In unseren früheren Beiträgen haben wir die Geschichte des HIPAA, des Health Insurance Portability and Accessibility Act, behandelt. Wie bereits erwähnt, handelt es sich bei HIPAA um ein Gesetzespaket, das in fünf „Titel“ unterteilt ist, von denen jeder ein anderes Thema abdeckt. Von diesen Titeln ist Titel II derjenige, der Ihnen am ehesten bekannt sein dürfte, da er den Datenschutz behandelt. Wenn man sich jedoch näher mit dem HIPAA-Titel II befasst, stellt man fest, dass es um viel mehr als nur um den Datenschutz geht, und man könnte sogar behaupten, dass er von allen Titeln den größten Umfang hat.
HIPAA Title II Breakdown
In Title II des HIPAA finden Sie fünf Regeln:
- Privacy Rule
- Transactions and Code Sets Rule
- Security Rule
- Unique Identifiers Rule
- Enforcement Rule
Jede dieser Regeln wird dann weiter untergliedert, um ihre verschiedenen Teile abzudecken. In diesem Beitrag werden wir uns auf die weniger bekannten Teile von Titel II konzentrieren, aber um die ganze Geschichte zu erzählen, müssen wir auch über den Datenschutz sprechen.
Es ist hilfreich, sich Titel II so vorzustellen, als sei der erste Abschnitt das übergreifende Ziel – die Verhinderung von Betrug und Missbrauch im Gesundheitswesen. Wenn man einen Schritt zurücktritt und die Gesamtheit von Titel II betrachtet, fällt jeder Teil in den Bereich der Betrugsverhütung, und die Teile, die unzusammenhängend erscheinen mögen, werden wieder in einen Zusammenhang gebracht.
Datenschutzregel
Der größte Teil der Datenschutzregel betrifft geschützte Gesundheitsinformationen (PHI). In den meisten Fällen ist klar, was weitergegeben werden darf und was nicht und an wen. Eine unbeabsichtigte Folge der Privacy Rule ist, dass einige Einrichtungen ihre Vorschriften zu restriktiv auslegen. Aufgrund der schwerwiegenden Folgen, die in der Durchsetzungsvorschrift dargelegt sind, ist jedoch Vorsicht geboten.
Es ist leicht, sich im sprichwörtlichen Unkraut der Privacy Rule zu verirren, daher werden wir uns nicht zu weit in diese Richtung vorwagen. Als Überblick sollten Sie wissen, dass sowohl die Zustimmung als auch die Offenlegung von Daten von entscheidender Bedeutung sind und dass die Verwendung von PHI auf sechs Bereiche beschränkt ist:
- Wenn sie an die Person weitergegeben werden
- Für Behandlung, Zahlung und Operationen
- Wenn die Erlaubnis erteilt wurde
- Wenn sie zufällig verwendet werden
- Im öffentlichen Interesse
- Wenn personenbezogene Daten entfernt wurden
Ein paar dieser Ausnahmen könnten aufhorchen lassen, also lassen Sie uns darüber sprechen. Die erste ist die Ausnahme, die eine „zufällige Verwendung“ erlaubt. Darunter versteht man eine Offenlegung, die im Zusammenhang mit einer zulässigen Verwendung erfolgt. Das HHS führt ein Beispiel an, das hier zitiert wird:
Ein Krankenhausbesucher kann ein vertrauliches Gespräch eines Leistungserbringers mit einem anderen Leistungserbringer oder einem Patienten belauschen oder einen Blick auf die Daten eines Patienten auf einem Anmeldeformular oder einem Whiteboard der Krankenstation werfen. Die HIPAA Privacy Rule soll diese üblichen und wesentlichen Kommunikationen und Praktiken nicht behindern und verlangt daher nicht, dass alle Risiken einer zufälligen Verwendung oder Offenlegung beseitigt werden, um die Standards zu erfüllen.
Die andere Ausnahme ist die des öffentlichen Interesses, und sie wird nicht leichtfertig in Anspruch genommen. Das öffentliche Interesse wird durch 12 Regeln genau definiert, darunter solche, die gesetzlich vorgeschrieben sind, Missbrauchsopfer und Strafverfolgungszwecke. Es genügt zu sagen, dass die Ausnahme des öffentlichen Interesses die Verwendung von PHI nicht einfach macht.
Auch hier könnten wir tief in die Privacy Rule eintauchen, aber das Wesentliche ist bereits bekannt, so dass ich hier nicht zu viel Zeit aufwenden möchte.
Transactions and Code Sets Rule
Hier werden die Dinge wirklich interessant, besonders für uns bei Eligible. Zunächst einmal sollten wir uns vergegenwärtigen, dass alle Bereiche von Titel II darauf ausgerichtet sind, Betrug und Missbrauch zu verhindern. Eines der Ziele des HIPAA ist es, das Gesundheitssystem der Vereinigten Staaten effizienter und damit auch sicherer zu machen. Effizienz erfordert Standardisierung, und das ist es, was die Transactions and Code Set Rule abdeckt. Vor HIPAA war für jede Transaktion Papierkram oder ein Telefonat erforderlich. Nach HIPAA können alle diese Informationen elektronisch übertragen werden.
