Health Information Privacy Law and Policy

What Type of Patient Choice Exists Under HIPAA?

Die meisten Leistungserbringer im Gesundheitswesen müssen die Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule (Privacy Rule) befolgen, ein Bundesgesetz zum Schutz der Privatsphäre, das einen Grundstock für den Schutz bestimmter individuell identifizierbarer Gesundheitsinformationen („health information“) legt.

Die Privacy Rule erlaubt im Allgemeinen, verlangt aber nicht, dass die betroffenen Gesundheitsdienstleister den Patienten die Wahl lassen, ob ihre Gesundheitsinformationen für bestimmte Hauptzwecke an andere weitergegeben werden dürfen.

Wie kann die Wahlfreiheit der Patienten beim elektronischen Austausch von Gesundheitsinformationen (eHIE) umgesetzt werden?

Obgleich dies nicht vorgeschrieben ist, können Leistungserbringer im Gesundheitswesen beschließen, den Patienten die Wahl zu lassen, ob ihre Gesundheitsinformationen direkt oder über eine Organisation für den Austausch von Gesundheitsinformationen (HIE) elektronisch ausgetauscht werden dürfen. Das heißt, sie können eine „Opt-In“- oder eine „Opt-Out“-Regelung oder eine Kombination davon anbieten.

Gibt es spezifische gesetzliche Anforderungen für Opt-In- oder Opt-Out-Regelungen?

Das U.S. Department of Health and Human Services (HHS) legt keine spezifischen Schritte oder Anforderungen für die Einholung der Entscheidung eines Patienten über die Teilnahme an eHIE fest. Eine angemessene Information der Patienten über diese neuen Modelle des Austauschs und die Möglichkeit, ihnen die Wahl zu lassen, ob sie daran teilnehmen wollen, ist jedoch ein Mittel, um das Vertrauen der Patienten in diese Systeme sicherzustellen. Die Leistungserbringer werden daher ermutigt, den Patienten die Möglichkeit zu geben, eine „sinnvolle“ Einwilligung zu erteilen und nicht eine uninformierte.

Weitere Informationen über die Wahlfreiheit der Patienten und eHIE finden Sie in den vom Office for Civil Rights (OCR) veröffentlichten Leitlinien: The HIPAA Privacy Rule and Electronic Health Information Exchange in a Networked Environment (Die HIPAA-Datenschutzregel und der elektronische Austausch von Gesundheitsinformationen in einer vernetzten Umgebung).

Gibt es Datenschutzgesetze, die eine Zustimmung des Patienten erfordern?

Ja. Es gibt einige Datenschutzgesetze auf Bundes- und Landesebene (z. B. 42 CFR Part 2, Title 10), die vorschreiben, dass Gesundheitsdienstleister die schriftliche Zustimmung der Patienten einholen müssen, bevor sie deren Gesundheitsinformationen an andere Personen und Organisationen weitergeben, auch für die Behandlung. Viele dieser Datenschutzgesetze schützen Informationen, die sich auf Gesundheitszustände beziehen, die von den meisten Menschen als „sensibel“ angesehen werden.

Wie wirkt sich der HIPAA auf diese anderen Datenschutzgesetze aus?

Der HIPAA hat einen Grundstock an Datenschutz geschaffen. Er setzt andere Datenschutzgesetze außer Kraft, die einen geringeren Schutz bieten. Der HIPAA lässt jedoch andere Gesetze in Kraft, die einen stärkeren Schutz der Privatsphäre vorsehen. Innerhalb dieses rechtlichen Rahmens müssen Gesundheitsdienstleister und andere Umsetzer weiterhin andere geltende Bundes- und Landesgesetze befolgen, die vor der Weitergabe von Gesundheitsdaten die Zustimmung der Patienten verlangen.

