WAS IST HIPAA?

Was ist HIPAA im Wesentlichen und wie können Sie Ihre Softwarelösung an die Vorschriften anpassen? Erfahren Sie mehr in diesem Artikel. 

Unsere Welt wird nach und nach vollständig von digitalen Technologien vereinnahmt, wobei die Nachfrage nach der Entwicklung mobiler Apps weiterhin auf ihrem Höhepunkt bleibt. Um eine gute Kundenreichweite und mehr betriebliche Flexibilität zu erreichen, erhält mittlerweile jedes zweite Unternehmen eine eigene App. Und Gesundheitsorganisationen bilden hier keine Ausnahme. Für den Umgang mit medizinischen Patientendaten müssen jedoch eine Reihe von Anforderungen und gesetzlichen Vorschriften eingehalten werden. 

WAS IST HIPAA?

HIPAA oder Health Insurance Portability and Accountability Act ist ein Regulierungsdokument, das die Regeln für den Austausch und die Verarbeitung privater medizinischer Daten festlegt. Sein Hauptzweck besteht darin, Standards für den Schutz medizinischer Patientendaten festzulegen und die Geheimhaltung privilegierter medizinischer Informationen insgesamt zu regeln. Es wurde erstmals 1996 in den USA mit dem Ziel eingeführt, die Qualität der Portabilität und Berichterstattung in der Krankenversicherung zu verbessern. 

Die HIPAA-Vorschriften garantieren den Patienten, dass alle ihre persönlichen Daten ordnungsgemäß behandelt werden. Zu diesen Informationen gehören: 

• Daten zum Gesundheitszustand einer Person (sowohl physisch als auch psychisch); 
• Verlauf der Besuche in Gesundheitseinrichtungen und der medizinischen Versorgung insgesamt; 
• Finanzielle Vorgeschichte im Zusammenhang mit medizinischen Angelegenheiten; 
• Persönliche Daten des Patienten (Dokumente, Kontaktinformationen, Fotos, alle Informationen zur Identifizierung des Patienten). 

Die vollständige Einhaltung des HIPAA ermöglicht die Einhaltung wichtiger sozialer Normen – Privatsphäre und Vertraulichkeit. Daher sollte das medizinische Personal in der Lage sein, private Patientendaten so zu speichern, dass niemand ohne Zustimmung des Patienten direkt darauf zugreifen kann. Die einzigen Ausnahmen in diesem Fall sind Notfälle, in denen solche Daten zur Rettung eines Menschenlebens erforderlich sind, oder Rechtsansprüche.

Was bedeutet die Einhaltung des HIPAA für Entwickler? 

Wie in jeder anderen Branche ist auch in der Medizin die Einführung digitaler Technologien unerlässlich. Expertenprognosen zufolge wird das Gesamtvolumen des Marktes für medizinische mobile Apps bis 2025 voraussichtlich 11,2 Millionen US-Dollar erreichen. Die Entwicklung von Software für das Gesundheitswesen hat jedoch ihre Besonderheiten. Der zugrunde liegende Aspekt sind geschützte Gesundheitsinformationen (Protected Health Information, PHI). Das bedeutet, dass eine spezielle Methode erforderlich ist, um vertrauliche Informationen zu schützen. 

Es herrscht die allgemeine Auffassung, dass PHI ausschließlich medizinische Informationen wie Diagnosen, Untersuchungsergebnisse, Medikamentenverschreibungen, Gesundheitszustände usw. regelt. Der Standard geht jedoch darüber hinaus und verlangt auch den Schutz von Patientenfotos, vollständigen Namen, E-Mail-Adressen, Telefonnummern und Versicherungsnummern, Krankenversicherungsnummern und ähnlichen Daten. Jede App, die solche Informationen sammelt und speichert, unterliegt gesetzlichen Bestimmungen.

Datenschutzgesetze in den USA 

Wie sich herausstellte, besteht bei Betrügern eine hohe Nachfrage nach geheimen medizinischen Informationen. Diese können dazu verwendet werden, illegale Medikamente zu erwerben oder Menschen zu erpressen. Aufgrund des hohen Risikos einer böswilligen Nutzung privater Gesundheitsdaten hat die US-Regierung eine weitere Schutzverordnung eingeführt – den HITECH Act. 