Nach Angaben der AMA wurde dieses Regelwerk von der Gesundheitsbranche gefordert, um die „zusätzlichen Kosten für die Abrechnung der Fortführung des Versicherungsschutzes für Einzelpersonen“ zu bewältigen. Die Logik, die dem Antrag zugrunde liegt, hat mit der Art und Weise zu tun, wie Patienteninformationen in einer digitalen Landschaft erstellt, gepflegt und gespeichert werden müssen. Außerdem war es mit dem Übergang zu elektronischen Gesundheitsakten wichtig, standardisierte Methoden für diese Daten zu haben.
Die Gesamtheit der Transaktionen und Kodesätze ist viel zu komplex, als dass wir sie hier aufschlüsseln könnten. Für die Zwecke dieses Beitrags sollten Sie also Folgendes wissen:
Alles, von der ersten Meldung einer Verletzung über die Anspruchsberechtigung des Patienten bis hin zur Anfrage nach dem Leistungsstatus, erhält eine eindeutige Transaktionsart mit einer entsprechenden Nummer. Wenn Sie zum Beispiel 270/271 gesehen haben, sind das die Codes für einen Antrag auf Anspruchsberechtigung und eine Antwort auf diesen Antrag. Jede dieser Transaktionsarten wurde vom American National Standards Institute Accredited Standards Committee X12 (ANSI ASC X12, oder einfach X12) formalisiert.
Wenn eine Einrichtung unter den HIPAA fällt (und das tun die meisten), ist sie verpflichtet, X12 EDI für elektronische Transaktionen zu verwenden.
Security Rule
Es ist wahrscheinlich am einfachsten, sich die Security Rule im Zusammenhang mit der Privacy Rule vorzustellen. Während die Privacy Rule alle Formen von PHI betraf, bezieht sich die Security Rule speziell auf elektronische PHI (ePHI). Sie legt die Anforderungen für die Schutzmaßnahmen fest, die vorhanden sein müssen, wenn eine vom HIPAA erfasste Einrichtung ePHI verwenden will.
Diese Sicherheitsvorkehrungen lassen sich in drei Bereiche unterteilen:
- Administrativ
- Physikalisch
- Technisch
Innerhalb dieser Bereiche gibt es Einzelheiten zu den Schritten, die von einer betroffenen Einrichtung unternommen werden müssen. Die administrativen Sicherheitsvorkehrungen erfordern beispielsweise, dass schriftliche Datenschutzverfahren vorhanden sind, die die Genehmigung, Einrichtung, Änderung und Beendigung abdecken. Physische Schutzmaßnahmen erfordern Zugangskontrollen wie Sicherheitspläne, Wartungsaufzeichnungen und Besucherbegleitung. Die technischen Sicherheitsvorkehrungen schließlich legen Anforderungen für die Verwendung von Prüfsummen, Verschlüsselung und Dokumentation fest.
Unique Identifiers Rule
Sie haben wahrscheinlich schon von NPIs gehört. Der National Provider Identifier ist eine 10-stellige, alphanumerische Zeichenfolge, die für jede HIPAA-abgedeckte Einrichtung eindeutig ist. Er ersetzt keine DEA-Nummer, Steueridentifikationsnummer oder eine andere Kennung und kann keine Informationen enthalten. Sie muss jedoch vorhanden sein, damit eine HIPAA-abgedeckte Einrichtung PHI verarbeiten und bearbeiten kann.
Durchsetzungsregel
Nachdem wir nun alle Anforderungen des Titels II dargelegt haben, stellt sich die Frage, was passiert, wenn gegen sie verstoßen wird? Hier kommt die Durchsetzungsvorschrift ins Spiel. Die Enforcement Rule besagt nicht nur, dass ein Verstoß ein bestimmtes Bußgeld nach sich zieht, sondern legt auch Verfahren für Untersuchungen, Sanktionen und Anhörungen fest.
Nach der Enforcement Rule liegen die Bußgelder zwischen 100 und 250.000 Dollar und variieren je nach Schwere des Verstoßes. Es wird auch unterschieden zwischen Verstößen, die versehentlich geschehen, und solchen, die wissentlich begangen werden. Wie Sie sich denken können, würde die Geldstrafe von 100 Dollar fällig, wenn eine Person versehentlich gegen den HIPAA verstößt, während die höchsten Geldstrafen für Verstöße reserviert sind, die in der Absicht begangen werden, PHI zu verkaufen oder zu übertragen, um sie kommerziell zu nutzen, sich persönlich zu bereichern oder böswillig Schaden zuzufügen.
Es genügt zu sagen, dass Titel II ein umfangreiches Regelwerk ist, das ein breites Spektrum an Themen abdeckt. Aber wenn wir uns auf die Idee konzentrieren, dass alle seine Teile darauf abzielen, Betrug und Missbrauch zu verhindern, können wir besser verstehen, wie sie funktionieren.