Introducing G2.ai, the future of software buying.Try now
Gesundheitsversorgung Akkreditierung Kategorie

G2s Vier-Punkte-Checkliste zur HIPAA-Konformität

14. Juni 2019
Jasmine Lee
JL
von Jasmine Lee

In diesem Beitrag

In diesem Beitrag

Ob Sie ein Krankenhaus, eine Privatklinik, ein Anbieter von ergänzenden Gesundheitsdienstleistungen oder ein gesundheitsbezogenes Unternehmen sind, solange Sie mit medizinischen und Patientendaten umgehen, müssen Sie die HIPAA-Richtlinien einhalten.

Compliance und regulatorische Einhaltung sind unvermeidlich, insbesondere im Zeitalter der Telemedizin und effektiver, verbraucherorientierter Gesundheitsanwendungen. Diese Richtlinien legen die Standards fest, die die Arten von Software und Geräten betreffen, die von medizinischem Personal verwendet werden, um medizinische Versorgung zu leisten und sensible Patientendaten zu speichern. Diese Fachleute verlassen sich auf Software (wie EHRs und Datensicherung), um diese Aufzeichnungen sicher zu halten.

Was ist HIPAA-Compliance?

HIPAA (Health Insurance Portability and Accountability Act) ist ein verabschiedetes US-Gesetz, das Gesundheitsdaten schützt. HIPAA legt Standards für den Datenschutz fest, einschließlich Sicherheitsbestimmungen, die bestimmen, wann, zwischen wem und welche Arten von medizinischen Informationen geteilt werden können.

Software zur Einhaltung von Gesundheitsvorschriften erleichtert die Bereitstellung, Implementierung, Schulung und Überwachung, die erforderlich sind, um relevante Richtlinien und Verfahren zu befolgen. HIPAA-konform zu sein bedeutet, dass eine Gesundheitsorganisation in der Lage sein sollte, Dokumentationen bereitzustellen, die belegen, dass sie alle von HIPAA definierten Regeln implementiert hat. Dies gilt auch für Softwareanbieter; wenn ein Anbieter eine HIPAA-konforme Lösung erstellt hat, muss diese Lösung in der Lage sein, diese Regeln zu unterstützen. Die Regeln von HIPAA standardisieren die Übertragung und Speicherung von Patientendaten und anderen Formen von geschützten Gesundheitsinformationen (PHI).

Im Endeffekt hilft die Aufrechterhaltung der HIPAA-Compliance Krankenhäusern, Praxen, Anbietern von ergänzender Pflege und anderen Gesundheitsunternehmen, eine bessere Patientenversorgung zu bieten, die Patientensicherheit zu gewährleisten, ihren Ruf zu verbessern und unnötige finanzielle Folgen zu minimieren und zu reduzieren.

Was macht die HIPAA-Compliance so schwierig?

Die Konsequenzen des Versagens, effektive HIPAA-Compliance-Maßnahmen zu implementieren und aufrechtzuerhalten, wurden in den letzten Jahren sehr deutlich gemacht. Halbwegs damit verbunden ist auch das Problem, dass Krankenhäuser und Arztpraxen veraltete Technologien und Lösungen verwenden, die es schwierig machen, die Gesundheitsvorschriften insgesamt einzuhalten.

Datenverletzungen, die massenhaft Gesundheitsinformationen von Patienten offenlegen, und Ransomware-Angriffe, die die Fähigkeit von Gesundheitsorganisationen, Dienstleistungen zu erbringen, ernsthaft gefährden, sind zwei der jüngsten Beispiele für Probleme, die durch veraltete Technologie verursacht werden. Abgesehen von dem finanziellen Schaden, den das Versäumnis, die Vorschriften einzuhalten, einer Gesundheitsorganisation zufügt, ist der Einfluss, den diese Ereignisse auf ihren Ruf haben, noch besorgniserregender.

