Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 ist kompliziert. Sein konsolidierter Text ist über hundert Seiten lang und behandelt viele Themen. Natürlich ist der Schutz der Privatsphäre eines davon, aber nicht das einzige - es gibt Vorschriften über technische Standards für Gesundheitsakten, Rechte auf Datenübertragbarkeit und so weiter.
Da der Text so kompliziert ist, kann es schwierig sein, einige der im HIPAA festgelegten Grundregeln zu verstehen. Dazu gehört auch die Definition von geschützten Gesundheitsinformationen (PHI). Wir sind hier, um zu helfen.
Was sind PHI?
Geschützte Gesundheitsinformationen - in der Regel PHI genannt - sind genau das, was auf der Verpackung steht: Gesundheitsinformationen, die nach dem HIPAA geschützt sind.
Das mag trivial erscheinen, ist es aber nicht. Der HIPAA ist ein sektorbezogenes Gesetz, das Gesundheitsdienstleister und zwischengeschaltete Stellen wie Zahlungsdienstleister regelt. Es schreibt diesen Einrichtungen vor, was sie mit medizinischen Informationen tun dürfen und was nicht, bietet aber keinen allgemeinen Schutz für medizinische Daten, was bedeutet, dass andere Einrichtungen solche Informationen verarbeiten können, ohne an den HIPAA gebunden zu sein.
Mit anderen Worten: Der HIPAA gilt nur für bestimmte Daten und Unternehmen. Dies spiegelt sich in der sehr komplizierten Art und Weise wider, wie PHI rechtlich definiert ist.
Wie ist PHI definiert?
Die Definition von PHI umfasst drei unterschiedliche und kumulative Anforderungen:
- Sie beziehen sich auf den Gesundheitszustand einer Person oder die Erbringung von Gesundheitsdienstleistungen (= es handelt sich um Gesundheitsinformationen)
- sie beziehen sich auf eine identifizierbare Person (= es handelt sich um persönlich identifizierbare Informationen - kurz PII)
- sie werden von einem Gesundheitsdienstleister oder einer anderen unter den HIPAA fallenden Einrichtung erstellt
Die erste Voraussetzung: Gesundheitsinformationen
Der HIPAA deckt nur Informationen ab, die sich auf den Gesundheitszustand einer Person oder die Erbringung von Gesundheitsdienstleistungen beziehen. Dabei kann es sich z. B. um die Diagnose einer Krankheit, eine durchgeführte medizinische Behandlung oder die Tatsache handeln, dass ein Termin bei einem Arzt vereinbart wurde.
Die zweite Anforderung: Bezug auf eine bestimmte Person
Alle PHI sind identifizierbare Informationen. Das heißt, dass sie eine Person direkt identifizieren oder vernünftigerweise dazu verwendet werden können, sie zu identifizieren. Dies bedeutet, dass sie Identifikatoren wie Name, Adresse, E-Mail oder eindeutige Identifikatoren (wie sie oft in Tracking-Cookies zu finden sind) enthalten.
Die dritte Anforderung: Erfassung durch eine HIPAA-abgedeckte Einrichtung
Daten fallen nur dann unter den HIPAA, wenn sie von einer Einrichtung erfasst werden, die selbst unter das Gesetz fällt. So kontraintuitiv es auch sein mag, dieselben Informationen können PHI sein oder nicht, je nachdem, woher sie stammen.
Wer fällt also unter den HIPAA?
- Gesundheitsdienstleister wie Krankenhäuser, einzelne Ärzte und Apotheken
- Krankenversicherungspläne
- Clearingstellen für Gesundheitsdaten, d. h. Vermittler von Gesundheitsdaten. Dies kann manchmal auch Zahlungsdienstleister einschließen.
Warum ist das wichtig?
Der HIPAA enthält eine Reihe von Vorschriften, die zusammen als Privacy Rule bezeichnet werden. Diese Vorschriften enthalten Datenschutz- und Sicherheitsstandards für PHI, einschließlich strenger Einschränkungen der Offenlegung.
