Vorgeschlagene Änderungen an HIPAA erweitern die Zugriffsrechte von Einzelpersonen und fördern die weitere Weitergabe von PHI zur Koordinierung der Pflege

Am 10. Dezember 2020 veröffentlichte das Büro für Bürgerrechte (OCR) des Ministeriums für Gesundheit und Soziales einen Entwurf für eine neue Verordnung(NPRM) zur Überarbeitung der HIPAA-Datenschutzbestimmungen. Die vorgeschlagenen Änderungen der Datenschutzbestimmungen zielen darauf ab, Bestimmungen zu ändern, die Hindernisse für eine koordinierte Versorgung schaffen, „ohne diese Belastungen durch Datenschutzmaßnahmen ausreichend zu kompensieren oder auszugleichen”. Das OCR hat die Vorschläge nach Prüfung der öffentlichen Stellungnahmen ausgearbeitet, die als Reaktion auf die im Dezember 2018 veröffentlichte Aufforderung zur Einreichung von Informationen zur Änderung der HIPAA-Bestimmungen zur Verbesserung der koordinierten Versorgung eingegangen sind. Die Vorschläge würden die Rechte des Einzelnen auf Zugang zu geschützten Gesundheitsdaten (PHI) erheblich erweitern, die zusätzliche Weitergabe von Daten zur Koordinierung der Versorgung oder zur Unterstützung von Personen mit Substanzgebrauchsstörungen in bestimmten Fällen fördern, die Anforderungen der Datenschutzerklärung (NPP) überarbeiten und die Weitergabe von Daten an Telekommunikations-Relay-Dienste (TRS) erlauben.

Wir haben die wichtigsten vorgeschlagenen Änderungen der Datenschutzbestimmungen nachfolgend zusammengefasst. Bitte beachten Sie jedoch, dass unabhängig davon, ob diese vorgeschlagenen Änderungen letztendlich in Kraft treten, andere geltende Gesetze, wie beispielsweise staatliche Datenschutzgesetze im Gesundheitswesen und 42 C.F.R. Teil 2, berücksichtigt werden müssen.

Erweiterungen des Zugangsrechts

Die NPRM würde, wenn sie in Kraft tritt, die Zugangsrechte von Einzelpersonen gemäß HIPAA erheblich erweitern:

Frist für die Beantwortung. Die betroffenen Unternehmen müssten auf Zugangsanträge „so schnell wie möglich“, spätestens jedoch 15 Kalendertage nach Eingang des Antrags (anstelle der derzeitigen 30 Kalendertage) antworten.
Form und Format auf Anfrage. Die Datenschutzbestimmungen verlangen derzeit von den betroffenen Einrichtungen, dass sie PHI in der vom Einzelnen gewünschten Form und im gewünschten Format bereitstellen, sofern dies in dieser Form und diesem Format „ohne Weiteres möglich“ ist. Die vorgeschlagenen Änderungen würden klarstellen, dass „ohne Weiteres möglich“ auch sichere, standardbasierte APIs umfasst, die von den Einzelpersonen ausgewählte Anwendungen verwenden, wie beispielsweise eine „persönliche Gesundheitsanwendung“. Einzelpersonen hätten auch das Recht, Notizen, Videos und Fotos zu machen oder andere persönliche Ressourcen zu nutzen, um PHI persönlich einzusehen oder zu erfassen.
Gebühren. Personen, die ihre eigenen PHI einsehen oder Kopien davon erhalten, hätten Anspruch auf kostenlosen Zugang, wenn sie diese persönlich einsehen oder über das Internet darauf zugreifen. Die OCR würde weiterhin bestimmte Gebühren für Arbeitsaufwand, Material und Porto zulassen und würde begrenzte Gebühren für Personen zulassen, die die Übermittlung einer elektronischen Kopie von PHI an Dritte veranlassen. Betroffene Einrichtungen wären verpflichtet, auf ihren Websites (sofern vorhanden) im Voraus die voraussichtlichen Gebühren für gängige Arten von Anträgen auf Kopien von PHI bekannt zu geben und auf Anfrage individuelle Kostenvoranschläge für Kopien sowie eine Aufstellung der tatsächlichen Kosten für Kopienanträge vorzulegen.
Recht auf Weitergabe von Kopien an Dritte. Das derzeitige Recht einer Person, eine Kopie ihrer PHI an Dritte weiterzugeben, würde gemäß dem NPRM auf elektronische Kopien beschränkt werden, um eine frühere Gerichtsentscheidung zu diesem Thema zu kodifizieren. Dieser Antrag müsste nicht mehr schriftlich gestellt werden, solange er „klar, deutlich und spezifisch“ ist. Darüber hinaus würde der Vorschlag von einer betroffenen Einrichtung verlangen, elektronische PHI in einer elektronischen Gesundheitsakte an eine andere betroffene Einrichtung zu übermitteln, als Teil des Zugriffsrechts der Person.
Überprüfung. Die OCR schlug außerdem vor, betroffenen Einrichtungen zu untersagen, „unangemessene” Maßnahmen zur Identitätsüberprüfung von Personen zu verlangen. Zu den unangemessenen Maßnahmen zählen die notarielle Beglaubigung von Anträgen, die Verpflichtung der Person, ihren Identitätsnachweis persönlich vorzulegen, wenn eine Fernüberprüfung möglich wäre, oder die Verpflichtung, für einen Zugangsantrag ein vollständiges HIPAA-Autorisierungsformular auszufüllen.

