Wann ist ein Anwalt oder Buchhalter ein HIPAA-Geschäftspartner?

HIPAA-Geschäftspartnerrolle basiert auf Dienstleistungen

By Mike Semel
Blog: 4Medapproved.com/HITSecurity
Twitter: @SemelConsulting

Die Frage, ob ein Rechtsanwalt oder ein Buchhalter ein HIPAA Business Associate ist, steht in direktem Zusammenhang mit mehreren Abschnitten der HIPAA Security Rule zum Schutz elektronischer Gesundheitsdaten. Sie ist heute sogar noch wichtiger, da die HIPAA Business Associate- und Unterauftragnehmer-Änderungen in der HIPAA Omnibus Final Rule nach dem 23. September 2013 in Kraft treten werden. Genau wie die Sicherheit nach dem 11. September verändert der HIPAA die Unternehmenslandschaft für immer. Man muss nicht mehr ein Unternehmen des Gesundheitswesens sein, um für den Schutz geschützter Gesundheitsinformationen (PHI) verantwortlich zu sein. Da Organisationen des Gesundheitswesens nun mehr denn je für die Einhaltung der Vorschriften durch ihre Zulieferer verantwortlich sind, müssen Anwälte und Buchhalter aktiv werden und die HIPAA-Vorschriften einhalten.

Hintergrund

HIPAA Covered Entities sind Gesundheitsdienstleister und Kostenträger, die bestimmte Transaktionen elektronisch verarbeiten. Dazu gehören Ärzte, Zahnärzte, Krankenhäuser, Kliniken, Apotheken, Labors und Versicherungsgesellschaften.

Ein „Geschäftspartner“ ist eine Person oder Einrichtung, die bestimmte Funktionen oder Tätigkeiten ausführt, die die Verwendung oder Weitergabe geschützter Gesundheitsinformationen im Namen einer abgedeckten Einrichtung beinhalten oder Dienstleistungen für diese erbringt.

Ein HIPAA-Geschäftspartner ist verpflichtet, eine Vereinbarung zu unterzeichnen, die die Verwendung der von ihm verwendeten Gesundheitsinformationen einschränkt. Die HIPAA Omnibus Final Rule verlangt von einem HIPAA Business Associate die Einhaltung des HIPAA, als wäre er eine Covered Entity, einschließlich HIPAA-Richtlinien und -Verfahren, einer Risikoanalyse, Mitarbeiterschulungen und der Sicherheit der von ihm gespeicherten Patientendaten. Die Vorschrift geht noch weiter und schreibt vor, dass ein Geschäftspartner für die Einhaltung des HIPAA durch alle von ihm beauftragten Unterauftragnehmer verantwortlich ist. Zu den Unterauftragnehmern gehören nun auch Rechenzentren, Cloud-Dienste und Online-Backup-Firmen.

Wer ein HIPAA-Business Associate ist, ist sehr wichtig, denn nun gelten auch die Unternehmen, die Dienstleistungen für sie erbringen, als Business Associates und müssen den HIPAA einhalten. Das bedeutet, dass ein IT-Unternehmen, ein Unternehmen, das juristische Software anbietet, ein Kopierer-Reparaturunternehmen oder ein Papierlager, um nur einige zu nennen, nun HIPAA-konform sein müssen, auch wenn sie nicht direkt Kunden aus dem Gesundheitswesen haben.

Anwälte

Jeder Anwalt, dessen juristische Dienstleistungen für eine betroffene Einrichtung den Zugang zu Patientendaten beinhalten, ist ein HIPAA Business Associate. Einige Rechtsdienstleistungen wie Immobilien oder Verträge erfordern keinen Zugang zu Patientendaten. Die Verteidigung bei Kunstfehlern ist ein eindeutiges Beispiel, bei dem Patientenakten erforderlich sind.

Der bloße Besitz von Krankenakten macht einen Anwalt nicht zu einem HIPAA-Geschäftspartner. Bei einer Klage wegen eines Kunstfehlers übergibt der Patient, der seinen Arzt verklagt, seine Krankenakte an seinen Anwalt. Dies macht den Anwalt des Klägers nicht zu einem Geschäftspartner, da der Patient seine Unterlagen an jeden weitergeben kann. Der Arzt, der verklagt wird, gibt die Krankenakte des Patienten an seinen Anwalt weiter. Dies macht den Anwalt des Beklagten zu einem HIPAA-Business Associate, da der Arzt eine abgedeckte Einrichtung ist und Patientendaten mit jemandem außerhalb seiner Belegschaft teilt.