Die Regeln zur Beschränkung der Weitergabe von Informationen sind recht komplex, aber um es grob zu vereinfachen:
- Einrichtungen, die dem HIPAA unterliegen, können PHI immer dann weitergeben, wenn dies für die Versorgung, das Funktionieren des Gesundheitssystems oder in anderen spezifischen Fällen erforderlich ist (z. B. weil ein Gesetz sie dazu verpflichtet).
- alle anderen Offenlegungen bedürfen der schriftlichen Genehmigung durch die betroffene Person.
So kann ein Krankenhaus beispielsweise Behandlungsdaten zu Abrechnungszwecken an Ihre Versicherung weiterleiten oder sie an Ihr neues Krankenhaus schicken, damit medizinische Fachkräfte die weitere Behandlung besser beurteilen können. Andererseits können sie Ihre Daten nicht an Datenmakler verkaufen oder sie an Dritte zu Marketingzwecken weitergeben, es sei denn, Sie erteilen ihnen die Genehmigung dazu.
Es ist wichtig zu verstehen, welche Daten PHI sind und welche nicht. Wenn Sie unter den HIPAA fallen, bedeutet das nicht, dass alle Daten, die Sie kontrollieren, PHI sind! Der erste Schritt zur Einhaltung des HIPAA besteht also darin, genau zu verstehen, für welche Daten der PHI gilt und für welche nicht.
So müssen Krankenhäuser beispielsweise personenbezogene Daten über ihre Mitarbeiter verarbeiten, um Löhne zu zahlen - diese Daten fallen jedoch nicht unter den HIPAA, da sie nicht mit der Gesundheitsfürsorge zusammenhängen.
Nicht alle Fälle sind eindeutig, aber es gelten immer dieselben Regeln: Informationen sind nur dann PHI, wenn sie persönlich identifizierbar sind, sich auf die Gesundheit oder die Gesundheitsversorgung beziehen und von einer Einrichtung erhoben wurden, die unter den HIPAA fällt.
Ist der HIPAA für die Webanalyse von Bedeutung?
Ja, das tut er. Webanalysedienste, die sich auf Cookies und andere Nachverfolgungsmechanismen stützen, können zu einer unbeabsichtigten Offenlegung von PHI führen, für die eine dem HIPAA unterliegende Einrichtung haftbar gemacht werden kann. Das HHS stellt auch klar, dass Cookie-Banner nicht als gültige Genehmigung gemäß HIPAA gelten.
Das bedeutet nicht, dass Sie keine Tracking-basierten Analysetools in einer HIPAA-konformen Weise implementieren können. Sie können dies immer noch tun, wenn Sie den Inhalt Ihrer Webseiten sorgfältig prüfen und jede Form von Tracking ausschalten, wenn es zu einer unbefugten Offenlegung von PHI führen könnte.
Dies ist jedoch mühsam, erfordert ein gewisses Maß an juristischem Fachwissen und kann dazu führen, dass zahlreiche Seiten Ihrer Website ganz von Ihren Analysen ausgeschlossen werden.
Abschließende Überlegungen
Es ist wichtig zu wissen, ob Sie unter den HIPAA fallen und mit PHI zu tun haben oder nicht. Wenn ja, müssen Sie die richtigen Schritte unternehmen, um die Vorschriften einzuhalten, was sich auch auf Geschäftspraktiken wie die Nachverfolgung von Websites auswirkt.
Warum ist uns das wichtig? Wir haben Simple Analytics genau aus diesem Grund entwickelt. Es ist eine datenschutzfreundliche Google Analytics-Alternative, die sich ausschließlich auf nicht-personenbezogene Daten stützt, um Ihnen alle erforderlichen Einblicke in die Leistung Ihrer Websites und Marketingkampagnen zu geben.
Wir glauben an ein datenschutzfreundliches Internet und verwenden keine Cookies, Fingerabdrücke oder andere Tracking-Technologien, um Ihre Besucher auszuspionieren.
Wenn auch Sie an ein datenschutzfreundliches Internet glauben oder wenn Sie es einfach satt haben, sich mit dem HIPAA und seinen Compliance-Problemen zu befassen, dann sollten Sie uns unbedingt ausprobieren!