Förderung von Pflegekoordination und Fallmanagementaktivitäten

Der NPRM konzentriert sich darauf, die Beteiligung der betroffenen Einrichtungen, seien es Gesundheitsdienstleister oder Krankenkassen, an der Koordinierung der individuellen Pflege und an Fallmanagementaktivitäten weiter zu fördern. Die OCR schlägt vor, die durch die derzeitige Datenschutzverordnung geschaffenen Hindernisse für diese Koordinierungs- und Fallmanagementaktivitäten zu beseitigen, indem:

Änderung der Definition von Gesundheitsdienstleistungen.In der aktuellen Fassung der Datenschutzbestimmungen interpretieren einige betroffene Einrichtungen den Begriff „Gesundheitsdienstleistungen“ so, dass er nur die Koordinierung der Versorgung auf Bevölkerungsbasis und das Fallmanagement umfasst, im Gegensatz zu individuellen Aktivitäten, die im Rahmen von „Behandlungsmaßnahmen“ zulässig sind. Durch die Änderung der Definition von „Gesundheitsdienstleistungen“, um Aktivitäten zur Koordinierung der Pflege und zum Fallmanagement auf individueller Ebene einzubeziehen, würde die OCR klarstellen, dass betroffene Einrichtungen, die keine Behandlungsaktivitäten durchführen, wie z. B. Krankenkassen, Aktivitäten zur Koordinierung der Pflege oder zum Fallmanagement auf individueller Ebene durchführen können.
Schaffung einer Ausnahme vom Mindeststandard für Offenlegungen.Derzeit befreit die Datenschutzverordnung betroffene Einrichtungen, die eine Person behandeln, von der Berücksichtigung der Mindestinformationen, die für Offenlegungen zum Zwecke der Pflegekoordination und des Fallmanagements erforderlich sind. Eine betroffene Einrichtung, die nicht an der Behandlung einer Person beteiligt ist, muss jedoch die Mindestanforderungen für dieselben Offenlegungen einhalten. Der NPRM zielt darauf ab, alle betroffenen Einrichtungen, die sich mit der individuellen Pflegekoordination und dem Fallmanagement befassen, gleich zu behandeln, unabhängig davon, ob sie diese Tätigkeiten im Rahmen der Funktionen „Behandlung” oder „Gesundheitsversorgung” gemäß der Definition der HIPAA ausüben.
Offenlegung von PHI gegenüber bestimmten Dritten. Die vorgeschlagenen Änderungen erlauben es den betroffenen Einrichtungen, PHI an bestimmte Dritte weiterzugeben, darunter gemeindebasierte Organisationen, Anbieter von häuslichen und gemeindebasierten Dienstleistungen (HCBS), Sozialdienststellen und andere ähnliche Dritte, die gesundheitsbezogene Dienstleistungen für die Koordinierung der individuellen Pflege und das Fallmanagement erbringen, ohne eine gültige Genehmigung der betroffenen Person einzuholen. Bei diesen Dritten könnte es sich beispielsweise um gemeindebasierte Organisationen handeln, die sich mit den sozialen Determinanten von Gesundheit und Gesundheitsrisiken befassen, indem sie Lebensmittel oder Unterkünfte bereitstellen.

