Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das Anforderungen an den Umgang mit geschützten Gesundheitsdaten stellt.
Institutionen, die in den USA diese Daten erheben oder verarbeiten, sowie deren Unterauftraggeber müssen den HIPAA befolgen, um Sanktionen zu vermeiden. Besonders für europäische Firmen ist der HIPAA ein nur schwer verständliches und kaum zu überblickendes Regelwerk.
Dieser Artikel gibt Ihnen einen Überblick und hilft, häufige Missverständnisse und fehlerhafte Annahmen zu vermeiden und so den Einstieg in das Thema zu erleichtern.
1. Was HIPAA ist
a) Ein Gesetz, das Gesetzeswerke ändert
Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesetz, das dem 45. Buch des Codes of Federal Regulations die Teile 160, 162 und 164 hinzufügte bzw. diese änderte.
Das ist vergleichbar mit dem Digitale-Versorgung-Gesetz, das viele Gesetz bzw. Gesetzbücher wie das SGB V ändert.
Die Texte des HIPAA sind schwer verständlich. Das liegt
- sowohl am Inhalt
- als auch an der abstrakten Formulierung
- der unglücklichen Formatierung sowie
- an mehreren Änderungen, die nicht im Originaltext eingearbeitet sind.
Das US Department of Health & Human Services stellt eine inoffizielle konsolidierte Version des Gesetzeswerks bereit.
Die erste Version des HIPAA stammt aus dem Jahr 1996. Seitdem gab es mehrere Überarbeitungen und Ergänzungen.
b) Ein Gesetz, das aus mehreren Teilen besteht
HIPAA besteht aus drei Teilen:
- Part 160 legt allgemeine administrative Anforderungen fest, die u. a. den behördlichen Umgang und Strafzahlungen betreffen.
- Part 162 enthält auch administrative Anforderungen. Allerdings geht es hier auch um die Voraussetzungen für die Interoperabilität wie die Identifikation von Gesundheitsdienstleistern und den Datenaustausch.
- Part 164 ist der Teil, auf den sich die meisten beziehen, wenn Sie von HIPAA sprechen. Er regelt die „Security and Privacy“.
Der Part 164 stellt Anforderungen an den Schutz von Gesundheitsinformationen, die elektronisch verarbeitet werden, und an das Vorgehen, wenn dieser Schutz gebrochen wurde.
c) HIPAA ist ein Gesetz, das mehrere Rules festlegt
Häufig spricht man auch von den HIPAA Rules. Doch das sind keine zusätzlichen Anforderungen. Vielmehr entsprechen diese Regeln bestimmten Teilen des Gesetzeswerks:
| Rule | HIPAA | Gegenstand |
| Security Rule | Part 160 und Part 164: Subparts A und C | Datenschutz ist streng genommen ein Teil der nächsten „Rule“ |
| Privacy Rule | Part 160 und Part 164: Subparts A und E | Datenschutz |
| Enforcement Rule | Part 160: Subparts C, D, E | Durchsetzungsrechte und -pflichten der Behörden |
| Breach Notification Rule | Part 164: §§ 164.400-414 | Meldepflichten bei Zwischenfällen |
| Omnibus Rule | Das ist eine weitere Änderung des HIPAA als Teil des HITECH Acts im Jahr 2013. Hier geht es um die Verträge mit den Geschäftspartnern wie z. B. Cloud-Anbieter |
In diesen Teilen legt der HIPAA fest, welche
- Daten zu schützen sind,
- Ausnahmen es davon gibt, d. h. welche Daten weitergegeben werden dürfen und müssen,
- Anforderungen an den Schutz der Daten erfüllt sein müssen,
- Maßnahmen Organisationen beim Bruch der Vertraulichkeit ergreifen müssen und
- Maßnahmen die Behörden in diesem Fall ergreifen.
2. Wen HIPAA betrifft
a) Betroffene Organisationen
Health Information sind laut Definition nur solche Informationen, die von bestimmen Organisationen erstellt oder empfangen werden.
health care provider, health plan, public health authority, employer, life insurer, school or university, or health care clearinghouse
Quelle: 45 CFR part 160.103
Was es mit dem „health plan“ auf sich hat, klärt die Definition:
an individual or group plan that provides, or pays the cost of, medical care (as defined in section 2791(a)(2) of the PHS Act, 42 U.S.C. 300gg-91(a)(2)) […]
Quelle: 45 CFR part 160.103
Ein Software-Hersteller fällt damit ebenso wenig unter diese Definition wie ein Cloud-Anbieter. Allerdings muss seine Software die o.g. Voraussetzungen schaffen, damit seine Software von den genannten Institutionen genutzt werden darf.