Die unten aufgeführten Ressourcen enthalten Links zu einigen Bundes-, Landes- und Organisationsressourcen, die für diejenigen von Interesse sein können, die in Absprache mit Rechtsberatern eHIE-Richtlinien aufstellen. Implementierer können auch die Gesetzes- und Politikseiten ihres Staates besuchen, um zusätzliche Informationen zu erhalten.

Bundes-, Staats- und Organisationsressourcen zu den Themen Einwilligung, persönliche Entscheidung und Vertraulichkeit

Wir empfehlen Anbietern, HIEs und anderen Implementierern von Gesundheits-IT, sich bei der Bewertung dieser Ressourcen von Experten beraten zu lassen, da sich Datenschutzgesetze und -richtlinien ständig weiterentwickeln. Die Ressourcen sind nicht dazu gedacht, als Rechtsberatung zu dienen oder Empfehlungen auf der Grundlage der spezifischen Umstände eines Implementierers zu geben.

Bundesgesetz, Verordnung, Leitfaden und Politik

Gesundheitsinformationen im Allgemeinen

• Individuelle Wahl: Die HIPAA-Datenschutzregel und elektronischer Gesundheitsinformationsaustausch in einer vernetzten Umgebung – Leitfaden zur HIPAA-Datenschutzregel in Bezug auf den Wahlgrundsatz im Rahmen für Datenschutz und Sicherheit.

Sensible Gesundheitsinformationen (z. B. Informationen über Verhaltensgesundheit, HIV/AIDS-Status)

• Psychische Gesundheit und Substanzmissbrauch: Legal Action Center in Conjunction with SAMHSA’s Webinar Series on Alcohol and Drug Confidentiality Regulations (42 CFR Part 2) – Folien und Videos mit einem Überblick über die Vertraulichkeitsregeln für Alkohol und Drogen, weitere Erläuterungen zu den SAMHSA-FAQs und zusätzliches Material.
• Mental Health and Substance Abuse: SAMHSA – Health Resources and Services Administration (HRSA) Center for Integrated Health Solutions (Zentrum für integrierte Gesundheitslösungen) – Ressourcen und Beispiele, die Anbietern dabei helfen sollen, Fragen der Vertraulichkeit von Patientendaten zu verstehen und zu behandeln, auch im Zusammenhang mit der Pädiatrie.
• Student Health Records: U.S. Department of Health and Human Services and Department of Education Guidance on the Application of the Family Educational Rights and Privacy Act (FERPA) and HIPAA to Student Health Records – Überblick über FERPA, HIPAA und deren mögliche Überschneidungen; mit einem FAQ-Bereich.
• Familienplanung: Title 42 – Public Health – 42 CFR 59.11 – Confidentiality (Vertraulichkeit) – Bundesvorschriften über die Zustimmung und Vertraulichkeit von Patientendaten im Zusammenhang mit staatlich finanzierten Familienplanungskliniken.

Policy

• Nationwide Privacy and Security Framework for Electronic Exchange of Individually Identifiable Health Information (Datenschutz- und Sicherheitsrahmen für den elektronischen Austausch individuell identifizierbarer Gesundheitsinformationen) – ONC’s Datenschutz- und Sicherheitsrahmen für eHIE, der dazu beitragen soll, die Einführung von Gesundheits-IT in der Nation zu lenken und die Verfügbarkeit von Gesundheitsinformationen und die Qualität der Gesundheitsversorgung zu verbessern.
• Privacy and Security Program Instruction Notice (PIN) for State HIEs – ein gemeinsamer Satz von Datenschutz- und Sicherheitsanforderungen, der den Empfängern staatlicher HIE-Kooperationsvereinbarungen helfen soll, Datenschutz- und Sicherheitsrichtlinien und -verfahren für HIE-Dienste zu entwickeln. Der Leitfaden hilft auch staatlichen Entscheidungsträgern und anderen Interessengruppen, die gemeinsame Datenschutz- und Sicherheitsrichtlinien und -praktiken für Gemeinden, Regionen und Staaten einführen. Die PIN kann als Rahmen dienen und bietet eine spezifische Richtung und Anleitung für diese Bemühungen.
• Governance Framework for Trusted Electronic Health Information Exchange – ONC’s guiding principles on eHIE governance. Das Dokument bietet eine gemeinsame konzeptionelle Grundlage, die auf alle Arten von Governance-Modellen anwendbar ist, und drückt die Prinzipien aus, die nach Ansicht der ONC für die HIE-Governance am wichtigsten sind. Das Governance Framework schreibt keine spezifischen Lösungen vor, sondern legt Meilensteine und Ergebnisse fest, die ONC für und von HIE-Governance-Einheiten erwartet, wenn sie eHIE ermöglichen.
• Principles and Strategy for Accelerating HIE – ONCs allgemeine Prinzipien und Strategie zur Beschleunigung des Austauschs von Gesundheitsinformationen, einschließlich der Konzentration auf Datenschutz- und Sicherheitsfragen und mögliche Lösungen.