Aktualisierungen der Datenschutzerklärung

Der Vorschlag der OCR würde die NPP-Anforderungen der HIPAA mit dem Ziel ändern, den Verwaltungsaufwand zu reduzieren, den die aktuellen Bestätigungsanforderungen für Gesundheitsdienstleister mit sich bringen, und gleichzeitig den Einzelpersonen weiterhin dabei zu helfen, ihre Rechte gemäß HIPAA besser zu verstehen und zu wissen, wie sie diese ausüben können. Um dieses Gleichgewicht zu erreichen, hat die OCR vorgeschlagen, die Anforderung zu streichen, dass bestimmte betroffene Einrichtungen, die in einer direkten Behandlungsbeziehung zu einer Person stehen, schriftliche Bestätigungen dieser Person über den Erhalt der NPP einholen und aufbewahren müssen, und diese durch das Recht der Person zu ersetzen, die NPP mit einem Beauftragten der betroffenen Einrichtung zu besprechen. Um das Bewusstsein der Personen für ihre Rechte und die Datenschutzpraktiken einer betroffenen Einrichtung weiter zu stärken, ändert der NPRM zusätzlich die Anforderungen an den Inhalt der NPP, um eine zusätzliche Beschreibung und Anleitung dazu aufzunehmen, wie Personen ihre Zugriffsrechte ausüben können, und schreibt eine neue, detailliertere und informativere Kopfzeile vor. Die im NPRM vorgeschlagene Kopfzeile würde zusätzliche Angaben dazu enthalten, welche Informationen die NPP den Personen in Bezug auf ihre Rechte und deren Ausübung sowie die Verfügbarkeit der benannten Kontaktperson der betroffenen Einrichtungen zur Verfügung stellt.

Änderungen zur Förderung der Offenlegung gegenüber Familienangehörigen und anderen Betreuungspersonen in bestimmten Situationen

Die OCR schlug außerdem mehrere Änderungen der Datenschutzbestimmungen vor, um Gesundheitsdienstleister dazu zu ermutigen, PHI in Fällen, in denen Personen mit Substanzmissbrauchsstörungen (SUD) oder schweren psychischen Erkrankungen (SMI) betroffen sind, sowie in Notfällen unter bestimmten Voraussetzungen in größerem Umfang offenzulegen. Diese vorgeschlagenen Änderungen würden die Fähigkeit und Bereitschaft der betroffenen Einrichtungen verbessern, bestimmte Verwendungen und Offenlegungen von PHI vorzunehmen.

Guter Glaube

Die vorgeschlagenen Änderungen würden bestimmte Anforderungen hinsichtlich der Verwendung und Offenlegung von PHI gemäß der Datenschutzverordnung ändern, darunter auch die Bestimmungen zur Offenlegung von PHI gegenüber Familienangehörigen und Freunden, die an der Pflege der betreffenden Person beteiligt sind, um eine zusätzliche Weitergabe durch betroffene Einrichtungen zu fördern, ohne dass diese eine Verletzung des HIPAA befürchten müssen. Konkret würde der Vorschlag die derzeitige Formulierung, die es betroffenen Einrichtungen erlaubt, bestimmte Verwendungen und Offenlegungen von PHI auf der Grundlage ihres „fachlichen Urteilsvermögens” vorzunehmen, durch einen relativ flexibleren Standard ersetzen, der solche Verwendungen oder Offenlegungen auf der Grundlage der „gutgläubigen Überzeugung” einer betroffenen Einrichtung erlaubt, dass die Verwendung oder Offenlegung im besten Interesse der betroffenen Person liegt. Die vorgeschlagenen Änderungen würden auch die Gutgläubigkeit einer betroffenen Einrichtung voraussetzen.