Glauben Sie nicht, dass Ihre Organisation HIPAA-konform sein muss? Vier Arten von Gesundheitsunternehmen müssen sich der HIPAA-Regulierung bewusst sein und diese einhalten: Gesundheitspläne, Clearingstellen für Gesundheitswesen, Gesundheitsdienstleister und Geschäftspartner. (Das Versäumnis zu erkennen, dass Ihr Unternehmen nicht konform ist oder dass eine solche Regulierung überhaupt existiert, kann nicht mehr als vernünftige Verteidigung verwendet werden, sollte Ihr Unternehmen mit einer Geldstrafe belegt werden.)

who needs to comply with hipaa

Jedes Unternehmen, das in eine dieser vier Kategorien fällt, sammelt, verarbeitet und speichert regelmäßig medizinische und finanzielle Patientendaten. Bereits mit massiven Datenmengen überfordert, kann jedes dieser Unternehmen ohne die Hilfe einer HIPAA-spezifischen Compliance-Software oder Beratungsagentur versehentlich Patientendaten oder das Gesundheitsnetzwerk gefährden.  

Nur weil eine Gesundheitsorganisation oder ein Unternehmen beschlossen hat, ernsthafte Schritte in Richtung HIPAA-Compliance zu unternehmen, bedeutet das nicht, dass es ein einfacher Prozess ist. Und so haben wir eine Checkliste zusammengestellt, die Sie verwenden können, um Ihre Organisation in eine zu verwandeln, die bewusst und entschlossen konform ist.  

HIPAA-Compliance-Checkliste

Diese Checkliste besteht aus vier Komponenten:

  1. Führen Sie eine umfassende Risikobewertung Ihrer Organisation durch — Zuerst müssen Sie verstehen, wie HIPAA auf Ihre spezifische Praxis, Einrichtung oder Ihr Unternehmen zutrifft. Dies tun Sie, indem Sie eine Risikobewertung durchführen, um Schwächen, potenzielle Schwachstellen und Lücken in bestehenden Maßnahmen zu verstehen. Sie können regelmäßige Selbstprüfungen durchführen oder eine Beratungsagentur beauftragen, Ihre Organisation zu prüfen. Das Endziel ist es, zu identifizieren, bei welchen Elementen von HIPAA Sie Gefahr laufen, nicht konform zu sein.
  2. Behebung — Sobald Sie die Lücken und Risiken in der Compliance identifiziert haben, müssen Sie Pläne erstellen, um sicherzustellen, dass diese Probleme angegangen werden. Etwas zu beachten: Behebungspläne können nicht generisch sein. Die Pläne müssen auf die verschiedenen HIPAA-Regeln zugeschnitten sein; Richtlinien und Verfahren variieren, je nachdem, ob Sie die HIPAA-Datenschutzregel, die HIPAA-Sicherheitsregel oder die HIPAA-Verletzungsbenachrichtigungsregel einhalten. (Wir werden diese verschiedenen Regeln und Schutzmaßnahmen weiter unten besprechen.)
  3. Überwachen, berichten und schulen — HIPAA-Compliance-Lösungen bieten automatisierte Compliance-Berichterstattung, die bei Aufgaben wie der Identifizierung, Verfolgung, Untersuchung und Berichterstattung von Vorfällen hilfreich ist. Die verschiedenen HIPAA-Regeln erfordern entweder administrative, physische oder technische Schutzmaßnahmen, die alle mit Tools, die die Überwachungs- und Berichterstattungsverantwortlichkeiten automatisieren, erheblich erleichtert werden. Darüber hinaus ist die Einhaltung von Gesundheitsvorschriften jeglicher Art nur dann effektiv, wenn jeder einzelne Mitarbeiter und Angestellte mitmacht. Schulung ist entscheidend und unerlässlich, um sicherzustellen, dass Ihre mühsam vorbereiteten Compliance-Bemühungen aufrechterhalten werden.
  4. Kontinuierliches Management — Dokumentation ist notwendig, um zu beweisen, dass Ihre Organisation mit den Compliance-Bemühungen Schritt hält. Organisationen wie die Centers for Medicare & Medicaid Services (CMS), das ONC (Office of the National Coordinator for Health Information Technology) und das HHS (U.S. Department of Health and Human Services) prüfen regelmäßig Gesundheitsdienstleister und Geschäftspartner, um sicherzustellen, dass sie Jahr für Jahr konform bleiben. Darüber hinaus hilft die kontinuierliche Verwaltung und Bewertung von Risiken, Ihre Schutzmaßnahmen in Topform zu halten.

hipaa compliance checklist

Regeln, die befolgt werden müssen (immer)

Es gibt vier HIPAA-Regeln, die Gesundheitsorganisationen unabhängig von der Art des Unternehmens befolgen müssen. Die Datenschutz- und Sicherheitsregeln müssen jederzeit eingehalten werden. Sie kommen mit drei Schutzmaßnahmen. Die Durchsetzungs- und Verletzungsbenachrichtigungsregeln schaffen Rahmenbedingungen nach Vorfällen.

