Unser HIPAA-Rechtsteam berät Kunden in Bezug auf die Vertraulichkeit, den Datenschutz und die Sicherheit des Gesundheitswesens nach Bundes- und Landesrecht. Unsere juristischen Dienstleistungen umfassen:
- HIPAA-Richtlinien und -Verfahren für Ihre Praxis oder Ihr Unternehmen anpassen
- Bestimmen, ob HIPAA für Ihre Praxis gilt
- Entwicklung von HIPAA-Richtlinien und -Verfahren für mobile Apps oder Telemedizin
- Entwurf von Business Associate Agreements
- Reaktion auf HIPAA-Beschwerden
- Überprüfung von Vorkehrungen für HIPAA-Verstöße
Wenden Sie sich an unsere HIPAA-Anwälte, wenn Sie Fragen zu Ihren HIPAA-Datenschutz- und im Falle eines HIPAA-Verstoßes, der zur Durchsetzung von Bundes- und Landesgesetzen führen könnte und erhebliche Strafen. Oder erfahren Sie mehr über Online-HIPAA-Compliance-Schulungen.
Unsere HIPAA-Anwälte verfügen über Erfahrung in der Beratung von Mandanten bei der Aktualisierung ihrer HIPAA-Compliance-Bemühungen – einschließlich der Aktualisierung und Implementierung von Datenschutz— und Sicherheitsrichtlinien, -verfahren und -formularen – sowohl präventiv als auch zur Minderung nach einem unerwarteten Datenverstoß.
Vor kurzem haben unsere Anwälte zwei Mandanten, von denen jeder eine mobile medizinische Anwendung entwickelt, zu HIPAA-Datenschutz- und Sicherheitsfragen beraten. Die Vertretung dieser Kunden beinhaltete die Entwicklung maßgeschneiderter Lösungen, um sicherzustellen, dass der Kunde in seiner Position als Webportal für einen Arzt vor ungerechtfertigter Haftung geschützt war. In jedem Fall haben wir die Nutzungsbedingungen und die Datenschutzrichtlinie des Unternehmens sowie den Vertrag mit Praktikern so gestaltet, dass sie den HIPAA-Bestimmungen sowie den Datenschutz- und Vertraulichkeitsvorschriften der Bundesstaaten und den damit verbundenen Gesetzen für Telemedizinpraktiken entsprechen.Lassen Sie uns wissen, wann immer HIPAA-Probleme auftreten, ob Sie eine Startup-Technologie (und möglicherweise ein Geschäftspartner unter HIPAA), eine etablierte medizinische Gruppe oder Praxis oder ein Berater oder Anbieter in der Telemedizin oder eine mobile Anwendung, über die geschützte Gesundheitsinformationen (PHI) übertragen werden.
HIPPA und HITECH
Nach Bundesrecht regelt der Health Insurance Portability and Accountability Act („HIPAA“) den elektronischen Datenaustausch von Gesundheitsinformationen. Titel I der HIPAA schützt die Krankenversicherung für Arbeitnehmer und ihre Familien, wenn sie ihren Arbeitsplatz wechseln oder verlieren. Titel II der HIPAA, bekannt als Administrative Simplification (AS) Bestimmungen, erfordert die Einrichtung nationaler Standards für elektronische Gesundheits-Transaktionen und nationale Identifikatoren für Anbieter, Krankenversicherungen und Arbeitgeber. Die Bestimmungen zur Verwaltungsvereinfachung betreffen auch die Sicherheit und den Datenschutz von Gesundheitsdaten.Unter Titel II von HIPAA hat HHS fünf Sätze von Durchführungsbestimmungen erlassen, die unterschiedlich bekannt sind als die Datenschutzregel; die Sicherheitsregel; die Unique Identifiers Rule (National Provider Identification („NPI“)); die Transactions and Code Sets Rule; und die Durchsetzungsregel. Unsere Kunden sind jedoch in erster Linie mit der Datenschutzregel und der Sicherheitsregel befasst, die sich beide mit dem Schutz der Vertraulichkeit und Privatsphäre der Gesundheitsinformationen von Patienten befassen.Teile der HIPAA wurden durch ein späteres Bundesgesetz, den Health Information Technology for Economic and Clinical Health („HITECH“) Act, geändert, der im Rahmen des American Recovery and Reinvestment Act von 2009 erlassen wurde.