Dieser Vorschlag wird durch die Bedenken der OCR gestützt, dass die Anforderung der aktuellen Regelung, „fachliches Urteilsvermögen“ anzuwenden, so ausgelegt werden könnte, dass die Erlaubnis auf Personen beschränkt ist, die über eine Lizenz verfügen oder sich auf eine fachliche Ausbildung stützen, um zu entscheiden, ob die Verwendung oder Offenlegung von PHI im besten Interesse einer Person liegt.

Während die berufliche Ausbildung und Erfahrung natürlich die gutgläubige Überzeugung eines Gesundheitsdienstleisters hinsichtlich des Wohls einer Person beeinflussen, erfordert eine gutgläubige Überzeugung nicht immer, dass eine betroffene Einrichtung oder deren Mitarbeiter über eine spezielle Ausbildung oder Berufserfahrung verfügen. Vielmehr setzt der Maßstab der „gutgläubigen Überzeugung“ voraus, dass eine betroffene Einrichtung oder ein Mitarbeiter bei der Entscheidung über die Verwendung oder Offenlegung von PHI und die Einhaltung aller anderen in den geltenden Genehmigungen enthaltenen Bedingungen ein für ihre Rolle angemessenes Maß an Ermessen walten lässt. Im Folgenden finden Sie einige anschauliche Beispiele dafür, wie diese vorgeschlagene Änderung in der Praxis funktionieren würde.

Eine betroffene Einrichtung könnte auf der Grundlage ihrer Erfahrung in gutem Glauben zu dem Schluss kommen, dass es im besten Interesse eines jungen erwachsenen Patienten, der aufgrund einer Überdosis, einer psychischen Krise oder eines anderen gesundheitlichen Notfalls handlungsunfähig ist, liegt, Informationen an einen Elternteil weiterzugeben, der an der Behandlung des Patienten beteiligt ist und von dem der junge Erwachsene aufgrund ihrer Beziehung erwarten würde, dass er sich an der Genesung des Patienten beteiligt oder daran mitwirkt.
Eine Akutversorgungseinrichtung, die zwar keine schriftliche Benennung eines Notfallkontakts vorliegen hat, aber Kenntnis über den benannten Notfallkontakt eines handlungsunfähigen Patienten besitzt, könnte diesem Kontakt PHI offenlegen, wenn sie in gutem Glauben davon ausgeht, dass der Patient keine Einwände gegen die Offenlegung hat.
Eine betroffene Einrichtung könnte die PHI eines nicht volljährigen Minderjährigen mit einer SUD in einem Bundesstaat oder einer Gerichtsbarkeit offenlegen, in dem/der die geltenden Gesetze die Eltern des Minderjährigen nicht als persönliche Vertreter behandeln, wenn der Anbieter in gutem Glauben davon ausgeht, dass die Offenlegung der Informationen gegenüber den Eltern die Pflege und Behandlung des Minderjährigen verbessern könnte. Dieser vorgeschlagene Standard würde ein Hindernis für die Offenlegung von PHI gegenüber einem Elternteil oder Erziehungsberechtigten eines Minderjährigen mit SUD oder SMI beseitigen, wenn der Elternteil oder Erziehungsberechtigte nach staatlichem Recht nicht als persönlicher Vertreter des Minderjährigen anerkannt ist. Gleichzeitig würde dieser Vorschlag die staatlichen Gesetze, die die Offenlegung sensibler Informationen verbieten, nicht außer Kraft setzen, da dieser Vorschlag die Offenlegung gemäß HIPAA zulassen, aber nicht vorschreiben würde. Somit könnte eine betroffene Einrichtung sowohl HIPAA als auch ein restriktiveres staatliches Gesetz einhalten, indem sie die Offenlegung gemäß dem staatlichen Gesetz einschränkt.

