Gepostet von HIPAA Journal am 9. März 2018
Teilen Sie diesen Artikel auf:
Wie lange ist die Einhaltung des Health Insurance Portability and Accountability Act (HIPAA) schon notwendig? Wann wurde der HIPAA erlassen, und welche Fristen gelten für das ursprüngliche Gesetz und seine späteren Änderungen?
Wann wurde der HIPAA erlassen?
Der HIPAA wurde am 21. August 1996 erlassen, als Präsident Bill Clinton das Gesetz mit seiner Unterschrift in Kraft setzte. Eines der Hauptziele der Gesetzgebung war die Verbesserung der Übertragbarkeit des Krankenversicherungsschutzes, d. h. die Sicherstellung, dass Arbeitnehmer beim Wechsel des Arbeitsplatzes ihren Krankenversicherungsschutz behalten. HIPAA machte auch die Gesundheitsorganisationen rechenschaftspflichtig für Gesundheitsdaten und trug dazu bei, dass Gesundheitsinformationen privat und vertraulich bleiben.
HIPAA bekämpfte auch die Verschwendung im Gesundheitswesen und trug dazu bei, Betrug und Missbrauch in der Gesundheitsversorgung und Krankenversicherung zu verhindern, während es auch die Verwaltung der Gesundheitsversorgung vereinfachte.
Der HIPAA wurde 1996 in Kraft gesetzt und unterzeichnet, aber im Laufe der Jahre gab es wichtige Aktualisierungen der HIPAA-Gesetzgebung, insbesondere die Einführung der HIPAA Privacy Rule, der HIPAA Security Rule, die Einbeziehung der Anforderungen des HITECH Act und der HIPAA Omnibus Rule.
Diese Aktualisierungen fügten der HIPAA-Gesetzgebung viele neue Bestimmungen hinzu und trugen dazu bei, sicherzustellen, dass die Privatsphäre der Patienten geschützt wird, dass Gesundheitsdaten angemessen gesichert werden, dass Patienten und Planmitglieder im Falle eines Verstoßes gegen ihre geschützten Gesundheitsdaten benachrichtigt werden und dass Geschäftspartner von HIPAA-abgedeckten Einrichtungen ebenfalls die HIPAA-Regeln einhalten müssen.
Mit der Einführung der HIPAA Enforcement Rule im Jahr 2006 erhielt das Office for Civil Rights des Department of Health and Human Services die Befugnis zur Durchsetzung des HIPAA. Seitdem ist es dem HHS möglich, Geldstrafen für die Nichteinhaltung der HIPAA-Regeln zu verhängen.
Wann wurde die HIPAA Privacy Rule eingeführt?
Die HIPAA Privacy Rule wurde erstmals am 3. November 1999 vorgeschlagen und die HIPAA Final Privacy Rule am 20. Dezember 2000 in Kraft gesetzt, obwohl fast sofort Korrekturen vorgenommen wurden. Das wichtigste Datum ist der 14. April 2003, an dem die vom HIPAA erfassten Einrichtungen verpflichtet wurden, die HIPAA Privacy Rule einzuhalten.
Die HIPAA Privacy Rule definiert geschützte Gesundheitsinformationen (Protected Health Information, PHI) und regelt die Verwendung von PHI durch die vom HIPAA erfassten Einrichtungen, wobei festgelegt wird, an wen die Informationen weitergegeben werden können und unter welchen Umständen. Die HIPAA Privacy Rule schreibt vor, dass angemessene Schutzmaßnahmen zum Schutz der Privatsphäre der Patienten getroffen werden müssen. Die Patienten erhielten auch das Recht, Kopien der von den HIPAA-abgedeckten Einrichtungen aufbewahrten PHI zu erhalten.
Wann wurde die HIPAA-Sicherheitsregel eingeführt?
Die HIPAA-Sicherheitsregel wurde erstmals am 12. August 1998 vorgeschlagen, und die endgültige Sicherheitsregel des HIPAA wurde am 20. Februar 2003 in Kraft gesetzt. Die Einhaltung der HIPAA-Sicherheitsregel wurde am 21. April 2006 obligatorisch.
Die HIPAA-Sicherheitsregel befasst sich in erster Linie mit der Festlegung nationaler Sicherheitsstandards zum Schutz elektronischer geschützter Gesundheitsinformationen. Die HIPAA Security Rule schreibt administrative, physische und technische Schutzmaßnahmen vor, um die Vertraulichkeit, Integrität und Verfügbarkeit von PHI zu gewährleisten. Die HIPAA-Sicherheitsregel verpflichtet die betroffenen Einrichtungen außerdem, eine Risikoanalyse durchzuführen, um Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von PHI zu ermitteln und diese Risiken zu verwalten und auf ein angemessenes Maß zu reduzieren.
Wann wurde der HITECH Act in den HIPAA aufgenommen?
Der Health Information Technology for Economic and Clinical Health (HITECH) Act wurde am 17. Februar 2009 unterzeichnet. Bestimmte Elemente von HITECH traten noch im selben Monat in Kraft, wie z. B. höhere Strafen für Verstöße gegen die HIPAA-Regeln. Die meisten Bestimmungen des HITECH-Gesetzes traten am 27. Februar 2010 in Kraft und waren ab diesem Zeitpunkt durchsetzbar.
Die Einbindung des HITECH-Gesetzes in den HIPAA führte zur Einführung der HIPAA Breach Notification Rule (Regel zur Benachrichtigung bei Datenschutzverletzungen), nach der betroffene Einrichtungen verpflichtet sind, Einzelpersonen zu benachrichtigen, wenn PHI offengelegt oder gefährdet werden. HITECH verlangte auch, dass Geschäftspartner von HIPAA-abgedeckten Einrichtungen die HIPAA-Regeln einhalten und machte sie für HIPAA-Verstöße direkt rechenschaftspflichtig.
Die HIPAA Omnibus Rule von 2013 schloss viele Bestimmungen des HITECH Act ab und integrierte sie in den HIPAA mit der HIPAA Omnibus Rule des HIPAA, die am 17. Januar 2013 erlassen wurde. Die Frist für die Einhaltung der Vorschriften endete am 23. September 2013.
Wichtige Daten in der Geschichte des HIPAA
- August 21, 1996 – HIPAA in Kraft gesetzt
- Dezember 20, 2000 – HIPAA Final Privacy Rule veröffentlicht
- February 20, 2003 – HIPAA Final Security Rule veröffentlicht
- April 14, 2003 – Frist für die Einhaltung der HIPAA Privacy Rule
- April 21, 2006 – Frist für die Einhaltung der HIPAA Security Rule
- März 16, 2006 – HIPAA Enforcement Rule tritt in Kraft
- February 17, 2009 – Unterzeichnung des HITECH-Gesetzes
- 27. Februar 2010 – Frist für die Einhaltung des HITECH-Gesetzes
- 17. Januar 2013 – Veröffentlichung der endgültigen HIPAA Omnibus-Regel
- 23. September 2013 – Stichtag für die Einhaltung der Omnibus-Regel
Weitere Informationen zum HIPAA
Weitere Informationen zur Einhaltung des HIPAA finden Sie hier, und weitere Informationen zu den Meilensteinen des HIPAA finden Sie auf unserer Seite zur HIPAA-Geschichte und in unserer Infografik.