Der Health Information Technology for Economic and Clinical Health (HITECH) Act trat 2003 mit der Absicht in Kraft, die Effizienz des HIPAA-Gesetzes zu verbessern. Nach und nach wurden auch Partnerunternehmen, die im Auftrag von medizinischen Einrichtungen Zugang zu PHI erhalten, von diesen gesetzlichen Standards erfasst (z. B. benötigen Versicherungsunternehmen persönliche Patientendaten, wenn sie Dienstleistungen zur Anspruchsanalyse anbieten). 

Die rasante Entwicklung der IT-Technologien schuf jedoch die Voraussetzungen für neue HIPAA-konforme Software. Sie ermöglichte es vielen Organisationen, mit Hilfe von Online-Diensten Daten zu sammeln und Datenbanken auf Cloud-basierten Plattformen zu führen. So entstanden im Januar 2013 die Omnibus Rules. Dabei handelt es sich um einen speziellen Anhang zum HIPAA, der die grundlegende Bedeutung des Begriffs „Geschäftspartner“ leicht verändert hat. Nun gelten auch Subunternehmer regulärer Geschäftspartner als vollwertige Partner, die im Auftrag einer medizinischen Einrichtung arbeiten.

PHI & Softwareentwicklung

Mit der Einführung der Omnibus Rules wurde die rechtliche Verantwortung auf Entwickler von Medizin-Apps, Cloud-Dienstleister und Outsourcing-Unternehmen ausgeweitet. Jedes Partnerunternehmen, das auch nur über einen stark eingeschränkten Zugang zu vertraulichen Daten verfügt, fällt unter die HIPAA-Vorschriften. Solche Unternehmen sind verpflichtet, die Daten absolut sicher zu verwahren. 

Um Widersprüche zwischen Geschäftspartnern und Subunternehmern angemessen zu regeln, werden Business Associate Agreements (BAA) abgeschlossen. BAA ist ein Standarddokument auf HIPAA-Basis (im Wesentlichen eine Vereinbarung), das den ausreichenden Schutz von PHI regelt. Amerikanische Organisationen haben hohe Anforderungen an Sicherheitsrichtlinien. Allein im Jahr 2018 gab es laut Statistik 158 Hacking-Vorfälle im Zusammenhang mit Gesundheitsdaten. Aus diesem Grund müssen Entwicklungsunternehmen die HIPAA-Anforderungen strikt einhalten.

WIE WERDEN SIE HIPAA-KONFORM? 

Nicht alle Unternehmen, die Softwarelösungen für medizinische Einrichtungen anbieten, sind verpflichtet, eine spezielle Zertifizierung zu durchlaufen. Nur diejenigen, deren Produkte die Verarbeitung personenbezogener Daten implizieren, müssen die HIPAA-Vorschriften einhalten. Es gibt jedoch keine Regierungsstruktur, die entsprechende Zertifikate ausstellt. Es gibt nur Unternehmen, die Audits, Coachings und praktische Kurse durchführen. 

Sie helfen Dienstleistern, alle Vorschriften zu studieren und die Einhaltung der HIPAA-Software außerhalb der Bücher zu genehmigen. Solche Unternehmen stellen alle erforderlichen theoretischen Unterlagen entsprechend dem Status und der Spezialisierung ihrer Kunden zur Verfügung. Ein Zertifikat wird erst nach Abschluss eines komplexen, aber strukturierten Tests erteilt. Dies ist eine recht vorteilhafte Methode. 

Doch selbst nach Bestehen des Tests ist nur ein bestimmter Dienstleister und niemand sonst für das interne Compliance-Managementsystem verantwortlich. Wie bereits erwähnt, verlangen die meisten US-Einrichtungen die Unterzeichnung von Geschäftspartnerverträgen, sodass jeder unsachgemäße Umgang mit Patientendaten zu erheblichen Verlusten führen kann. Wie die Statistiken zeigen, kommt es in 70 % der Unternehmen mindestens einmal im Jahr zu einem Vorfall im Zusammenhang mit dem unsachgemäßen Umgang mit personenbezogenen Gesundheitsdaten. Stellen Sie sicher, dass Ihre App HIPAA-zertifiziert ist, wenn Sie an einer App für einen Kunden aus dem Gesundheitswesen arbeiten.

HIPAA-konforme Funktionen 

Unternehmen, die HIPAA-konform werden möchten, müssen mehrere neue Verfahren in ihren regulären Arbeitsablauf einführen. Die Datenaufzeichnung wird entscheidend. Die gesamte Dokumentation muss mit äußerster Präzision und Genauigkeit registriert und verwaltet werden. 