Ernsthafte und vernünftigerweise vorhersehbare Bedrohung

Um den betroffenen Einrichtungen besser zu ermöglichen, Schäden für Einzelpersonen oder die Öffentlichkeit zu verhindern und zu mindern, würden die vorgeschlagenen Änderungen es den betroffenen Einrichtungen auch ermöglichen, PHI offenzulegen, um eine Gefahr für die Gesundheit oder Sicherheit einer Person oder der Öffentlichkeit abzuwenden, wenn ein Schaden „schwerwiegend und vernünftigerweise vorhersehbar“ ist, anstatt des derzeitigen strengeren Standards, der eine „schwerwiegende und unmittelbare“ Gefahr für die Gesundheit oder Sicherheit erfordert. Die vorgeschlagene Änderung würde es den betroffenen Einrichtungen ermöglichen, PHI zu verwenden oder offenzulegen, ohne feststellen zu müssen, ob der drohende Schaden unmittelbar bevorsteht (was in einigen Fällen möglicherweise nicht möglich ist); stattdessen könnten sie feststellen, ob es vernünftigerweise vorhersehbar ist, dass der drohende Schaden eintreten könnte.

Die OCR hat diese Änderung vorgeschlagen, um Situationen zu verhindern, in denen betroffene Einrichtungen die Verwendung und Offenlegung von PHI verweigern, die ihrer Meinung nach erforderlich sind, um Schaden zu verhindern oder Gefahren zu mindern, weil sie befürchten, dass sie aufgrund ihrer Unfähigkeit, die Dringlichkeit der Gefahr genau zu bestimmen, wegen unzulässiger Verwendung oder Offenlegung mit Strafen gemäß HIPAA belegt werden könnten. Beispielsweise könnten betroffene Einrichtungen gemäß diesem Vorschlag PHI verwenden oder offenlegen, ohne feststellen zu müssen, ob die drohende Gefahr unmittelbar bevorsteht (was in einigen Fällen möglicherweise nicht möglich ist); stattdessen können sie feststellen, ob es vernünftigerweise vorhersehbar ist, dass die drohende Gefahr eintreten könnte.

Erläuterung zu Offenlegungen gegenüber TRS-Anbietern

Das OCR schlug vor, die Weitergabe von Informationen an TRS-Kommunikationsassistenten für gehörlose, schwerhörige oder taubblinde Personen oder Personen mit einer Sprachbehinderung ausdrücklich zuzulassen und die Definition des Begriffs „Geschäftspartner” so zu ändern, dass TRS-Anbieter davon ausgenommen sind.

Obwohl noch kein Veröffentlichungstermin feststeht, nimmt das OCR nach der Veröffentlichung im Federal Register 60 Tage lang Stellungnahmen zum NPRM entgegen.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

Eine Frau mit langen blonden Haaren, die einen schwarzen Blazer, ein schwarzes Oberteil und eine mehrreihige Perlenkette trägt, lächelt in einem professionellen Innenraum - ein Zeichen für das ausgeprägte Selbstvertrauen, das man oft bei Anwälten aus Chicago und solchen, die sich auf das Recht des geistigen Eigentums spezialisiert haben, findet.

[email protected]

Milwaukee 414.297.5864

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

Ein Mann im dunklen Anzug und mit orangefarbener Krawatte, der auf die Unterstützung bei Rechtsstreitigkeiten spezialisiert ist, lächelt in die Kamera vor einem unscharfen Innenhintergrund.

[email protected]

Chicago 312.832.4915

Beliebte Suchanfragen

Vorgeschlagene Änderungen an HIPAA erweitern die Zugriffsrechte von Einzelpersonen und fördern den weiteren Austausch von PHI zur Koordinierung der Pflege

Erweiterungen des Zugangsrechts

Förderung von Pflegekoordination und Fallmanagementaktivitäten

Aktualisierungen der Datenschutzerklärung

Änderungen zur Förderung der Offenlegung gegenüber Familienangehörigen und anderen Betreuungspersonen in bestimmten Situationen

Guter Glaube

Ernsthafte und vernünftigerweise vorhersehbare Bedrohung

Erläuterung zu Offenlegungen gegenüber TRS-Anbietern

Autor(en)

Jennifer L. Urban

Jennifer J. Hennessy

Aaron T. Maguregui

Samuel D. Goldstick

Verwandte Einblicke

Fifth Circuit Clears Path for Texas LNG Brownsville Terminal Construction

Crypto Exits Surge in 2025: Momentum Builds for an Even Bigger 2026

Special Episode: Alexis Robertson and Dan Sharpe talk advice to new Big Law associates