  1. HIPAA-Datenschutzregel — Die Datenschutzregel schützt alle individuell identifizierbaren Gesundheitsinformationen, die mit oder von Organisationen oder Unternehmen geteilt oder gespeichert werden. Die Datenschutzregel schützt geschützte Gesundheitsinformationen (PHI), sowohl elektronisch (ePHI) als auch papierbasiert, und gibt den Patienten Rechte über den Zugang und die Weitergabe ihrer eigenen persönlichen Gesundheitsinformationen. Die Arten von Organisationen, die besonders auf die Datenschutzregel achten, sind: Gesundheitsdienstleister, Clearingstellen für Gesundheitsversicherungen und jedes Unternehmen, das Patientendaten nutzt.
  2. HIPAA-Sicherheitsregel — Die Sicherheitsregel schützt die ePHI von Einzelpersonen; die Regel legt spezifische Parameter für die Erstellung, Weitergabe und Speicherung solcher Gesundheitsinformationen fest. Die Wahrung der Vertraulichkeit und die Regulierung des Zugriffs auf diese Daten sind entscheidende Aspekte, die die Sicherheitsregel sicherstellt, dass Gesundheitsorganisationen haben. Die Sicherheitsregel hilft Organisationen, Sicherheitslücken zu identifizieren, die dann durch verschiedene Schutzmaßnahmen angegangen werden können, die auf die unterschiedlichen Standards der Organisationen zugeschnitten sind.

Schutzmaßnahmen

Schutzmaßnahmen existieren, um die unbefugte oder illegale Weitergabe von PHI zu verhindern, unabhängig davon, ob diese Weitergabe absichtlich oder unabsichtlich erfolgte. Letztendlich existieren diese Schutzmaßnahmen, um Patientendaten zu schützen, aber sie sollen auch die Gesundheitsorganisation davor schützen, ihre Compliance-Bemühungen zu gefährden.

  • Administrative Schutzmaßnahmen — Administrative Schutzmaßnahmen helfen, interne Richtlinien und Verfahren über Sicherheitsmanagementprozesse, Sicherheitsbewusstseinsschulungen und Notfallplanung zu etablieren. Medizinisches Personal und Mitarbeiter sollten in der Lage sein, auf diese Richtlinien zu verweisen, um unbeabsichtigte Verstöße gegen die Vertraulichkeit von Patienten zu reduzieren. Dokumentation ist der Schlüssel zur Implementierung effektiver administrativer Schutzmaßnahmen; ebenso ist der einfache Zugang zu dieser Dokumentation durch die Mitarbeiter.
  • Technische Schutzmaßnahmen — Technische Schutzmaßnahmen helfen bei der Formulierung der HIPAA-Sicherheitsregel durch Zugangskontrolle, Auditkontrolle und Entitätsauthentifizierung. Mit technischen Schutzmaßnahmen können Gesundheitsorganisationen die Sicherheit und Integrität von ePHIs gewährleisten. Darüber hinaus überwachen technische Schutzmaßnahmen den Benutzerzugriff auf ePHI-Speichersysteme.  
  • Physische Schutzmaßnahmen —  Physische Schutzmaßnahmen wie Kontrollen zur Regelung des Zugangs zu Einrichtungen und der Nutzung von Geräten und Medien helfen bei der Erstellung der Richtlinien, die die elektronischen Systeme schützen, die ePHIs beherbergen. Mit physischen Schutzmaßnahmen können sowohl die Gesundheitseinrichtung als auch die Mitarbeiter potenzielle Bedrohungen und unbefugte Handlungen verstehen und verhindern, die die Aufrechterhaltung der Vertraulichkeit von Patienten gefährden würden.  