Die Dallas Bar Association sagt: „Insbesondere Anwälte, die abgedeckte Einrichtungen vertreten, sind Business Associates, wenn sie PHI von der abgedeckten Einrichtung erhalten (oder PHI im Namen der abgedeckten Einrichtung produzieren). Wenn Sie also einen Gesundheitsplan, einen Leistungserbringer oder eine Verrechnungsstelle vertreten und PHI von einem Klienten erhalten, müssen Sie eine BAA mit dem Klienten abschließen. Wenn Sie dies nicht tun, verstößt Ihr Kunde wahrscheinlich gegen den HIPAA. Die Minnesota State Bar Association stimmt dem zu: „Anwaltskanzleien, die Zugang zu geschützten Gesundheitsdaten haben, werden nach den neuen HIPAA-Bestimmungen wahrscheinlich als „Geschäftspartner“ eingestuft und unterliegen daher neuen Anforderungen an den Datenschutz, die Sicherheit und die Benachrichtigung bei Datenschutzverletzungen, die den Umgang mit solchen Daten regeln.“

Während Anwälte oft denken, dass die Einhaltung des HIPAA eine Übung in Verträgen ist, ist es in Wirklichkeit eine Übung in IT-Sicherheit und Datenschutz. Es verlangt, dass alle ausgelagerten IT-Unternehmen, Datenzentren, Anbieter von Cloud-basierter Rechtssoftware, E-Mail-Anbieter, Anbieter von Papierakten, Aktenvernichter und andere Geschäftspartnervereinbarungen unterzeichnen und HIPAA-konforme Dienstleistungen erbringen.

Buchhalter

Ein Buchhalter, der die Bücher von Gesundheitseinrichtungen prüft, sieht oft Patientendaten. Sie verfolgen die Behandlungsrechnungen, um die Zuzahlungen der Patienten, die Zahlungen der Versicherung und die Abschreibungen zu verfolgen und um zu sehen, ob die Transaktionen im Buchhaltungssystem ordnungsgemäß abgewickelt wurden. Das bedeutet, dass der Buchhalter ein Business Associate ist.

Risiken

Rechtsanwälte und Buchhalter tragen Laptops und andere tragbare Geräte bei sich. Für den Verlust von Laptops und Festplatten, die Patientendaten enthielten, wurden hohe HIPAA-Strafen verhängt. Laptops und andere tragbare Speichermedien sollten verschlüsselt werden, denn wenn ein verschlüsseltes Gerät verloren geht, handelt es sich nicht um eine meldepflichtige Datenverletzung. Die Geräte sollten vor Malware, Verlust oder Diebstahl geschützt werden.

Eine Anwaltskanzlei oder ein Wirtschaftsprüfer, die als Business Associate tätig sind, benötigen HIPAA-Richtlinien, dokumentierte Verfahren zur Unterstützung der Richtlinien, eine HIPAA-Risikoanalyse und Mitarbeiterschulungen für ihre Führungskräfte und Mitarbeiter, einschließlich der Anwälte und Wirtschaftsprüfer. Es muss sicherstellen, dass alle Patientendatensätze in seiner Fallmanagement- oder Prüfungssoftware sicher sind. Sie darf niemals unverschlüsselte Patientendaten per E-Mail außerhalb der Kanzlei versenden. Sie muss ihr Netzwerk und ihre Geräte gegen Malware und unbefugten Zugriff schützen. Das IT-Supportunternehmen sollte HIPAA-zertifiziert sein, damit es die Regeln kennt. Sie kann nur mit Cloud-Anbietern, Rechenzentren und Online-Backup-Anbietern zusammenarbeiten, die Geschäftspartnervereinbarungen unterzeichnen und Compliance-Programme einführen.

Wenn ein Rechtsanwalt oder Buchhalter keine HIPAA-Geschäftspartnervereinbarung unterzeichnet oder keine HIPAA-Compliance einführt, wäre jede mit ihm geteilte Information eine Datenverletzung. Ein betroffener Rechtsträger hat keine andere Wahl, als jemanden zu finden, der HIPAA-konform ist, um Rechtsvertretung oder Buchhaltungsdienste anzubieten.

Mike Semel ist HIPAA-zertifiziert und war CIO eines Krankenhauses (betroffener Rechtsträger) und hat IT-Support für Gesundheitsdienstleister (als Geschäftspartner) geleistet. Mike ist für die Planung der Geschäftskontinuität zertifiziert und hat das CompTIA Security Trustmark mitentwickelt. Semel Consulting bietet einen verwalteten Konformitätsdienst namens HIPAA SOS, Konformitätsprüfungen, Meaningful Use-Sicherheitsrisikoanalysen und Geschäftskontinuitätsplanung. Besuchen Sie www.semelconsulting.com für weitere Informationen.