Der Health Insurance Portability and Accountability Act (HIPAA) wurde verabschiedet, um zu verhindern, dass die Gesundheitsinformationen einer Person öffentlich zugänglich sind. Dementsprechend schreibt HIPAA vor, dass bestimmte betroffene Unternehmen angemessene Prozesse zum Schutz von Patienteninformationen anwenden. Wenn Sie ein von HIPAA abgedeckter Gesundheitsdienstleister sind, müssen Sie sicherstellen, dass Ihre E-Mail-Adresse HIPAA-konform ist. Leider gibt es keine einfache Möglichkeit, dies alleine zu tun. Stattdessen müssen Sie einen E-Mail-Dienstanbieter beauftragen, der HIPAA-konform ist.
Schritte
Teil 1 von 2: Erlernen der HIPAA-Anforderungen
Schritt 1. Verstehen Sie die Geldbußen
HIPAA enthält sowohl eine Datenschutzregel als auch eine Sicherheitsregel. Die Datenschutzregel schützt identifizierbare Patientendaten, und die Sicherheitsregel legt nationale Standards für die Sicherheit geschützter Informationen in elektronischer Form fest. Diese Regeln haben Zähne: Ein Verstoß wird mit einer Höchststrafe von 1,5 Millionen US-Dollar pro Verstoß geahndet.
Schritt 2. Lesen Sie die Sicherheitsregel
Die Bundesregierung verlangt, dass die elektronische Übermittlung von Gesundheitsinformationen bestimmte Sicherheits- und Datenschutzanforderungen erfüllt. Diese Anforderungen sind komplex. Um eine E-Mail HIPAA-konform zu machen, müssen Sie sicherstellen, dass Sie ausreichende Sicherheitsvorkehrungen treffen, um die Integrität, Sicherheit und Vertraulichkeit der elektronischen Informationen zu gewährleisten.
- Sie können die Sicherheitsregel lesen, indem Sie die Website für Gesundheits- und Sozialdienste unter https://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/ besuchen. Auf die entsprechenden Gesetzestexte wird verlinkt.
- Sie können auch den Regulierungstext lesen. Dieses Dokument enthält alle Vorschriften, die zur Umsetzung des HIPAA-Statuts erlassen wurden.
- Diese Informationen sind sehr technisch und für einen Nicht-Experten schwer zu verstehen. Sie sollten sich mit einem Anwalt im Gesundheitswesen treffen, um Ihre Anforderungen in Bezug auf die E-Mail-Sicherheit zu besprechen.
Schritt 3. Treffen Sie sich mit einem Anwalt
Ein erfahrener Anwalt im Gesundheitswesen sollte Ihnen helfen können, die gesetzlichen Anforderungen zu verstehen und Wege zu finden, wie Sie Ihr E-Mail-System konform machen können. Sie sollten sich mit einem Anwalt treffen, der sich insbesondere auf das Gesundheitsrecht spezialisiert hat.
Um einen Anwalt im Gesundheitswesen zu finden, besuchen Sie die Anwaltskammer Ihres Staates. Es sollte Links zu Empfehlungsprogrammen enthalten (oder selbst ein Empfehlungsprogramm hosten). Auf der Website erhalten Sie eine Telefonnummer, die Sie anrufen können, oder ein Verzeichnis, das Sie durchsuchen können
Teil 2 von 2: Sicherstellen, dass Ihre E-Mail HIPAA-konform ist
Schritt 1. Suchen Sie nach HIPAA-konformen E-Mail-Dienstanbietern
Die technischen Anforderungen sind so kompliziert, dass Sie einen HIPAA-konformen E-Mail-Dienstleister beauftragen müssen, um Ihr E-Mail-System bereitzustellen, es sei denn, Sie sind ein Experte für Informationssysteme. Kostenlose, webbasierte E-Mail-Dienste wie Yahoo und Gmail sind keine ausreichenden E-Mail-Systeme. Tatsächlich bieten sie keine Sicherheit. Um einen konformen Dienstanbieter zu finden, können Sie Folgendes tun:
- Sprechen Sie mit Ihrem Fachanwalt für Gesundheitswesen. Er oder sie sollte mit HIPAA-konformen E-Mail-Dienstanbietern vertraut sein.