Federal Advisory Committee (FACA) Recommendations

• Health IT Policy Committee’s Tiger Team’s Recommendations on Individual Choice – FACA-Empfehlungen an das HHS zu Datenschutz- und Sicherheitsrichtlinien und -praktiken, die dazu beitragen, das Vertrauen der Öffentlichkeit in HIT und eHIE zu stärken und deren ordnungsgemäße Nutzung zur Verbesserung der Qualität und Effizienz der Gesundheitsversorgung zu ermöglichen. Diese Empfehlungen flossen in die staatliche HIE-PIN des ONC sowie in die Bemühungen um eConsent und Datensegmentierung ein.
• Empfehlungen des Tiger-Teams des Health IT Policy Committee zum Austausch von Gesundheitsinformationen in Abfragemodellen und Meaningful Consent – eine Reihe von Empfehlungen zu Abfragemodellen für den Austausch, die eine sinnvolle Wahlmöglichkeit für Patienten beinhalten.

State Law

• Report on State Law Requirements for Patient Permission to Disclose Health Information – Forschungsergebnisse darüber, wie verschiedene staatliche Gesetze die Offenlegung von Gesundheitsinformationen regeln. Dieser Bericht gibt auch einen Überblick über die bundesstaatlichen Zustimmungsgesetze.
• Report on Interstate Disclosure and Patient Consent Requirements (Bericht über die Anforderungen an die zwischenstaatliche Offenlegung und die Zustimmung der Patienten) – Dokumentation der gesetzlichen Anforderungen an die Offenlegung von Gesundheitsinformationen zu Behandlungszwecken innerhalb und über die Grenzen der einzelnen Bundesstaaten hinweg.
• Report on Intrastate and Interstate Consent Policy Options (Bericht über die Optionen für die zwischenstaatliche und innerstaatliche Zustimmung) – Instrumente und Ressourcen für die Bundesstaaten und die Akteure des Gesundheitswesens, die sie verwenden können, um zu entscheiden, welches Maß an Wahlmöglichkeiten für die Patienten in Bezug auf den elektronischen Zugang, die Verwendung und die Offenlegung ihrer Gesundheitsinformationen angemessen ist. Dazu gehören auch Hilfsmittel und Ressourcen, die die Staaten nutzen können, um zu bewerten, welche der zwischenstaatlichen Rechtsmechanismen sie erfolgreich einsetzen könnten.
• Zugang zu Gesundheitsinformationen von Minderjährigen – Abschnitt 3.2.6 dieses Berichts behandelt den Zugang zu Gesundheitsinformationen von Minderjährigen. Er enthält eine Diskussion über die Fähigkeit von Minderjährigen, in die Offenlegung von Gesundheitsinformationen einzuwilligen.

Organisationspolitik und -verfahren

• Leitfaden für die Entwicklung von Zustimmungsrichtlinien für Gesundheits-IT – Vorschläge für die Ausarbeitung von Zustimmungsrichtlinien.