Ein Dienstleister wie ein Cloud-Anbieter zählt zu den „business associates“, für die die gleichen Anforderungen gelten wie für die o. g. Organisationen.
b) Betroffene Daten
HIPAA bezieht sich auf geschützte Gesundheitsinformationen (Protected Health Information PHI). Diese entsprechen den personenbezogenen Daten gemäß DSGVO. Beispiele dafür sind Namen, Kontaktdaten, identifizierende Nummern, medizinische Daten (die DSGVO nennt diese „Gesundheitsdaten“), Fotos und Rechnungen.
3. Was HIPAA fordert
Ähnlich wie bei europäischen Gesetzen und Regelwerken wie der DSGVO und dem BSI-Leitfaden verlangt auch der HIPAA technische und organisatorische Maßnahmen.
…bezüglich Infrastruktur und Systeme
Ein Teil dieser Maßnahmen führt zu Anforderungen an die Infrastruktur und IT-Systeme:
- Physische Beschränkung des Zugangs und des Zugriffs auf die Infrastruktur. Das lässt sich z. B. durch abschließbare Räume und IT-Systeme erreichen. So wird nicht nur ein unautorisierter Zugriff, sondern auch Diebstahl verhindert.
- Logging der Aktivitäten an den Systemen einschließlich Nutzung und Änderungen der Systeme
- Eindeutige Identifikation der Anwender, Authentifizierung und Autorisierung
- Möglichkeit für einen Notfallzugriff auf Daten
- Automatisches Ausloggen der Anwender
- Verschlüsselung der Daten
- Schutz und Überprüfung der Integrität der Daten (auch bei Datenübertragung)
- u. v. m.
…bezüglich Organisationen / Hersteller
Viele Maßnahmen sind organisatorischer Art wie beispielsweise:
- Backup-Prozeduren müssen festgelegt und überprüft werden.
- Zugriffe auf Daten für das Testen müssen geregelt werden.
- Unterauftragnehmer müssen zur Einhaltung des Datenschutzes verpflichtet werden.
- Es muss geregelt werden, wer unter welchen Umständen welche Tätigkeiten an den Systemen vornehmen darf. Das betrifft die Nutzung ebenso wie die Änderung und Wartung dieser Systeme.
- Es muss beschrieben sein, wie mit Wechseldatenträgern umgegangen wird und wie diese zu entsorgen sind.
- Die Verantwortlichen müssen Verfahren aufstellen, um Berechtigungen zu vergeben und zu entziehen.
- Es gibt bestimmte Anforderungen an die Wahl und Vergabe von Passwörtern.
4. Welche Irrtümer es gibt
a) Es gibt HIPAA-konforme oder gar zertifizierte Systeme
Genauso wenig wie eine Software ISO 13485-, IEC 62304- oder DSGVO-konform sein kann, kann sie in Anspruch nehmen, HIPAA-konform oder gar HIPAA-zertifiziert zu sein.
Eine Software kann jedoch alle Voraussetzungen bieten, dass ein Hersteller damit HIPAA-Konformität erreicht. Wenn die Software z. B. keine Verschlüsselung der Daten erlaubt, wäre das nicht möglich. Es gibt somit keine HIPAA-Zertifizierung für Produkte.
b) Es gibt HIPAA-zertifizierte Organisationen
Streng genommen existiert so eine Zertifizierung nicht einmal für Organisationen. Allerdings gibt es Firmen/Organisationen, die Audits durchführen und dann ein Zertifikat verleihen. Aber das basiert nicht auf einer staatlichen Akkreditierungsorganisation.
Manchmal wird der Begriff HIPAA-Zertifizierung auch im Kontext von Personenzertifizierungen verwendet. Das bedeutet, dass eine Person eine Prüfung bestanden hat, in der sie ihre HIPAA-Kompetenz nachgewiesen hat.
c) Es geht nur um den Datenschutz
Nicht nur in Europa wird HIPAA als Synonym für die US-amerikanischen Anforderungen an den Datenschutz im Gesundheitswesen verstanden.
Diese Vorstellung ist zwar nicht falsch, aber unvollständig. Denn wie bereits der Name des Gesetzes impliziert, geht es auch um die „Portability“ von Daten, sprich um die Interoperabilität.
