Kalifornien: Gesundheitsdienstleister müssen bis 2024 einer landesweiten Vereinbarung zum Datenaustausch beitreten

Vielen Dank an den Mitautor Danny Costandy, Sommerpraktikant in der Kanzlei Foley in San Diego, für seine Beiträge zu diesem Beitrag.

Viele Gesundheitsdienstleister in Kalifornien, darunter Krankenhäuser und Ärztegruppen, müssen bald eine Vereinbarung unterzeichnen, die den Austausch von Gesundheits- und Sozialdienstinformationen regelt. Es ist die erste landesweite Vereinbarung dieser Art in Kalifornien. 

Die neue Anforderung verdeutlicht anschaulich die strengen Compliance-Standards, denen Gesundheitsdienstleister heute unterliegen: Vertraulichkeitsgesetze, die seit langem die zulässige Weitergabe von Gesundheitsdaten einschränken, müssen nun neben einem neuen Regelwerk berücksichtigt werden, das darauf abzielt, die Behinderung des legitimen Zugangs zu Gesundheitsdaten zu verhindern. Die Einhaltung der Vorschriften erfordert ein ausgewogenes Verhältnis zwischen der Offenlegung der erforderlichen Informationen und der Zurückhaltung der geschützten Daten. 

Das neue kalifornische Gesetz weist die California Health and Human Services Agency (CalHHS) an, ein Datenaustausch-Framework zu schaffen, das „den Echtzeit-Zugriff auf oder den Austausch von Gesundheitsdaten zwischen Gesundheitsdienstleistern und Kostenträgern über jedes Gesundheitsinformationsaustauschnetzwerk, jede Gesundheitsinformationsorganisation oder jede Technologie, die bestimmte Standards und Richtlinien einhält, ermöglicht und vorschreibt“.  Das Datenaustausch-Framework ist kein Austauschsystem für Gesundheitsdaten und kein Datenspeicher. Es handelt sich um eine technologieneutrale Reihe von Standards für den Informationsaustausch.

Am 5. Juli 2022 veröffentlichte CalHHS auf einer Website des Bundesstaates die einheitliche Vereinbarung zum Datenaustausch sowie eine erste Reihe von Richtlinien und Verfahren zur Umsetzung des neuen Gesetzes. Die in dieser ersten Runde entwickelten Richtlinien und Verfahren befassen sich mit Themen wie dem erforderlichen Informationsaustausch, den auszutauschenden Datenelementen, der Benachrichtigung bei Verstößen, Datenschutz- und Sicherheitsvorkehrungen, Verfahren zur Änderung der Vereinbarungen zum Datenaustausch und der damit verbundenen Richtlinien und Verfahren sowie dem individuellen Recht auf Zugang.  Künftige Richtlinien und Verfahren werden sich mit Themen wie Informationsblockierung, Überwachung und Prüfung, Durchsetzung und technischen Anforderungen für den Austausch befassen.

Wer muss am Datenaustausch-Framework teilnehmen?

Die Umsetzung der Rahmenvereinbarung zum Datenaustausch ist bis zum 31. Januar 2023 für allgemeine Akutkrankenhäuser, Ärzteorganisationen und medizinische Gruppen, Fachpflegeeinrichtungen, Krankenkassen und Invaliditätsversicherer, Medi-Cal-Managed-Care-Pläne, klinische Labore und akute psychiatrische Krankenhäuser verpflichtend. 

Die meisten Gesundheitsdienstleister, die die Vereinbarung umsetzen, sind verpflichtet, bis zum 31. Januar 2024 mit dem Austausch von Informationen für Behandlungen, Zahlungen oder Gesundheitsdienstleistungen zu beginnen. Arztpraxen mit weniger als 25 Ärzten, gemeinnützige Kliniken mit weniger als 10 Gesundheitsdienstleistern und bestimmte Krankenhäuser sind erst ab dem 31. Januar 2026 zum Informationsaustausch verpflichtet.  

Das Datenaustausch-Framework wird auch einer Reihe anderer Einrichtungen offenstehen, darunter Regierungsbehörden und private Organisationen.  Laut Gesetz muss CalHHS mit der California State Association of Counties zusammenarbeiten, um die Einbeziehung von Gesundheits-, öffentlichen Gesundheits- und Sozialdiensten der Bezirke zu fördern. Gemäß der einheitlichen Datenaustauschvereinbarung vom 5. Juli 2022 können zu den Teilnehmern auch Gesundheitsinformationsnetzwerke, kommunale Informationsaustauschstellen, Labore, Gesundheitssysteme, Entwickler von Gesundheits-IT, kommunale Organisationen, Kostenträger, Forschungsinstitute und Sozialdienstorganisationen gehören.  Der umfassende Geltungsbereich steht im Einklang mit dem in Cal. Health & Safety Code § 130290(e) formulierten Ziel der Gesetzgebung, „sowohl öffentliche als auch private Einrichtungen dabei zu unterstützen, sich durch einheitliche Standards und Richtlinien zu vernetzen“.

Was passiert, wenn ein Teilnehmer nicht bereit ist, Informationen innerhalb der gesetzlichen Frist auszutauschen?

Die Richtlinien und Verfahren verlangen von einem Teilnehmer, der technisch nicht in der Lage ist, Informationen innerhalb der geltenden Frist auszutauschen, sich nach besten Kräften zu bemühen, einen Vertrag mit einem anderen Unternehmen abzuschließen, das Datenaustauschdienste anbietet.

Wie berücksichtigt das Datenaustausch-Framework die sozialen Determinanten von Gesundheit?

