Vertraulichkeit und HIPAA

VonThaddeus Mason Pope, JD, PhD, Mitchell Hamline School of Law
Überprüft/überarbeitet Okt. 2023
Aussicht hier klicken.

Traditionell wurde die ethische Seite der Gesundheitsversorgung immer dadurch gewahrt, dass die Vertraulichkeit der Patienteninformation gewährleistet wurde. In den Vereinigten Staaten wurde jedoch mit dem Health Insurance Portability and Accountability Act (HIPAA, siehe Pub. L 104-191 (1996)) die Verantwortung von Gesundheitsdienstleistern, Gesundheitsplänen, Clearingstellen für das Gesundheitswesen und deren Geschäftspartnern kodifiziert, die Gesundheitsdaten und damit zusammenhängende Informationen elektronisch übermitteln (z. B. Gesundheitsakten, Einschreibung, Rechnungsstellung, Überprüfung der Anspruchsberechtigung). Zusammen werden diese Unternehmen unter HIPAA abgedeckt. (Siehe auch U.S. Department of Health and Human Services: HIPAA for Professionals.)

Die wichtigsten Bestimmungen des HIPAA sind in den folgenden drei Vorschriften enthalten (die jetzt in einer Sammelbestimmung zusammengefasst sind), die alle dem Schutz der Privatsphäre und der Sicherheit von individuell identifizierbaren Gesundheitsinformationen dienen, die als geschützte Gesundheitsinformationen (PHI) bezeichnet werden:

  • Datenschutz-Regel: setzt Standards für den Schutz von geschützten Gesundheitsinformationen (PHI) und gibt den Patienten wichtige Rechte in Bezug auf ihre Gesundheitsinformationen.

  • Sicherheitsregel: Legt Schutzmaßnahmen fest, die betroffene Einrichtungen und ihre Geschäftspartner umsetzen müssen, um die Privatsphäre, Integrität und Sicherheit elektronischer geschützter Gesundheitsinformationen (ePHI) zu schützen

  • Regel zur Benachrichtigung bei Datenschutzverletzungen: Verlangt von den betroffenen Einrichtungen, die betroffenen Personen, die Bundesregierung und in einigen Fällen die Medien über eine Verletzung ungesicherter geschützter Gesundheitsinformationen zu informieren

Das Office for Civil Rights in the US Department of Health and Human Services setzt diese drei Regeln durch und gibt Hinweise zur Einhaltung der Regeln.

Wesentliche Aspekte der Datenschutzregel sind nachstehend ausgeführt.

Zugang zu medizinischen Aufzeichnungen

Typischerweise sollten die Patienten oder ihre Bevollmächtigten in der Lage sein, Einblick in die Patientenakten zu bekommen und auch Korrekturen einzufordern, wenn sie Fehler bemerken sollten. Für die Zwecke der Datenschutzregel ist ein bevollmächtigter "persönlicher Vertreter" des Patienten ein Vormund oder Betreuer mit Befugnis zu Gesundheitsentscheidungen, ein in einer Patientenverfügung oder Vorsorgevollmacht ernannter Vertreter oder Bevollmächtigter oder ein Familienmitglied oder Freund, der nach staatlichem Recht befugt ist, als Surrogat für Gesundheitsentscheidungen zu dienen. Die Patienten haben auch das Recht, einer anderen Person durch eine unterzeichnete, schriftliche Vollmacht Zugang zu allen oder einem Teil ihrer medizinischen Unterlagen zu gewähren.

Bekanntmachung über die Datenschutzpraktiken

Anbieter von Gesundheitsleistungen müssen eine Mitteilung über die Einsatzmöglichkeiten von persönlichen medizinischen Informationen und über die Rechte der Patienten innerhalb der HIPAA-Vorschriften zur Verfügung stellen.

Grenzen der Verwendung von geschützten Gesundheitsinformationen

HIPAA schreibt vor, inwieweit Gesundheitsanbieter einzelne identifizierbare (geschützte) Gesundheitsinformationen nutzen dürfen. Das Gesetz schränkt Ärzte, Krankenschwestern und andere Angehörige der Gesundheitsberufe nicht in der Weitergabe von Informationen ein, die sie für die Behandlung ihrer Patienten benötigen. Auch die Weitergabe von Daten an Gesundheitsinformationsbörsen und öffentliche Gesundheitsbehörden zu Zwecken der öffentlichen Gesundheit bei Ereignissen wie der COVID-19-Pandemie ist nach den Richtlinien des Office for Civil Rights im US Department of Health and Human Services zulässig. Ärzte dürfen jedoch nur das Minimum an geschützten Informationen verwenden oder weitergeben, das für einen bestimmten Zweck erforderlich ist. In den meisten Fällen können die persönlichen Gesundheitsinformationen nicht für Zwecke außerhalb der Gesundheitsversorgung verwendet werden. Zum Beispiel muss ein Patient eine besondere Genehmigung unterschreiben, bevor ein Arzt medizinische Informationen einem Lebensversicherer, einem Kreditinstitut, einer Marketing-Firma oder anderen außerhalb den unmittelbaren Gesundheitsangelegenheiten des Patienten liegenden Stellen weiterleitet.