Allerdings sind diese Anforderungen so „high level“, dass damit noch keine Spezifikation für Schnittstellen abgeleitet werden kann. Immerhin nennt der HIPAA bereits semantische Standards wie den ICD-9-CM-Katalog für die Diagnosen und Behandlungen und die CPT-Code für Dienstleistungen wie Labor und Radiologie.
5. FAQs
a) Wie unterscheidet sich der HIPAA von der DSGVO?
Sowohl der HIPAA als auch die DSGVO sind Gesetze im Kontext Datenschutz. Sie unterscheiden sich jedoch in vielerlei Hinsicht:
- Im Gegensatz zur DSGVO geht es beim HIPAA „nur“ um Gesundheitsdaten.
- HIPAA regelt weit mehr als nur Datenschutzaspekte. Das Gesetz geht auf die Interoperabilität sowie auf die Rechte von Behörden ein.
- HIPAA unterscheidet und definiert genetische Informationen viel präziser als die DSGVO.
- Die DSGVO spricht nur von technischen und organisatorischen Maßnahmen. HIPAA stellt konkretere Anforderungen.
Beachten Sie auch unsere Artikel zur IT-Sicherheit im Gesundheitswesen und zu den Datenschutzanforderungen bei DiGA.
b) Wo kann ich noch mehr zu dem Thema erfahren?
Mit dem Thema HIPAA lässt sich Geld verdienen. Achten Sie daher darauf, von wo Sie Informationen beziehen. Ein guter Anlaufpunkt sind die offiziellen Seiten des amerikanischen Gesundheitsministeriums HHS (U.S. Department for Health & Human Services).
- Ein erster Einstieg gelingt auf den Seiten des HHS mit weiterführenden Links.
- Hier finden Sie den kombinierten Gesetzestext, hier das zugehörige PDF.
- Das Center for Disease Control and Prevention hat ein FAQ zum HIPAA publiziert.
- Keine offizielle Seite, aber einen guten Einstieg („for Dummies“) bietet die Seite von Compliance Junction.
- Auf Deutsch bietet ein kommerzieller Anbieter ebenfalls eine gute erste Übersicht.
6. Fazit und Zusammenfassung
Die Anforderungen des HIPAA sind sehr umfassend und gehen über den Datenschutz hinaus. Wie sinnvoll die Vermengung solch unterschiedlicher Aspekte ist, steht auf einem anderen Blatt.
Wer bereits eine Zertifizierung z. B. nach ISO 27001 oder BSI besitzt, hat bezüglich des Datenschutzes bzw. der IT-Sicherheit auch die Anforderungen des HIPAA (fast) vollständig erfüllt.
Konformität lässt sich nur durch organisatorisch und technische Maßnahmen erreichen, idealerweise durch ein IT-Sicherheitsmanagementsystem.
Für BSI- oder ISO 27001-zertifizierte Organisationen verliert der HIPAA den Schrecken. Allerdings greifen amerikanische Behörden bei Verstößen konsequent durch.
Das Johner Institut unterstützt Firmen beim Aufbau integrierter Qualitäts- und IT-Sicherheitsmanagementsysteme (QMS und ISMS). So erreichen die Firmen schnell, ohne Redundanzen und unnötigen Overhead eine ISO 13485- und ISO 27001-Konformität und damit die Voraussetzungen für die Entwicklung und den Betrieb von IT-Lösungen im Gesundheitswesen.
Änderungshistorie
- 2023-12-20: Links auf Artikel zur Datensicherheit und zum Datenschutz ergänzt
- 2022-04-05: Erste Version
Guten Tag, Ihr Hinweis auf o.g. Webseite „HIPAA in a nutshell“, unter 5. FAQs bezüglich Unterschiede zwischen HIPAA und der DSGVO:
„HIPAA beschränkt sich nicht auf elektronisch gespeicherte Daten.“
Dies ist so nicht korrekt. Es ist KEIN Unterschied zur DSGVO. Die DSGVO umfasst sowohl automatisierte als auch nicht automatisierte Daten, d.h. ein Aktenordner oder irgendein Papiersystem, welches strukturiert ist, fällt unter die DSGVO.
Siehe DSGVO, Artikel 2 Absatz 1: Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Guten Tag SYPO,
vielen Dank für den Hinweis! Ich stimme Ihnen absolut zu, dass die DSGVO nicht nur für elektronisch gespeicherte Daten gilt. Daher habe ich den entsprechenden Satz im Beitrag gelöscht.
Herzliche Grüße
Anja Segschneider | Redaktion