Regeln, die nach einem Vorfall befolgt werden müssen post-incident 

  1. HIPAA-Durchsetzungsregel — Die Durchsetzungsregel legt die Verfahren fest und erzwingt sie, die befolgt werden müssen, sobald ein möglicher HIPAA-Verstoß festgestellt wird. Die Durchsetzungsregel bietet die Verfahren, die Gesundheitsorganisationen helfen, die Bußgelder und Strafen zu navigieren, die ihnen drohen könnten, sollte dieser Verstoß nach einer Untersuchung Konsequenzen erfordern. Die Durchsetzungsregel wird nur in Gang gesetzt, wenn das Gesundheitsministerium beschließt, Ihre Organisation zu untersuchen.
  2. HIPAA-Verletzungsbenachrichtigungsregel — Die Verletzungsbenachrichtigungsregel stellt sicher, dass Gesundheitsorganisationen Patienten benachrichtigen, nachdem PHIs kompromittiert wurden. Ein PHI-Verstoß sollte nur passieren, wenn Ihre Organisation nicht konform mit der HIPAA-Datenschutzregel ist, z.B. wenn Sie es versäumt haben, die Informationen Ihrer Patienten zu sichern.

Ihre Gesundheitseinrichtung mit den Werkzeugen und Ressourcen auszustatten, um die HIPAA-Compliance aufrechtzuerhalten, ist eine schwierige, aber notwendige Maßnahme. Der Einsatz von Lösungen wie HIPAA-konformen Nachrichtensystemen kann das Krankenhaus oder die Arztpraxis davor schützen, sich versehentlich der Haftung auszusetzen, wenn sie lediglich ihren Patienten eine Bestätigung über einen bevorstehenden Termin per E-Mail senden. Organisationen müssen die Vor- und Nachteile der Aufrechterhaltung der Patientensicherheit und -vertraulichkeit gegenüber der Aufrechterhaltung der Technologie abwägen, die es den Patienten ermöglicht, regelmäßig auf ihre eigenen Gesundheitsinformationen zuzugreifen. Mit mobilen Apps wie Apple Health Records und Diabetes-Managern oder Glukose-Trackern, die im Wesentlichen neue EHR- und Medizintechnologie schaffen, ist die Grenze zwischen dem Teilen und dem Bereitstellen von Zugang zu Patientengesundheitsdaten und der Einhaltung von medizinischen Freigabegesetzen verschwommen geworden.

hipaa rules safeguards

Möchten Sie mehr über Gesundheitswesen-Zertifizierungssoftware erfahren? Erkunden Sie Gesundheitsversorgung Akkreditierung Produkte.

Wie man die HIPAA-Compliance erfüllt

Jetzt, da Sie die verschiedenen Komponenten kennen, die in die HIPAA-Compliance einfließen, wie gehen Sie vor, um sie zu erfüllen?

Hier sind vier Regeln, die Ihnen helfen, eine HIPAA-Compliance-Checkliste zu erstellen und abzuhaken:

