Ein praktischer Leitfaden zu Häufige HIPAA-Verstöße und wie man sie

Dieser Leitfaden erklärt Häufige HIPAA-Verstöße und wie man sie praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

HIPAA-Verstöße sind in der Regel eher auf alltägliche Betriebslücken als auf dramatische Angriffe zurückzuführen: eine verpasste Risikoanalyse, ein Mitarbeiter mit zu viel Zugriff, ein Anbieter ohne Geschäftspartnervereinbarung, ein verlorenes Gerät, eine an die falsche Person gesendete Patientenakte oder Tracking-Technologie, die in einen patientenorientierten Arbeitsablauf eingefügt wird, ohne zu verstehen, was sie preisgibt.

HIPAA gilt für betroffene Unternehmen und Geschäftspartner. Die Kernregeln sind die Datenschutzregel, die Sicherheitsregel und die Regel zur Meldung von Verstößen, die vom HHS Office for Civil Rights durchgesetzt werden (HHS HIPAA Durchsetzungsübersicht). Wenn Ihr Unternehmen geschützte Gesundheitsinformationen (PHI) verarbeitet, verdienen Analyse- und Marketingtools eine besondere Prüfung, da sie gesundheitsbezogenes Surfverhalten stillschweigend offenlegen können.

1. Unvollständige Risikoanalyse

Eine Risikoanalyse ist kein optionaler Papierkram. Laut HHS-Leitlinien hilft der Risikoanalyseprozess der Security Rule Organisationen dabei, Risiken und Schwachstellen für elektronische PHI zu identifizieren (HHS risk analysis guidance). Viele Durchsetzungsfälle beginnen damit, dass OCR feststellt, dass eine Organisation nie eine genaue, unternehmensweite Analyse durchgeführt hat.

Verhütung:

• Inventarsysteme, die ePHI erstellen, empfangen, verwalten oder übertragen.
• Beziehen Sie Cloud-Tools, Analyseskripte, Anrufaufzeichnungen, Support-Tools, Backups und Protokolle ein.
• Bewerten Sie Bedrohungen und Schwachstellen nach Wahrscheinlichkeit und Auswirkung.
• Weisen Sie Behebungsverantwortliche und Fristen zu.
• Wiederholen Sie dies nach größeren System-, Anbieter- oder Workflow-Änderungen.

2. Unbefugter Zugriff

Das erforderliche Mindestkonzept und die Zugriffskontrollen nach Sicherheitsregeln von HIPAA erfordern, dass der Zugriff der Arbeitskräfte den Arbeitsaufgaben entspricht. Zu Verstößen kommt es, wenn Mitarbeiter Anmeldedaten teilen, den Zugriff nach Rollenwechseln behalten, Datensätze aus Neugier durchsuchen oder umfassende Administratorkonten für Routinearbeiten verwenden.

Verhütung:

• Verwenden Sie eindeutige Konten und Multi-Faktor-Authentifizierung.
• Wenden Sie rollenbasierte Zugriffskontrollen an.
• Überprüfen Sie den Zugriff vierteljährlich.
• Entfernen Sie den Zugang sofort, wenn das Personal das Personal verlässt.
• Überwachen Sie Audit-Protokolle auf ungewöhnliche Datensatzzugriffe.
• Schulen Sie Manager darin, Zugangsänderungen anzufordern, wenn sich die Aufgaben ändern.

3. Schwache Prüfungskontrollen

Die HIPAA-Sicherheitsregel umfasst Auditkontrollen als technische Schutzmaßnahme (Zusammenfassung der HHS-Sicherheitsregeln). Wenn Sie nicht sehen können, wer auf PHI zugegriffen, es exportiert, geändert oder an einen Anbieter gesendet hat, können Sie Vorfälle nicht ordnungsgemäß untersuchen.

Verhütung:

• Protokollieren Sie den Zugriff auf PHI, Administratoraktionen, Exporte, fehlgeschlagene Anmeldungen und Berechtigungsänderungen.
• Schützen Sie Protokolle vor Änderungen.
• Überprüfen Sie Ereignisse mit hohem Risiko, nicht nur nach einem Verstoß.
• Stellen Sie sicher, dass SaaS-Anbieter Prüfprotokolle bereitstellen.

4. Fehlende oder schwache Geschäftspartnervereinbarungen

Eine Geschäftspartnervereinbarung ist erforderlich, wenn ein Anbieter PHI im Namen eines abgedeckten Unternehmens oder eines anderen Geschäftspartners erstellt, empfängt, verwaltet oder überträgt. Anbieter von Analysen, E-Mail, Hosting, Callcenter, Support und Data Warehouse können je nach dem, was sie erhalten, in diese Kategorie fallen.

Verhütung:

• Senden Sie PHI erst dann an einen Anbieter, wenn BAA signiert ist.
• Überprüfen Sie zulässige Verwendungen und Offenlegungen.
• Bestätigen Sie die Fristen für die Meldung von Verstößen.
• Überprüfen Sie die Bedingungen für Subunternehmer.
• Bewerten Sie Anbieter neu, wenn neue Tracking-, Protokollierungs- oder AI-Funktionen aktiviert werden.

5. Fehler beim Patientenzugang

HIPAA gibt Einzelpersonen das Recht, auf ihre Krankenakten zuzugreifen. OCR hat dies im Rahmen seiner „Right of Access“-Initiative als Durchsetzungspriorität behandelt und mehrere Vergleiche von HHS angekündigt (Right of Access Durchsetzung).

