Angesichts des COVID-19-Ausbruchs stellt das Office for Civil Rights (OCR) des US-Gesundheitsministeriums (HHS) sicher, dass HIPAA-unterstützte Unternehmen und ihre Geschäftspartner darüber informiert sind, wie Patienteninformationen weitergegeben werden können gemäß der HIPAA-Datenschutzrichtlinie bei einem Ausbruch einer Infektionskrankheit oder einer anderen Notsituation und als Erinnerung daran, dass der Schutz der Datenschutzrichtlinie während eines Notfalls nicht außer Kraft gesetzt wird.
Hintergrund
Die Datenschutzrichtlinie des Health Insurance Portability and Accountability Act von 1996 (HIPAA) schützt die Vertraulichkeit der Gesundheitsinformationen von Patienten (geschützte Gesundheitsinformationen), ist jedoch ausgewogen, um sicherzustellen, dass die Informationen weiterhin angemessen genutzt und offengelegt werden können, wenn dies für die Behandlung eines Patienten erforderlich ist , zum Schutz der öffentlichen Gesundheit des Landes und für andere wichtige Zwecke.
HIPAA und öffentliche Gesundheit
Die HIPAA-Datenschutzregel erkennt das legitime Bedürfnis von Gesundheitsbehörden und anderen für die Gewährleistung der öffentlichen Gesundheit und Sicherheit zuständigen Stellen an, Zugang zu geschützten Gesundheitsinformationen zu haben, die zur Erfüllung ihrer öffentlichen Gesundheitsaufgabe erforderlich sind. Daher erlaubt die Datenschutzregel den erfassten Unternehmen, benötigte geschützte Gesundheitsinformationen ohne individuelle Genehmigung offenzulegen:
An eine öffentliche Gesundheitsbehörde wie das CDC oder ein staatliches oder lokales Gesundheitsamt wie das Tulsa Health Department, das gesetzlich dazu befugt ist, solche Informationen zum Zweck der Vorbeugung oder Kontrolle von Krankheiten, Verletzungen oder Behinderungen zu sammeln oder zu empfangen. Dazu gehört beispielsweise die Meldung von Krankheiten oder Verletzungen; Meldung wichtiger Ereignisse wie Geburten oder Todesfälle; und Durchführung von Überwachungen, Untersuchungen oder Interventionen im Bereich der öffentlichen Gesundheit. Eine „Behörde für öffentliche Gesundheit“ ist eine Behörde oder Behörde der Regierung der Vereinigten Staaten, eines Staates, eines Territoriums, einer politischen Unterabteilung eines Staates oder Territoriums oder eines Indianerstamms, die im Rahmen ihres offiziellen Mandats für öffentliche Gesundheitsangelegenheiten verantwortlich ist sowie eine natürliche oder juristische Person, die im Rahmen einer Vollmachtserteilung oder eines Vertrags mit einer öffentlichen Gesundheitsbehörde handelt. Siehe 45 CFR §§ 164.501 und 164.512(b)(1)(i). Beispielsweise kann ein abgedecktes Unternehmen der CDC bei Bedarf fortlaufend geschützte Gesundheitsinformationen offenlegen, um alle früheren und zukünftigen Fälle von Patienten zu melden, die dem neuartigen Coronavirus (2019-nCoV) ausgesetzt waren oder bei denen der Verdacht oder die bestätigte Erkrankung besteht.
Offenlegung
Offenlegung gegenüber den Medien oder anderen Personen, die nicht an der Betreuung des Patienten/Benachrichtigung beteiligt sind: Im Allgemeinen, mit Ausnahme der an anderer Stelle in diesem Bulletin beschriebenen begrenzten Umstände, bejahende Berichterstattung gegenüber den Medien oder der Öffentlichkeit über einen identifizierbaren Patienten oder die Offenlegung gegenüber Die Weitergabe spezifischer Informationen über die Behandlung eines identifizierbaren Patienten an die Öffentlichkeit oder an die Medien, wie z. B. bestimmte Tests, Testergebnisse oder Einzelheiten zur Krankheit eines Patienten, darf nicht ohne die schriftliche Genehmigung des Patienten (oder der schriftlichen Genehmigung eines persönlichen Vertreters, bei dem es sich um eine Person handelt) erfolgen gesetzlich befugt, Entscheidungen über die Gesundheitsfürsorge des Patienten zu treffen). Die Anforderungen für eine HIPAA-Autorisierung finden Sie in 45 CFR 164.508. Wenn ein Patient der Weitergabe geschützter Gesundheitsinformationen nicht widersprochen oder diese eingeschränkt hat, kann ein abgedecktes Krankenhaus oder eine andere Gesundheitseinrichtung auf Anfrage Informationen über einen bestimmten Patienten namentlich offenlegen oder eingeschränkte Informationen aus dem Verzeichnis einer Einrichtung herausgeben, um zu bestätigen, dass eine Person ein Patient ist Patienten in der Einrichtung und kann allgemeine Informationen über den Zustand des Patienten bereitstellen (z. B. kritisch oder stabil, verstorben oder behandelt und entlassen). Versicherte Unternehmen können Informationen auch dann offenlegen, wenn der Patient handlungsunfähig ist und wenn davon ausgegangen wird, dass die Offenlegung im besten Interesse des Patienten ist und mit etwaigen zuvor geäußerten Präferenzen des Patienten im Einklang steht. Siehe 45 CFR 164.510(a).
Bei den meisten Offenlegungen muss ein betroffenes Unternehmen angemessene Anstrengungen unternehmen, um die offengelegten Informationen auf das „Minimum, das zur Erreichung des Zwecks erforderlich ist“ zu beschränken. (Die erforderlichen Mindestanforderungen gelten nicht für die Weitergabe an Gesundheitsdienstleister zu Behandlungszwecken.) Versicherte Unternehmen können sich auf Zusicherungen einer Gesundheitsbehörde oder eines anderen Amtsträgers verlassen, dass die angeforderten Informationen das für den Zweck erforderliche Minimum darstellen, wenn dieses Vertrauen angemessen ist unter diesen Umständen. Beispielsweise kann sich ein abgedecktes Unternehmen auf Zusicherungen der CDC verlassen, dass die von der CDC angeforderten geschützten Gesundheitsinformationen über alle Patienten, die dem neuartigen Coronavirus (2019-nCoV) ausgesetzt waren oder bei denen der Verdacht besteht oder bestätigt wurde, dass sie für den Zweck der öffentlichen Gesundheit erforderlich sind. Darüber hinaus sollten betroffene Unternehmen intern weiterhin ihre rollenbasierten Zugriffsrichtlinien anwenden, um den Zugriff auf geschützte Gesundheitsinformationen nur auf diejenigen Mitarbeiter zu beschränken, die ihn zur Erfüllung ihrer Aufgaben benötigen. Siehe 45 CFR §§ 164.502(b), 164.514(d).
