informationen, die für die Verwendung in zivil-, straf- oder verwaltungsrechtlichen Verfahren erforderlich sind.
FAKT: Die HIPAA-Datenschutzrichtlinie erlaubt die Übermittlung von Krankenakten an andere Ärzte ohne die Zustimmung des Patienten. Dies gilt nicht nur, wenn jemand in der Position eines scheidenden Arztes ist. Ärzte haben das Recht, Patientendaten auch ohne deren Zustimmung für Zwecke der Behandlung, Bezahlung und Gesundheitsversorgung weiterzugeben.
HIPAA MYTHOS Nr. 7: HIPAA gilt nicht für Textnachrichten, nur für E-Mails.
FAKT: Das stimmt nicht. Textnachrichten gelten ebenso wie E-Mails als Formen der elektronischen Kommunikation im Sinne des HIPAA und müssen den HIPAA-Datenschutzbestimmungen entsprechen.
Wenn Ihre Organisation im Gesundheitswesen Textnachrichten versendet, die unverschlüsselte private Gesundheitsdaten enthalten, müssen Sie dies tun:
-
die Patient*innen über die Risiken der Verwendung unverschlüsselter Textnachrichten Gesundheitszwecken warnen
-
die Zustimmung der Patient*innen zur Kommunikation über unverschlüsselte Nachrichten einholen
-
die Zustimmung der Patient*innen und die Einhaltung der Vorschriften durch die Organisation dokumentieren
HIPAA MYTHOS Nr. 8: Es ist verboten, Sie im Wartezimmer mit Namen anzusprechen.
Dies ist eine der häufigsten Unwahrheiten, die in Internetforen kursieren. Es stellt keinen Verstoß gegen den HIPAA dar, wenn ein Patient im Wartezimmer mit seinem Namen angesprochen wird, da keine Gesundheitsinformationen weitergegeben werden. Es liegt jedoch ein Verstoß vor, wenn gleichzeitig sein Gesundheitszustand oder die Maßnahme, die der Patient ergreifen sollte, genannt wird.
HIPAA MYTHOS Nr. 9: Sie als Patient können einen Gesundheitsdienstleister wegen Verletzung des HIPAA verklagen.
Es ist logisch zu denken, dass ein Verstoß gegen das Gesetz eine Klage nach sich ziehen wird. Aber sehen wir uns genauer an, warum dies eine Lüge ist.
FAKT: Sie als Patient können Gesundheitsdienstleister nicht verklagen, selbst wenn gegen die HIPAA-Vorschriften verstoßen wird. Aber in diesem Fall haben Sie das Recht, eine schriftliche Beschwerde einzureichen. Nachdem eine Beschwerde eingereicht wurde, untersucht der Secretary of Health and Human Services die Beschwerde (sofern angemessene Gründe dafür vorliegen) und kann dies nach eigenem Ermessen tun.
Liegt ein Verstoß vor, drohen im besten Fall Geld- und Zivilstrafen für denjenigen, der gegen den HIPAA verstößt.
HIPAA-Mythen entlarvt
Zusammenfassend lässt sich sagen, dass das Verständnis der HIPAA-Vorschriften für den Schutz der Privatsphäre der Patienten und die Datensicherheit im Gesundheitswesen von entscheidender Bedeutung ist. Wir hoffen, dass wir mit der Aufdeckung und Erläuterung dieser neun verbreiteten HIPAA-Mythen für Klarheit und Orientierung gesorgt haben. Denken Sie daran, sich immer von Fachleuten beraten zu lassen, z. B. von unserem Datenschutz-Compliance-Service, und geeignete Maßnahmen zum Schutz von Gesundheitsdaten zu ergreifen. Durch unsere Zusammenarbeit können wir sicherstellen, dass die HIPAA-Vorschriften eingehalten werden und die Privatsphäre Ihrer Patient*innen geschützt wird.