Verhütung:

• Erstellen Sie einen klaren Aufnahmeprozess für Zugriffsanfragen.
• Verfolgen Sie Fristen.
• Schulen Sie Ihre Mitarbeiter darin, nicht zu viel zu überprüfen oder unnötige Barrieren zu schaffen.
• Stellen Sie Datensätze im gewünschten Format bereit, sofern dies erforderlich und möglich ist.
• Dokumentieren Sie jede rechtmäßige Ablehnung.

6. Ungesicherte Geräte und schlechte Verschlüsselung

Verlorene Laptops, gestohlene Telefone und unverschlüsselte Wechseldatenträger bleiben häufige Quellen für Sicherheitsverletzungen. Verschlüsselung ist nicht der einzige Schutz, sie kann jedoch die Auswirkungen von Sicherheitsverletzungen bei Geräteverlust drastisch reduzieren.

Verhütung:

• Verschlüsseln Sie Laptops, Mobilgeräte und Backups.
• Nutzen Sie die Mobilgeräteverwaltung für die Fernlöschung.
• Verbieten Sie lokale PHI-Downloads, sofern dies nicht erforderlich ist.
• Deaktivieren Sie USB-Exporte, wo es sinnvoll ist.
• Für PHI sind sichere Nachrichten anstelle persönlicher E-Mails oder SMS erforderlich.

7. Analyse- und Tracking-Technologiefehler

Gesundheitsorganisationen nutzen zunehmend Webanalysen, Pixel, Sitzungswiedergabe und Werbeplattformen auf Termin-, Symptom-, Zahlungs- oder Portalseiten. Dadurch können PHI oder gesundheitsbezogene Schlussfolgerungen an Dritte weitergegeben werden. Wichtiger Vorbehalt für 2024: HHS stellt fest, dass ein Gericht einen Teil des Tracking-Bulletins von OCR in Bezug auf eine IP-Adresse und einen Besuch auf bestimmten nicht authentifizierten öffentlichen Webseiten für ungültig erklärt hat. Daher sollten Teams die Verfolgung öffentlicher Seiten im Kontext bewerten, anstatt jeden Seitenaufruf im Bereich der öffentlichen Gesundheit standardmäßig als PHI zu behandeln. Das Risiko bleibt höher für Portale, Termine, Aufnahme, Zahlung, authentifizierte Seiten und Arbeitsabläufe, bei denen Benutzer Gesundheitsinformationen offenlegen. Die FTC hat auch Fälle des digitalen Gesundheitsschutzes außerhalb von HIPAA verfolgt, darunter Maßnahmen im Zusammenhang mit Gesundheits-Apps und dem Austausch sensibler Daten (Mobiles Gesundheits-App-Tool der FTC).

Verhütung:

• Halten Sie Drittanbieter-Tracker von authentifizierten Portalen und sensiblen Gesundheitsseiten fern, sofern sie nicht überprüft werden.
• Senden Sie keine Terminart, Anbieternamen, Diagnosebedingungen, Patienten-IDs, E-Mails oder Portal-URLs an Analytics.
• Verwenden Sie nach Möglichkeit datenschutzorientierte, cookielose Analysen für öffentliche Inhalte.
• Unterzeichnen Sie BAAs, wenn PHI beteiligt ist.
• Testen Sie Netzwerkanfragen vor dem Start.

8. Schlechte Reaktion auf Sicherheitsverletzungen

Die HIPAA Breach Notification Rule erfordert Benachrichtigungen nach Verstößen gegen ungesicherte PHI, wobei die Details von Ausmaß und Risiko abhängen (HHS Breach Notification Rule). Eine verspätete Reaktion erhöht den Rechts- und Reputationsschaden.

Verhütung:

• Pflegen Sie einen für PHI spezifischen Vorfallreaktionsplan.
• Legen Sie fest, wer beurteilt, ob PHI beteiligt war.
• Protokolle schnell aufbewahren.
• Beziehen Sie Rechts-, Datenschutz-, Sicherheits- und Kommunikationsteams ein.
• Üben Sie mit Tischübungen.

Die HIPAA-Compliance wird nicht durch einen einzigen Richtlinienordner gelöst. Dabei handelt es sich um eine Reihe betrieblicher Kontrollen, die Zugriff, Anbieter, Geräte, Analysen, Support und Reaktion auf Vorfälle umfassen müssen. Das sicherste Analyseprogramm für das Gesundheitswesen misst nur das, was benötigt wird, vermeidet standardmäßig Offenlegungen durch Dritte und behandelt jede neue Tracking-Funktion als Auslöser für eine Datenschutzüberprüfung.

Verfolgung von Kontrollen zur Verhinderung von Verstößen

Trennen Sie für Gesundheitsanalysen die öffentliche Bildungsmessung von Termin-, Portal-, Aufnahme-, Zahlungs-, zustandsspezifischen und authentifizierten Arbeitsabläufen. Keep analytics payloads free of names, emails, patient or record numbers, appointment details, form text, sensitive query strings, and identifiers that can link a visitor to care.

Bevor eine neue Tracking-Funktion ausgeliefert wird, ist eine Seitenklassifizierung, Nutzlastüberprüfung, Anbieterrollenprüfung, BAA-Entscheidung, Aufbewahrungseinstellung und Netzwerktest erforderlich. Dadurch wird die Nachverfolgung von einem nachträglichen Gedanken zu einem normalen Änderungskontrollschritt.