Marketing

Marketing ist Kommunikation, die Menschen dazu ermutigt, ein bestimmtes Produkt oder eine Dienstleistung kaufen. Das HIPAA schreibt vor, dass die ausdrückliche Genehmigung des Patienten eingeholt werden muss, bevor geschützte Gesundheitsinformationen (PHI) zu Marketingzwecken weitergegeben werden. Anbieter von Gesundheitsleistungen müssen nachweisen, keine Zahlungen als Folge von Marketing empfangen zu haben. Dagegen können Gesundheitsdienstleister frei mit Patienten über Behandlungsmöglichkeiten, Produkte und andere gesundheitsbezogene Dienstleistungen kommunizieren.

Vertrauliche Kommunikation

Ärzte sollten angemessene Maßnahmen ergreifen, um sicherzustellen, dass ihre Kommunikation mit dem Patienten vertraulich bleibt und in Übereinstimmung mit den Wünschen des Patienten ist. Zum Beispiel sollten medizinische Gespräche zwischen dem Arzt und seinem Patienten im Allgemeinen in privaten Räumen abgehalten werden, oder ein Patient bittet den Arzt, ihn im Büro anzurufen, statt zu Hause. Sofern der Patient keine Einwände erhebt, können Kliniker jedoch geschützte Gesundheitsinformationen (PHI) an unmittelbare Familienangehörige des Patienten oder an eine Person weitergeben, die als enger persönlicher Freund bekannt ist, wenn sich die Informationen auf die Beteiligung dieser Person an der Pflege des Patienten oder an der Bezahlung der Pflege beziehen und die Informationen auf das beschränkt sind, was für die Beteiligung dieser Person notwendig ist. Von Ärzten wird erwartet, dass sie über ein professionelles Urteilsvermögen verfügen.

An autorisierter persönlicher Vertreter des Patienten sollten in Bezug auf den Zugang zu Informationen und die Teilnahme an Entscheidungsprozessen genauso behandelt werden wie der Patient. Somit hat der Vertreter den gleichen Zugang zu Informationen und die gleichen Rechte in Bezug auf die Vertraulichkeit der Informationen. Dennoch können Angehörige der Gesundheitsberufe Informationen oder den Zugang einschränken, wenn begründete Bedenken hinsichtlich häuslicher Gewalt, Missbrauch oder Vernachlässigung durch den Vertreter bestehen.

Einige Informationen können jedoch nicht vertraulich bleiben. Angehörige der Gesundheitsberufe sind manchmal durch staatliche oder örtliche Gesetze verpflichtet, bestimmte Informationen weiterzugeben, in der Regel, weil der Zustand eine Gefahr für andere Menschen darstellen kann. HIPAA erlaubt die Weitergabe von PHI an öffentliche Gesundheitsbehörden, die rechtlich befugt sind, solche Informationen zum Zweck der Prävention oder Kontrolle von Krankheiten, Verletzungen oder Behinderungen zu erhalten (1). (Siehe auch U.S. Department of Health and Human Services: HIPAA for Professionals: Disclosures for Public Health Activities.) So müssen bestimmte Infektionskrankheiten (z. B. COVID-19, HIV, Syphilis, Tuberkulose) den staatlichen oder lokalen Gesundheitsbehörden gemeldet werden. Anzeichen von Kindesmissbrauch und in vielen Staaten auch von Missbrauch oder Vernachlässigung Erwachsener oder älterer Menschen müssen in der Regel den Schutzdiensten gemeldet werden. In einigen Bundesstaaten müssen Bedingungen, die die Fähigkeit des Patienten, ein Auto zu lenken, erheblich beeinträchtigen, wie z. B. Demenz oder Anfallsleiden dem Department of Motor Vehicles gemeldet werden.

Beschwerden

Patienten können Beschwerden über die Befolgung dieser Datenschutzpraktiken einreichen. Beschwerden können direkt an den Arzt, das Office for Civil Rights im US Department of Health and Human Services oder den Datenschutzbeauftragten gerichtet werden, der von der Institution in Übereinstimmung mit HIPAA benannt wird. Obwohl Patienten kein Recht haben, eine private Klage nach HIPAA zu erheben, können sie auch Klagen unter anderen Gesetzen zum Schutz der Privatsphäre und Vertraulichkeit erheben. Das Office for Civil Rights verhängt regelmäßig zivil- und strafrechtliche Strafen für die unzulässige Weitergabe personenbezogener Gesundheitsinformationen. Der beste Weg für Angehörige der Gesundheitsberufe besteht darin, sich gut über das HIPAA zu informieren, nach Treu und Glauben zu handeln und sich in angemessener Weise um dessen Einhaltung zu bemühen.

Hinweis

Weitere Informationen

  1. U.S. Department of Health and Human Services: HIPAA for Professionals: Provides detailed information about HIPAA and its rules and administration, including frequently asked questions about HIPAA.