Die kalifornischen Datenschutzbestimmungen für Gesundheitseinrichtungen gleichen die Definition von „Verstoß“ an die HIPAA an, erweitern die Meldepflichten und präzisieren die Strafstruktur.

Kliniken, Gesundheitseinrichtungen, ambulante Pflegedienste und zugelassene Hospize in Kalifornien, die gemäß Abschnitt 1280.15 des kalifornischen Gesundheits- und Sicherheitsgesetzes (California Health and Safety Code Section 1280.15, Section 1280.15) verpflichtet sind, Verstöße an das kalifornische Gesundheitsministerium (California Department of Public Health, CDPH) zu melden, unterliegen nun einer Reihe neuer Vorschriften. Abschnitt 1280.15, der seit mehreren Jahren in Kraft ist, verpflichtet bestimmte zugelassene Gesundheitseinrichtungen in Kalifornien, „unrechtmäßigen oder unbefugten Zugriff auf sowie die unrechtmäßige oder unbefugte Nutzung oder Offenlegung” von medizinischen Informationen zu verhindern und jeden unrechtmäßigen oder unbefugten Zugriff, jede unrechtmäßige oder unbefugte Nutzung oder Offenlegung der medizinischen Informationen eines Patienten spätestens 15 Werktage nach Entdeckung an das CDPH und den Patienten zu melden. Die neuen Vorschriften zur Umsetzung von Abschnitt 1280.15 erweitern die Ausnahmen von der Meldepflicht bei Verstößen, legen Anforderungen an die Art der Informationen fest, die im Falle eines Verstoßes an das CDPH übermittelt werden müssen, und präzisieren die Strafen, die bei Verstößen gegen die Vorschriften verhängt werden können. Dieser Hinweis fasst die wichtigsten Punkte dieser neuen Vorschriften zusammen und erläutert, wie sie sich künftig auf Gesundheitseinrichtungen in Kalifornien auswirken können.

1. Erweiterung der Ausnahmen zur Definition von „Verstoß“ zur engeren Angleichung an HIPAA

Abschnitt 1280.15 enthält nur eine Ausnahme von der Meldepflicht, und zwar für interne Papierunterlagen, E-Mails oder Faxübertragungen, die im Rahmen der Koordinierung der Pflege oder der Erbringung von Dienstleistungen versehentlich innerhalb derselben Einrichtung oder desselben Gesundheitssystems fehlgeleitet wurden. Die neuen Vorschriften erweitern die Ausnahmen, sodass bestimmte Arten des Zugriffs, der Nutzung und der Offenlegung nicht als „Verstöße“ gelten, wodurch die Definition von „Verstoß“ eng an die Definition der HIPAA angeglichen wird. Die folgenden Fälle sind von der Definition des Begriffs „Verstoß” gemäß den kalifornischen Vorschriften ausgenommen:

• Jede Papierunterlage, E-Mail oder Faxübertragung, die versehentlich (i) innerhalb derselben Gesundheitseinrichtung oder desselben Gesundheitssystems abgerufen, verwendet oder offengelegt wurde, wo die Informationen nicht weiter abgerufen, verwendet oder offengelegt werden, es sei denn, dies ist gesetzlich zulässig oder vorgeschrieben; oder (ii) außerhalb derselben Gesundheitseinrichtung oder desselben Gesundheitssystems an eine HIPAA-unterliegende Einrichtung gesendet wurde, die im Rahmen der Koordinierung der Pflege oder der Erbringung von Dienstleistungen versehentlich fehlgeleitet wurde.
• Eine Offenlegung, bei der eine Gesundheitseinrichtung in gutem Glauben davon ausgeht, dass eine unbefugte Person, gegenüber der die Offenlegung erfolgte, diese medizinischen Informationen vernünftigerweise nicht hätte aufbewahren können.
• Zugriff, Verwendung oder Offenlegung von medizinischen Patientendaten, die gemäß staatlichem oder bundesstaatlichem Recht zulässig oder erforderlich sind.
• Verlorene oder gestohlene verschlüsselte elektronische Daten, auf die nicht in unrechtmäßiger oder unbefugter Weise zugegriffen wurde, die nicht verwendet oder offengelegt wurden.
• Eine Offenlegung, bei der die Gesundheitseinrichtung gemäß der HIPAA-4-Faktoren-Analyse, bei der mindestens die folgenden Fakten überprüft werden, zu dem Schluss kommt, dass nur eine geringe Wahrscheinlichkeit einer Gefährdung besteht: (i) Art und Umfang der betroffenen medizinischen Informationen; (ii) unbefugter Nutzer oder Empfänger der medizinischen Informationen; (iii) ob die medizinischen Informationen tatsächlich erworben oder eingesehen wurden; und (iv) inwieweit das Risiko des Zugriffs auf die medizinischen Informationen gemindert wurde.

