Die Health Breach Notification Rule legt fest, wann Anbieter von Health Records welche Probleme mit der Datensicherheit an wen, in welcher Frist und in welcher Form melden müssen. Dieser Artikel verschafft Ihnen eine schnelle Übersicht über die Forderung der US-amerikanischen Federal Trace Commission (FTC).
Health Breach Notification Rule: Wer melden muss
Die Health Breach Notification Note wendet sich an Hersteller und Anbieter von Personal Health Records. Das kann ebenso ein Medizinproduktehersteller wie der Betreiber einer Webseite sein. Selbst „Third Party Provider“ wie der Anbieter von Datenspeicher für solche Gesundheitsdaten fällt unter den Scope der Health Breach Notification Rule.
Ausgenommen sind aber
- Organisationen, die bereits dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen sowie
- nicht kommerzielle Anbieter.
Die FTC möchte damit eine regulatorische Lücke schließen, die sich dadurch ergibt, dass es Anbieter gibt, die nicht dem HIPAA unterliegen.
Wann Sie etwas tun müssen
Den Forderungen der Health Breach Notification Rule müssen Sie Folge leisten, falls
- Sie zu der o.g. Gruppe von Anbietern zählen und
- ein unauthorisierter Zugriff auf Gesundheitsdaten stattgefunden hat (z.B. durch einen Hacker-Angriff) und
- die Daten gemäß Definition des US Gesundheitsministerium ungesichert waren z.B. weil nicht verschlüsselt und
- die Daten einen Rückschluss auf Individuen ermöglichen und
- die Daten elektronisch vorlagen (also kein Papier gestohlen wurde).ö
Was Sie tun müssen
Sie müssen informieren,
- jede betroffene Person, die Bürger oder Bewohner der USA sind,
- die FTC und
- in manchen Fällen die Medien.
Wie schnell Sie informieren müssen
Die FTC legt in der Health Breach Notification Rule auch die Fristen fest, innerhalb derer Sie informieren müssen:
- Die Betroffenen ohne ungerechtfertigte Verzögerung und innerhalb von 60 Tagen nach Entdeckung des Problems.
- Die FTC innerhalb von 10 Tagen, wenn mehr als 500 Personen betroffen sind, sonst 60 Tage nach Ende des Kalenderjahrs.
- Die Medien ohne ungerechtfertigte Verzögerung und innerhalb von 60 Tagen, falls 500 Personen eines Bundesstaates betroffen sind.
Welche Informationen Sie melden/übermitteln müssen
Sie müssen folgende Informationen übermitteln:
- Beschreibung, was vorgefallen ist
- Wann man den Vorfall festgestellt hat
- Welche Daten betroffen sind
- Mögliche Risiken für die Betroffenen (auch Identitätsdiebstahl)
- Weiteres Vorgehen
- Kontaktdaten für weitere Informationen.
Überlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall
Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!