HIPAA legt zivile Geldstrafen und strafrechtliche Sanktionen für Verstöße fest. HHS setzt die zivilrechtliche Geldstrafe durch, während das US-Justizministerium die strafrechtlichen Sanktionen durchsetzt. Die zivilrechtliche Geldstrafe der HIPPA sieht eine Zivilstrafe von bis zu 100 US-Dollar pro Verstoß vor, bis zu 25.000 US-Dollar pro Jahr. HIPAA genehmigt strafrechtliche Sanktionen nach dem Grad der Schuld, bis zu $ 1,5 Millionen.
Staatliche Datenschutz- und Vertraulichkeitsgesetze
Staaten haben auch ihre eigenen Datenschutz- und Vertraulichkeitsgesetze, von denen Teile ungeachtet der Vorkaufsbestimmungen der HIPAA gelten. Darüber hinaus sind Anbieter, die nicht unter HIPAA fallen, dennoch an staatliche Gesetze und Vorschriften gebunden.
Zum Beispiel in Kalifornien:
Die kalifornischen Datenschutzstandards sind im Confidentiality of Medical Information Act („CMIA“) enthalten.
- Die Gesundheit & Sicherheitscode (Abschnitte 123100 ff.) den Zugang von Patienten zu Gesundheitsakten regeln. (Besondere Überlegungen gelten unter anderem für Psychotherapie-Notizen und psychische Gesundheitsakten).Nach kalifornischem Recht wird auch ein staatliches Amt für die Integrität von Gesundheitsinformationen eingerichtet, das sich der Information über Rechte und Pflichten im Zusammenhang mit Gesundheitsinformationen sowie der Rolle des elektronischen Austauschs von Gesundheitsinformationen („HIEs“) bei der Übermittlung von Gesundheitsinformationen von Patienten widmet.Das kalifornische Gesundheitsministerium verfügt auch über ein Datenschutzbüro, das sich im Büro für HIPAA-Compliance des Ministeriums befindet und sich für den Schutz von PHI einsetzt, einschließlich der Untersuchung von Datenschutzverletzungen und Beschwerden im Zusammenhang mit unbefugtem Zugriff oder Offenlegung von PHI.Kalifornien hat außerdem ein Office of Privacy Protection, das Informationen zu Datenschutzthemen für Einzelpersonen und Verbraucher bereitstellt.
HIPAA-Anforderungen
HIPAA gilt für „abgedeckte Unternehmen“ und deren „Geschäftspartner“.“
Zu den abgedeckten Entitäten gehören:(1) Gesundheitspläne, einschließlich Krankenversicherungen, HMOs, betriebliche Gesundheitspläne und bestimmte staatliche Programme, die für die Gesundheitsversorgung bezahlen, wie Medicare und Medicaid.
(2) Die meisten Gesundheitsdienstleister — die Gesundheitsdaten in elektronischer Form an Krankenkassen übermitteln. Solche Gesundheitsdienstleister können Ärzte, Kliniken, Krankenhäuser, Psychologen, Chiropraktiker, Pflegeheime, Apotheken und Zahnärzte oder jede andere Person oder Organisation umfassen, die die Gesundheitsversorgung im normalen Geschäftsverlauf bereitstellt, abrechnet oder bezahlt.(3) Clearingstellen im Gesundheitswesen — Einrichtungen, die nicht standardisierte Gesundheitsinformationen, die sie von einem anderen Unternehmen erhalten, in einen Standard (d. H. elektronisches Standardformat oder Dateninhalt) verarbeiten oder umgekehrt.
Ein Geschäftspartner ist eine Person, die nicht zur Belegschaft eines abgedeckten Unternehmens gehört und die individuell identifizierbare gesundheitsbezogene Informationen zur Verarbeitung oder Verwaltung von Ansprüchen verwendet; Datenanalyse, -verarbeitung oder -verwaltung.Das U.S. Department of Health of Human Services (HHS) fasst die wichtigsten Verwaltungsverfahren zusammen, die ein abgedecktes Unternehmen gemäß HIPAA haben muss, wie folgt:
- Datenschutzrichtlinien und -verfahren. Ein abgedecktes Unternehmen muss schriftliche Datenschutzrichtlinien und -verfahren entwickeln und implementieren, die mit HIPAA im Einklang stehen.
- Datenschutz Personal. Ein abgedecktes Unternehmen muss einen Datenschutzbeauftragten benennen, der für die Entwicklung und Umsetzung seiner Datenschutzrichtlinien und -verfahren verantwortlich ist, sowie eine Kontaktperson oder Kontaktstelle, die für den Empfang von Beschwerden und die Bereitstellung von Informationen über die Datenschutzpraktiken des abgedeckten Unternehmens verantwortlich ist.