  1. Standardisieren Sie die klinische Dokumentation und Kommunikation — Codierung ist entscheidend für medizinische Fachkräfte, um Patientenakten zu dokumentieren und zu übermitteln. Es gibt spezifische Codesätze, um die Dokumentation zu vereinheitlichen, die Gesundheitskommunikation zu vereinheitlichen und Übertragungen zu kodieren. Einige gängige Beispiele für medizinische Codes sind: NDC (National Drug Codes) zur Identifizierung und Verteilung von Medikamenten; ICD-10-CM (International Classification of Diseases, Tenth Revision, Clinical Modification) zur Diagnose von Symptomen; und HCPCS (Healthcare Common Procedure Coding System/CPT (Current Procedural Terminology) für die medizinische Abrechnung. Die meisten EHRs automatisieren die Kodierungsformatierung. Stellen Sie sicher, dass Ihre Einrichtung in Bezug auf die besten Praktiken der Kodierung auf dem neuesten Stand ist.
  2. NPI-Registrierung — NPI (National Provider Identifier) ist eine 10-stellige Nummer, die von Gesundheitsplänen, Gesundheitsdienstleistern und Clearingstellen für Gesundheitswesen verwendet wird, um finanzielle Transaktionen zu überprüfen und zu validieren. HIPAA schreibt die Verwendung eindeutiger NPIs bei der Übermittlung von Gesundheitsdaten vor, daher muss Ihre Praxis NPIs erhalten und verwenden, um sich von anderen ähnlich benannten Praktikern zu unterscheiden.  
  3. Best Practices für den Datenschutz von Patienten — Entwickeln Sie Datenschutzverfahren für Ihre Einrichtung und benennen Sie entweder eine verantwortliche Person, die deren Umsetzung überwacht, oder erstellen Sie eine leicht zugängliche Datenbank dieser Richtlinien. Führen Sie Aufzeichnungen über die PHI Ihrer Einrichtung, insbesondere über die autorisierten Nutzungs- und Offenlegungsszenarien von PHI, und stellen Sie sicher, dass Ihre Organisation sowohl kontinuierliche Schulungen zu diesen Datenschutzverfahren als auch regelmäßige Risikobewertungen zur Integrität Ihrer Sicherheitsmaßnahmen erfordert.
  4. Notfallplanung — Ihre Gesundheitsorganisation sollte darauf vorbereitet sein, mit Vorfällen oder Verstößen umzugehen, die gegen HIPAA verstoßen. Unabhängig davon, ob Ihre Praxis tatsächlich gegen HIPAA verstößt, ist es am besten, Verfahren zu etablieren, die mit den HIPAA-Durchsetzungs- und Verletzungsbenachrichtigungsregeln übereinstimmen. Je besser Ihre Organisation vorbereitet ist, desto besser ist sie bei Untersuchungen gerüstet.  

Letzte Dinge von Bedeutung

Jetzt, da Sie Ihre Compliance-Checkliste und entweder Ihr Audit oder Ihre Compliance-Lösung bereit haben, sind hier vier Fragen, die Sie im Hinterkopf behalten sollten, während Sie Compliance-Bemühungen umsetzen und implementieren:
 
 
  1. Haben Sie dokumentierte Compliance-Richtlinien und -Verfahren an alle medizinischen Mitarbeiter verteilt?
  2. Hat jeder Mitarbeiter eine HIPAA-Compliance-Schulung durchlaufen? Ist solches Schulungsmaterial für zukünftige Referenzen leicht zugänglich?
  3. Haben Sie alle einzigartigen Variablen identifiziert, die noch mit HIPAA konform sein müssen?
  4. Welches System haben Sie eingerichtet, um mit Datenverletzungen und Sicherheitsvorfällen umzugehen?

Denken Sie daran, dass es HIPAA-Compliance-Software gibt. HIPAA-Compliance-Software ermöglicht es Benutzern, Audits und Risikobewertungen durchzuführen, damit Organisationen effektiv planen, verbreiten und Behebungspläne über Richtlinien, Verfahren und notwendige Mitarbeiterschulungen aufrechterhalten können.

Die effektivsten HIPAA-Compliance-Lösungen bieten laufende Module für das Management von Verletzungen oder Vorfällen, die bei der Verfolgung, Dokumentation und Berichterstattung von Daten- oder IT-Verletzungen helfen. Darüber hinaus gibt es HIPAA-Compliance-Beratungsgruppen, die die Bewertungs- und Schulungsbelastung von den Schultern Ihrer Administratoren nehmen und Ihrer Einrichtung ermöglichen, die Erfahrung und Wissensbasis von HIPAA-Experten zu nutzen.

Schauen Sie sich die Kategorie Healthcare Compliance auf G2 an, um eine Liste von Lösungen zu finden, die darauf ausgelegt sind, Risiken in jeder Gesundheitsorganisation zu verfolgen, zu identifizieren und zu mindern.

 

Jasmine Lee
JL

Jasmine Lee

Jasmine is a former Senior Market Research Analyst at G2. Prior to G2, she worked in the nonprofit sector and contributed to a handful of online entertainment and pop culture publications.

Weitere G2-Artikel erkunden

Rechenzentrumsinfrastruktur-Management (DCIM)
Top-Sprachsteuerungssoftware für Desktop-Arbeitsplätze
Welche App für operationelle Risiken ist am besten für kleine Unternehmen geeignet?
Beste Software für Vertriebsengagement