HIPAA und Telemedizin: Häufig gestellte Fragen aus den HHS-Leitlinien zur rein audiobasierten Telemedizin
Die Vorbereitungen für den Betrieb nach dem Ende des öffentlichen Gesundheitsnotstands (Public Health Emergency, PHE) haben begonnen. Das HHS hat Leitlinien zur Nutzung von Fernkommunikationstechnologien für reine Audio-Telemedizin-Dienste in Übereinstimmung mit dem HIPAA veröffentlicht. Im März 2020 erklärte das HHS, dass es bei Verstößen gegen das HIPAA im Zusammenhang mit der gutgläubigen Erbringung von Telemedizin-Dienstleistungen unter Verwendung nicht öffentlich zugänglicher Audio- oder Video-Fernkommunikationstechnologien während des PHE von seinem Ermessensspielraum bei der DurchsetzungGebrauch machen werde. Dieser Ermessensspielraum endet mit dem Ende des PHE.
In dieser neuesten Leitlinie stellte das HHS fest, dass aufgrund verschiedener Hindernisse wie Behinderung, finanzielle Probleme oder Sprachbarrieren nicht alle Patienten Zugang zu Audio-Video-Telemedizin-Technologien haben und dass reine Audio-Telemedizin dazu beiträgt, die Bedürfnisse dieser Patienten zu erfüllen. Hier sind vier wichtige FAQs auf der Grundlage der Leitlinie, die Telemedizin-Anbieter und Plattform-Anbieter, die unter das HIPAA fallen, bei der Implementierung eines reinen Audio-Telemedizin-Angebots berücksichtigen sollten:
1. Können reine Audio-Telemedizin-Dienste nach Beendigung der PHE in Übereinstimmung mit der HIPAA-Datenschutzverordnung erbracht werden? Ja. Telemedizin-Anbieter müssen angemessene Sicherheitsvorkehrungen zum Schutz der Privatsphäre geschützter Gesundheitsdaten (PHI) treffen, z. B. durch Kommunikation in einer privaten Umgebung oder durch leises Sprechen und Verzicht auf die Freisprecheinrichtung, wenn eine private Umgebung nicht möglich ist, um die HIPAA-Datenschutzbestimmungen einzuhalten. Telemedizin-Anbieter müssen außerdem die Identität aller Patienten überprüfen, die ihnen nicht bekannt sind.
2. Ist es möglich, die HIPAA-Sicherheitsvorschriften einzuhalten, wenn Telemedizin-Dienstleistungen über das Telefon oder eine mobile App erbracht werden? Ja . Zu den Technologien, die unter die HIPAA-Sicherheitsvorschriften fallen, gehören Smartphone-Anwendungen, VoIP-Technologien, Technologien zur Aufzeichnung oder Transkription von Telemedizin-Sitzungen sowie Messaging-Dienste, die Audio-Nachrichten elektronisch speichern. Ein Aspekt der Einhaltung der HIPAA-Sicherheitsvorschriften besteht darin, dass bei der Verwendung solcher Technologien eine Sicherheitsrisikoanalyse zu den potenziellen Risiken und Schwachstellen hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit elektronischer PHI durchgeführt werden muss. Die Sicherheitsrisikoanalyse sollte dann zur Entwicklung eines Risikomanagementplans herangezogen werden, um die identifizierten Risiken und Schwachstellen zu beheben.