- Das Internet durchsuchen. Mehrere Unternehmen bewerben ihre Dienstleistungen im Internet. Suchen Sie nach "Hipaa-konforme E-Mail".
Schritt 2. Kontaktieren Sie HIPAA-konforme E-Mail-Dienstanbieter
Sobald Sie die Namen der E-Mail-Dienstleister kennen, sollten Sie sich die Websites der Unternehmen ansehen und sehen, ob sie professionell aussehen. Rufen Sie dann ein Unternehmen an und fragen Sie, ob es Ihnen Empfehlungen geben kann. Sie sollten sich auch nach den angebotenen Dienstleistungen erkundigen. Ein HIPAA-konformer E-Mail-Dienstanbieter sollte:
- Beschränken Sie den Zugriff auf die elektronischen Informationen. Der E-Mail-Dienstanbieter sollte seine Server an einem sicheren Ort aufbewahren, auf den nur autorisiertes Personal Zugriff hat.
- Prüfen Sie, wer auf die Informationen zugreift. Der Diensteanbieter sollte in der Lage sein zu verfolgen, wer auf die Informationen im System zugreift. Ein angemessenes Sicherheitsprotokoll sollte den Benutzer verfolgen, der auf die Informationen zugegriffen hat, den Tag und die Uhrzeit des Zugriffs und an wen die Informationen gesendet wurden.
- Sichere E-Mail-Übertragungen. Ein Dienstanbieter sollte auch alle E-Mail-Übertragungen durch Verschlüsselung und andere Techniken angemessen sichern.
Schritt 3. Einwilligung des Patienten einholen
Unabhängig davon, welchen Dienstanbieter Sie verwenden, müssen Sie immer die Zustimmung des Patienten zur elektronischen Übermittlung von Gesundheitsinformationen einholen. Manchmal sendet Ihnen ein Patient Informationen per E-Mail, aber Sie sollten nicht davon ausgehen, dass der Patient damit einverstanden ist, Informationen auf elektronischem Weg zu erhalten.
Stattdessen sollten Sie Patienten ein Kontaktformular unterschreiben lassen. In diesem Formular teilt Ihnen der Patient mit, wie er bevorzugt kontaktiert werden möchte. Sie sollten aktuelle Patienten unterschreiben lassen und sicherstellen, dass alle neuen Patienten bei ihrem ersten Besuch unterschreiben
Schritt 4. Verwenden Sie die Verschlüsselung
Laut Gesundheits- und Sozialdiensten ist die Verschlüsselung nicht obligatorisch, es sei denn, nach einer Risikobewertung wird festgestellt, dass sie eine angemessene Schutzmaßnahme darstellt. In der Praxis bedeutet dies jedoch, dass Sie E-Mails und Anhänge fast immer verschlüsseln müssen.
- Verschlüsselung ist eine Technik, die den Originaltext in codierten Text umwandelt. Es ist eine Möglichkeit, Informationen für den Fall zu sichern, dass sie von einem Dritten abgefangen werden.
- Ihr HIPAA-konformer E-Mail-Dienstanbieter sollte Ihnen seine Techniken zum Verschlüsseln von Kommunikationen erklären.
Schritt 5. Aufzeichnungen aufbewahren
HIPAA verlangt, dass Sie E-Mails bis zu sechs Jahre lang aufbewahren. Dies wird als „Sechs-Jahres-Aufbewahrungsregel“bezeichnet. Ihr E-Mail-Dienstleister sollte garantieren können, dass er die E-Mails für diese Zeit aufbewahrt.
Schritt 6. Verwenden Sie bei Bedarf keine E-Mail
Sie werden möglicherweise feststellen, dass die Compliance-Kosten für den legalen Versand von Gesundheitsinformationen von Patienten Ihr Budget überschreiten. In diesem Fall haben Sie jederzeit die Möglichkeit, diese Informationen nicht elektronisch zu übermitteln.