Die Gesamtheit der HIPAA-Vorschriften ist in drei Hauptabschnitte unterteilt: 

1. Datenschutzregel 
2. Sicherheitsregel 
3. Regel zur Meldung von Verstößen 

Die Datenschutzregel legt die Vorschriften zum Schutz der Privatsphäre fest. Dieser Standard gewährt Patienten freien Zugang zu ihren persönlichen medizinischen Unterlagen. Auf diese Weise können Patienten alle Prozesse, die ihre Daten betreffen, über eine spezielle Pflege-App verwalten, die HIPAA-konform ist. 

Die Sicherheitsregel definiert eine Reihe von Vorschriften zur Sicherheit und zum Schutz privater digitaler Daten. Dieser Abschnitt ist weiter unterteilt in: Technische, physische und administrative Sicherheitsvorkehrungen. Dies sind sehr wichtige Punkte, die beachtet werden müssen, wenn die Arbeit HIPAA-konformen Cloud Storage umfasst. 

Zu den technischen Sicherheitsvorkehrungen gehören: 

• Zugriffsverwaltung; 
• Management-Audit;
• Organisationsauthentifizierung; 
• Sicherheit der Datenübertragung; 
• Unversehrtheit der Daten.

Zu den physischen Sicherheitsmaßnahmen gehören: 

• Verwaltung des Zugangs zu Einrichtungen; 
• Nutzung von Arbeitsplätzen; 
• Sicherheit von Arbeitsplätzen; 
• Geräte- und Medienverwaltung. 

Zu den administrativen Sicherheitsmaßnahmen gehören: 

• Sicherheitsmanagementprozesse; 
• Ernennung eines Sicherheitsbeauftragten; 
• Mitarbeitersicherheit (einschließlich HIPAA-konformer E-Mails für Mitarbeiter); 
• Datenzugriffsverwaltung; 
• Sicherheitsschulung; 
• Verfahren zur Vorbeugung von Vorfällen; 
• Notfallplan;
• Verwaltungsbewertung;
• Geschäftspartner-Deals und andere Vereinbarungen (einschließlich HIPAA-konformer Textnachrichten). 

Die Meldepflicht bei Datenschutzverletzungen fasst Vorschriften zu Datenlecks zusammen. Dieser Abschnitt verpflichtet Unternehmen, die unter die Datenschutz- und Sicherheitsrichtlinie fallen, die Regierung rechtzeitig über alle Lecks personenbezogener medizinischer Daten zu informieren. Unternehmen müssen eine festgelegte Reihenfolge und Form der Benachrichtigung einhalten. Ein Verstoß gegen die HIPAA kann zu einer hohen Geldstrafe führen. 

Die Einführung von Verfahren, die die Anzahl der Mitarbeiter mit direktem Zugriff auf Patientendaten begrenzen, ist eine komplexe, aber notwendige Aufgabe für jedes Unternehmen, das die HIPAA-Vorschriften einhalten möchte.

Kosten für die Entwicklung HIPAA-konformer Apps 

Organisationen, die Partner für die Entwicklung HIPAA-konformer Apps suchen, haben eine recht große Auswahl an Kandidaten. Derzeit stellen viele Entwicklungsunternehmen fest, dass der ordnungsgemäße Umgang mit persönlichen Dokumenten und Daten durchaus seine Vorteile hat und die Kosten für die Erlangung der HIPAA-Konformität angemessen sind. 

Was die finanzielle Seite der Frage betrifft, so kann die Entwicklung von HIPAA-konformen Apps mit bescheidener Funktionalität, die für kleine medizinische Einrichtungen gedacht sind, letztlich 4.000 bis 12.000 US-Dollar kosten. Bei größeren Projekten muss das gesamte Spektrum der Anforderungen berücksichtigt werden, einschließlich der Einführung von Risikoanalyse und -management, Sicherheitsschulungen, Richtlinienentwicklung, Fehlersuche usw. Solche HIPAA-konformen Apps können bei 50.000 US-Dollar beginnen.

ZUSAMMENFASSUNG 

Der Schutz personenbezogener Daten umfasst eine ganze Reihe von Maßnahmen, die darauf abzielen, die Sicherheit der Kunden zu gewährleisten. Unternehmen, die in dieser Hinsicht gut aufgestellt sind, waren ihren Mitbewerbern immer mindestens einen Schritt voraus. Wenn ein Unternehmen für die Entwicklung mobiler Apps auf dem US-Markt tätig ist, ist es einfach verpflichtet, HIPAA-konform zu werden. Dies ist eine gesetzliche Grundlage, die sowohl für medizinische Organisationen als auch für ihre Kunden von Vorteil ist.