3. Benötigt ein Telemedizin-Anbieter eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) mit der Telefongesellschaft und/oder dem Mobilfunkanbieter? Möglicherweise. Telekommunikationsdienstleister (Telecommunications Service Providers, TSPs) sind Unternehmen, die Sprach- und/oder Datenübertragungsdienste anbieten, wie z. B. Telefongesellschaften, Mobilfunkanbieter und/oder in einigen Fällen Anbieter von mobilen Anwendungen. Telemedizin-Anbieter müssen eine BAA mit einem TSP abschließen, der PHI für oder im Namen des Telemedizin-Anbieters erstellt, empfängt, verwaltet oder überträgt. Telemedizin-Anbieter müssen jedoch keine BAA mit einem TSP abschließen, wenn der TSP: (i) nur vorübergehenden Zugriff auf die übermittelten PHI hat; (ii) keine PHI im Auftrag des Telemedizin-Anbieters erstellt, empfängt oder verwaltet; und (iii) keinen routinemäßigen Zugriff auf die während des Anrufs übermittelten PHI benötigt. TSPs, die alle diese Anforderungen erfüllen, werden als „Conduits“ bezeichnet. Das HHS hat die folgenden Beispiele für Szenarien bereitgestellt, in denen eine BAA mit einem TSP erforderlich ist oder nicht erforderlich ist:
| Szenario | BAA erforderlich? |
| TSP stellt lediglich eine Verbindung zwischen dem Telemedizin-Anbieter und dem Patienten her und erstellt, empfängt oder speichert keine personenbezogenen Gesundheitsdaten aus der Sitzung. | Nein |
| Ein Telemedizin-Anbieter möchte reine Audio-Telemedizin-Sitzungen mit Patienten durchführen, wobei eine Smartphone-App zum Einsatz kommt, die PHI (z. B. Aufzeichnungen, Transkripte) in der Cloud-Infrastruktur des App-Entwicklers speichert, damit der Telemedizin-Anbieter später darauf zugreifen kann. | Ja, BAA erforderlich mit Entwickler der Smartphone-App |
| Der Telemedizin-Anbieter nutzt eine Smartphone-App, um mündliche Kommunikation in eine andere Sprache zu übersetzen und so Personen mit begrenzten Englischkenntnissen einen sinnvollen Zugang zu ermöglichen. | Ja, BAA erforderlich mit Entwickler der Smartphone-App |
Da die HIPAA-Sicherheitsvorschrift nur für elektronische PHI gilt, trifft sie nicht auf Dienste zu, die eine Standardtelefonleitung (d. h. Festnetz) verwenden. Im Allgemeinen sollten Telemedizin-Anbieter vorsichtig sein, wenn sie sich auf TSPs verlassen, die keine BAAs unterzeichnen, und sie müssen mit der gebotenen Sorgfalt sicherstellen, dass der TSP nicht auf die während des Anrufs übermittelten PHI zugreift oder diese speichert.
4. Muss ein Telemedizin-Anbieter sicherstellen, dass seine Patienten die HIPAA-Vorschriften einhalten? Das HHS weist darauf hin, dass Patienten jedes beliebige Telefonsystem verwenden können und dass Telemedizin-Anbieter nicht für den Schutz oder die Sicherheit der Patientendaten verantwortlich sind, sobald diese auf dem Telefon oder einem anderen Gerät des Patienten eingegangen sind. Anbieter von Telemedizin sollten jedoch beachten, dass, wenn sie dem Patienten eine mobile App zur Nutzung von Telemedizin-Diensten oder zur Speicherung medizinischer Daten zur Verfügung stellen, diese mobile App den Datenschutz- und Sicherheitsbestimmungen des HIPAA entsprechen muss.
Die Planung und Umstellung von PHE- auf Post-PHE-Prozesse sollte für Telemedizin-Anbieter jetzt beginnen. Die Durchführung von Risikobewertungen und Sorgfaltsprüfungen bestehender Anbieter und deren Einhaltung von Datenschutz- und Sicherheitsgesetzen muss unverzüglich erfolgen. Wenn ein Anbieter, der auf PHI zugreift, diese einsieht oder verwaltet, sich weigert, einen BAA zu unterzeichnen, sollten Telemedizin-Anbieter unverzüglich die Beendigung der Beziehung zu diesem Anbieter in Betracht ziehen und alternative Anbieter suchen, die einen BAA unterzeichnen. Die Entwicklung einer Strategie zur Einhaltung der HIPAA-Vorschriften jetzt, vor Ablauf der PHE, wird sich in Zukunft auszahlen.
Möchten Sie mehr erfahren?
- Direkt zum Verbraucher (DTC) Telemedizin: Braucht die Branche mehr Regulierung?(Ein Interview mit Quinn Shean von Tusk Strategies)
- Telemedizinunternehmen können das Patentrecht als strategischen Vorteil nutzen
- Fünf Aufgaben für Telemedizinunternehmen vor dem Ende des öffentlichen Gesundheitsnotstands
Weitere Informationen zu Telemedizin, Telegesundheit, virtueller Versorgung, Fernüberwachung von Patienten, digitaler Gesundheit und anderen Innovationen im Gesundheitswesen, einschließlich des Teams, der Veröffentlichungen und repräsentativer Erfahrungen, finden Sie unterFoley’s Telemedicine & Digital Health Industry Team.