- Ausbildung und Management von Arbeitskräften. Zu den Mitarbeitern zählen Mitarbeiter, Freiwillige, Auszubildende und möglicherweise auch andere Personen, deren Verhalten unter der direkten Kontrolle des Unternehmens steht (unabhängig davon, ob sie vom Unternehmen bezahlt werden oder nicht). Ein abgedecktes Unternehmen muss alle Mitarbeiter in Bezug auf seine Datenschutzrichtlinien und -verfahren schulen, soweit dies für die Wahrnehmung ihrer Aufgaben erforderlich und angemessen ist. und muss angemessene Sanktionen gegen Mitarbeiter haben und anwenden, die gegen seine Datenschutzrichtlinien und -verfahren oder HIPAA verstoßen.
- Abschwächung. Ein abgedecktes Unternehmen muss schädliche Auswirkungen, von denen es erfährt, dass sie durch die Verwendung oder Offenlegung geschützter Gesundheitsinformationen durch seine Mitarbeiter oder Geschäftspartner unter Verstoß gegen seine Datenschutzrichtlinien und -verfahren oder HIPAA verursacht wurden, so weit wie möglich mindern.
- Datenschutz. Ein abgedecktes Unternehmen muss angemessene und angemessene administrative, technische und physische Sicherheitsvorkehrungen treffen, um eine vorsätzliche oder unbeabsichtigte Verwendung oder Offenlegung geschützter Gesundheitsinformationen unter Verletzung der Datenschutzregel zu verhindern und seine zufällige Verwendung und Offenlegung gemäß einer anderweitig zulässigen oder erforderlichen Verwendung oder Offenlegung zu begrenzen. Solche Sicherheitsvorkehrungen können beispielsweise das Schreddern von Dokumenten mit geschützten Gesundheitsinformationen vor dem Verwerfen, das Sichern von Krankenakten mit Schloss und Schlüssel oder Passcode sowie das Einschränken des Zugriffs auf Schlüssel oder Passcodes umfassen.
- Beschwerden. Ein abgedecktes Unternehmen muss über Verfahren verfügen, mit denen sich Einzelpersonen über die Einhaltung seiner Datenschutzrichtlinien und -verfahren sowie der Datenschutzregel beschweren können. Das betroffene Unternehmen muss diese Verfahren in seiner Datenschutzerklärung erläutern. Unter anderem muss das abgedeckte Unternehmen angeben, an wen sich Einzelpersonen bei dem abgedeckten Unternehmen wenden können, und darauf hinweisen, dass Beschwerden auch beim Sekretär von HHS eingereicht werden können.
- Keine Vergeltung und Verzicht. Ein abgedecktes Unternehmen darf sich nicht gegen eine Person rächen, wenn diese die in der Datenschutzregel vorgesehenen Rechte ausübt, bei einer Untersuchung durch HHS oder eine andere zuständige Behörde mitwirkt oder sich einer Handlung oder Praxis widersetzt, von der die Person glaubt, dass sie in gutem Glauben gegen die Datenschutzregel verstößt. Ein abgedecktes Unternehmen darf von einer Person nicht verlangen, auf ein Recht gemäß der Datenschutzregel zu verzichten, um eine Behandlung zu erhalten, Zahlung, und Einschreibung oder Leistungsberechtigung.
- Dokumentation und Aufbewahrung von Aufzeichnungen. Ein abgedecktes Unternehmen muss bis sechs Jahre nach dem späteren Datum seiner Gründung oder des letzten Inkrafttretens seine Datenschutzrichtlinien und -verfahren, seine Hinweise zu Datenschutzpraktiken, die Verfügung über Beschwerden und andere Maßnahmen, Aktivitäten und Bezeichnungen, die die Datenschutzregel dokumentiert, beibehalten.
Wenden Sie sich an unser HIPAA-Rechtsteam, um Rechtsberatung in Bezug auf die Privatsphäre, Vertraulichkeit und Datensicherheit von Patienten zu erhalten.
California law has HIPAA-like privacy provisions for personal information
HIPAA Privacy Compliance and Enforcement website
Physician obligation regarding medical records
See also our full series of articles:
HIPAA Omnibus Rule: Part 1 (Overview)
HIPAA Omnibus Rule: Part 2 (Business Associates & Subcontractors)
HIPAA Omnibus Rule: Part 3 (Enforcement & Penalties)
HIPAA Omnibus Rule: Part 4 (Security Rule Changes)
HIPAA Omnibus Rule: Part 5 (Privacy Rule Changes)
HIPAA Omnibus Rule: Part 6 (Business Associate Agreements)
HIPAA Omnibus Rule: Part 7 (Notice of Privacy Practices & Other Provisions)
HIPAA Omnibus Rule: Part 8 (Breach Analysis)
Or find out more about online HIPAA compliance training.