2. Legt erweiterte Meldepflichten für die Informationen fest, die an das CDPH gemeldet werden müssen.

Die Frist für die Meldung von Verstößen an das CDPH und die Patienten beträgt weiterhin 15 Werktage. Gemäß den Vorschriften muss die Meldung an das CDPH detaillierte Informationen über die betreffende Einrichtung, die betroffenen Patienten, die betroffenen medizinischen Daten, den Verstoß selbst, andere damit zusammenhängende Verstöße und die Ermittlungsbemühungen enthalten. Darüber hinaus müssen Gesundheitseinrichtungen dem CDPH weiterhin alle zusätzlichen Informationen übermitteln, sobald diese verfügbar sind. Insbesondere muss die Meldung alle „Prüfberichte, Zeugenaussagen oder sonstigen Dokumente enthalten, auf die sich die Gesundheitseinrichtung bei der Feststellung des Verstoßes gestützt hat“.

Die Verletzung gilt erst dann als dem CDPH gemeldet, wenn die Gesundheitseinrichtung sich nach bestem Wissen und Gewissen bemüht hat, alle erforderlichen Informationen zu melden. Das bedeutet, dass eine Gesundheitseinrichtung, die nicht alle gemäß den Vorschriften erforderlichen Informationen in ihrer Meldung an das CDPH angibt, als nicht „gemeldet” gilt.

3. Klärt die Strafstruktur

Gemäß Abschnitt 1280.15 kann das CDPH eine Verwaltungsstrafe von bis zu 25.000 US-Dollar pro Patient verhängen, dessen medizinische Daten unrechtmäßig oder ohne Genehmigung abgerufen, verwendet oder offengelegt wurden, sowie bis zu 17.500 US-Dollar für jeden weiteren Fall des unrechtmäßigen oder unbefugten Zugriffs, der unrechtmäßigen oder unbefugten Verwendung oder Offenlegung der medizinischen Daten dieses Patienten. Darüber hinaus kann das CDPH für jeden Tag, an dem eine Gesundheitseinrichtung es versäumt, dem CDPH oder dem Patienten einen Verstoß zu melden, eine Strafe in Höhe von 100 US-Dollar verhängen. Die Gesamtstrafe für eine Gesundheitseinrichtung pro gemeldetem Vorfall darf 250.000 US-Dollar nicht überschreiten.

Die Vorschriften präzisieren außerdem die Verwaltungsstrafen, die das CDPH gegen Gesundheitseinrichtungen verhängen kann, die einen Verstoß begehen, sowie weitere Strafen für diejenigen, die die Meldepflichten der Vorschriften nicht einhalten. Die Grundstrafe für Verstöße beträgt 15.000 US-Dollar pro Verstoß; jedoch kann die Strafe vom CDPH unter Berücksichtigung verschiedener Anpassungsfaktoren um maximal 10.000 US-Dollar erhöht oder verringert werden, wobei 25.000 US-Dollar pro Patient, dessen medizinische Daten verletzt wurden, nicht überschritten werden dürfen. Zu diesen Anpassungsfaktoren gehören: (i) die Compliance-Historie der betreffenden Einrichtung; (ii) das Ausmaß, in dem die Gesundheitseinrichtung Verstöße entdeckt und vorbeugende Maßnahmen ergriffen hat, um vergangene Verstöße sofort zu korrigieren und deren Wiederholung zu verhindern; (iii) alle anwendbaren Faktoren außerhalb der Kontrolle der Einrichtung, einschließlich Brände, Explosionen, Naturkatastrophen, Unwetterereignisse, Krieg, Invasion, Unruhen, terroristische Handlungen oder Drohungen sowie Ausfälle von Versorgungs- oder Infrastruktureinrichtungen; und (iv) alle anderen Faktoren, die vom CDPH als für die spezifischen Umstände der Verletzung relevant identifiziert wurden.

Zusätzlich zu dieser ersten Strafe kann das CDPH bei weiteren Verstößen im Zusammenhang mit den medizinischen Daten eines Patienten, die sich auf ein gemeldetes Ereignis beziehen, zusätzliche Strafen in Höhe von 70 % der ersten Strafe verhängen, wobei diese 17.500 USD pro weiterem Verstoß nicht überschreiten dürfen. Eine Gesundheitseinrichtung unterliegt weiterhin der Strafe in Höhe von 100 USD pro Tag gemäß Abschnitt 1280.15, wenn sie den Verstoß nicht rechtzeitig meldet.

Gesundheitseinrichtungen, die Abschnitt 1280.15 unterliegen, müssen die neuen Vorschriften bei der Meldung von Verstößen an das CDPH und den Patienten sorgfältig konsultieren, werden jedoch wahrscheinlich eine gewisse Erleichterung in der neu überarbeiteten Definition des Begriffs „Verstoß” finden, die sich stärker an die HIPAA anlehnt.

Foley unterstützt Sie bei der Bewältigung der kurz- und langfristigen Auswirkungen von Gesetzesänderungen. Wir verfügen über die notwendigen Ressourcen, um Sie bei diesen und anderen wichtigen rechtlichen Überlegungen im Zusammenhang mit Geschäftsabläufen und branchenspezifischen Fragen zu unterstützen. Bitte wenden Sie sich an die Autoren, Ihren Foley-Ansprechpartner oder an unsere Praxisgruppe Gesundheitswesen mit allen Fragen.