Ein ausdrückliches Ziel des neuen kalifornischen Gesetzes ist es, Wege zu finden, um Daten zu sozialen Determinanten der Gesundheit, wie beispielsweise Wohn- und Ernährungsunsicherheit, in gemeinsame Gesundheitsinformationen einzubeziehen.  Die einheitliche Vereinbarung zum Datenaustausch gilt für „Informationen zu Gesundheits- und Sozialdiensten”, darunter auch „ ” Informationen im Zusammenhang mit der Erbringung von Sozialdienstleistungen, selbst wenn es sich dabei nicht um geschützte Gesundheitsdaten im Sinne des HIPAA handelt ( ). Die Definition von „Informationen zu Gesundheits- und Sozialdiensten” erstreckt sich auch auf anonymisierte Daten, pseudonymisierte Daten, Metadaten, digitale Identitäten und Schemata.

Werden die Teilnehmer neue Meldepflichten bei Verstößen haben?

Das neue Datenaustausch-Framework, das durch Richtlinien und Verfahren umgesetzt wird, erweitert die Meldepflichten für Datenschutzverletzungen für Gesundheitsdienstleister über die HIPAA- und staatlichen Gesetze hinaus. Die Teilnehmer sind verpflichtet, CalHHS und alle betroffenen Teilnehmer so schnell wie möglich nach der Entdeckung einer Datenschutzverletzung zu benachrichtigen. Darüber hinaus muss der Benachrichtigung ein schriftlicher Bericht folgen, der „ausreichende Informationen enthält, damit der Empfänger der Benachrichtigung die Art der Datenschutzverletzung nachvollziehen kann“.  Diese Anforderungen gehen über die bestehenden Vorschriften für betroffene Einrichtungen gemäß den HIPAA-Bestimmungen hinaus, die keine Meldung an eine kalifornische Behörde oder andere betroffene Einrichtungen vorschreiben, die „betroffen“ sind. 

Bestimmte zugelassene Kliniken und Einrichtungen müssen Verstöße bereits innerhalb von fünfzehn Werktagen an das kalifornische Gesundheitsministerium melden. Nun müssen sie außerdem den Zugriff, die Offenlegung oder die Verwendung von Informationen, die nicht gemäß dem Datenaustausch-Rahmenwerk oder anderen geltenden Gesetzen zulässig sind, an CalHHS sowie an alle von dem Verstoß betroffenen Teilnehmer melden. Es ist unklar, wie ein Teilnehmer feststellen soll, ob andere Teilnehmer über einen Verstoß informiert werden müssen, weil sie davon betroffen sind. 

Trotz dieser erweiterten Verpflichtungen weicht die endgültige Fassung der Richtlinie und des Verfahrens zur Meldung von Datenschutzverletzungen von den strengeren Regeln ab, die in einem früheren Entwurf der Richtlinie vorgeschlagen worden waren. Diese hätten eine Meldung innerhalb von 72 Stunden und anschließend einen schriftlichen Bericht innerhalb von 10 Kalendertagen vorgeschrieben. Auf der Grundlage der veröffentlichten Sitzungsunterlagen hat CalHHS bestimmte Fristen gestrichen, nachdem es Kommentare von Interessengruppen erhalten hatte, die forderten, dass die Richtlinien keine anderen Fristen für die Meldung von Datenschutzverletzungen vorschreiben sollten als die bestehenden Gesetze.

Compliance-Hochseilakt für Gesundheitsdienstleister

Das zugrunde liegende Gesetz zum Datenaustauschrahmen verpflichtet die teilnehmenden Gesundheitsdienstleister, Gesundheitsdaten für Behandlungen, Zahlungen und Gesundheitsdienstleistungen weiterzugeben, sofern dies gesetzlich zulässig ist. Wie in den Richtlinien und Verfahren zur Regelung der Zwecke, für die die Teilnehmer Informationen austauschen müssen oder dürfen, umgesetzt, ist die Verpflichtung der Teilnehmer sogar noch weiter gefasst: Sie müssen „Gesundheits- und Sozialdienstdaten” für Behandlungen, Zahlungen, Gesundheitsdienstleistungen und Aktivitäten im Bereich der öffentlichen Gesundheit weitergeben, sofern dies nicht durch Gesetze oder spezifische Richtlinien und Verfahren untersagt ist.  

Die zunehmende Verbreitung gesetzlicher Vorschriften zur Weitergabe von Informationen unterstreicht den Spagat, den Gesundheitsdienstleister vollführen müssen. Einerseits schränken staatliche und bundesstaatliche Datenschutzgesetze die zulässige Weitergabe von Informationen ein, manchmal auf sehr restriktive Weise.  Andererseits verpflichten die Bundesvorschriften zur Informationssperre Gesundheitsdienstleister, den Zugang, den Austausch oder die Nutzung elektronischer Gesundheitsdaten nicht zu behindern, und nun verpflichtet sie das kalifornische Recht, Informationen mit den Teilnehmern des Datenaustausch-Rahmenwerks zu teilen. Gesundheitsdienstleister müssen Anfragen zur Weitergabe von Informationen unter Berücksichtigung aller geltenden staatlichen und bundesstaatlichen Gesetze sorgfältig prüfen, um sicherzustellen, dass sie die erforderlichen Informationen bereitstellen und die geschützten Informationen zurückhalten.

Foley hilft Ihnen dabei, die kurz- und langfristigen Auswirkungen regulatorischer Änderungen zu bewältigen. Wir verfügen über die Ressourcen, um Sie bei diesen und anderen wichtigen rechtlichen Überlegungen im Zusammenhang mit dem Geschäftsbetrieb und branchenspezifischen Fragen zu unterstützen. Bei Fragen wenden Sie sich bitte an die Autoren, Ihren Ansprechpartner bei Foley oder unsere Health Care Practice Group.