HHS schlägt vor, das Bundesgesetz über Substanzmissbrauch an HIPAA anzupassen

Die vorgeschlagenen Änderungen des Bundesgesetzes über Substanzmissbrauch werden die Effizienz der Anbieter steigern und eine bessere Übereinstimmung mit dem Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) gewährleisten. In dem Bestreben, den Verwaltungsaufwand für Patienten und Anbieter zu verringern und gleichzeitig die Durchsetzungsmöglichkeiten zu verbessern, hat das Ministerium für Gesundheit und Soziales (HHS) seine lang erwartete Bekanntmachung über die vorgeschlagene Regelungsänderung (Proposed Rule) für die vorgeschlagenen Änderungen an 42 C.F.R. Teil 2 (Teil 2) veröffentlicht, der Verordnung, die die Vertraulichkeit von Patientenakten zu Substanzmissbrauch regelt. Die Änderungen wurden seit 2020 erwartet, als der Kongress das HHS anwies, Teil 2 im CARES Act zu ändern. Die Auswirkungen der vorgeschlagenen Regelung werden für Anbieter von Leistungen für Substanzmissbrauchsstörungen, die bereits zur Einhaltung des HIPAA verpflichtet sind, insgesamt positiv sein. Allerdings müssen Anbieter, die bar bezahlen, Teil 2 einhalten müssen, aber nicht dem HIPAA unterliegen, die Datenschutzbestimmungen und die Meldepflicht bei Datenschutzverletzungen des HIPAA einhalten.

„Das HHS ist sich bewusst, wie wichtig es für Patienten ist, die Vorschriften und Programme von Teil 2 besser an die HIPAA anzupassen. Diese vorgeschlagene Regelung trägt dazu bei, die Belastungen für Patienten und Anbieter zu verringern, die Koordination zu verbessern und den Zugang zu Pflege und Behandlung zu erleichtern, während gleichzeitig die Vertraulichkeit der Behandlungsunterlagen gewahrt bleibt.“ – OCR-Direktorin Melanie Fontes Rainer (28. November 2022)

Hier sind sechs wichtige Punkte aus dem Regelungsvorschlag.

1. Einmalige Einwilligung des Patienten für alle Offenlegungen im Zusammenhang mit Behandlungen, Zahlungen und Operationen. Die am meisten erwartete Änderung in Teil 2 ist die Erleichterung der Weitergabe von Teil-2-Aufzeichnungen für Zwecke der Behandlung, Zahlung und Gesundheitsversorgung (TPO). Teil-2-Programme können eine einzige Einwilligung von einem Patienten einholen, die die Offenlegung für alle zukünftigen TPO-Verwendungen und -Offenlegungen erlaubt. Die vorgeschlagene Regelung gibt Patienten Flexibilität bei der Identifizierung der Empfänger. So ist es beispielsweise zulässig, in der Einwilligung Kategorien von Empfängern aufzulisten, wie z. B. „meine behandelnden Ärzte, Krankenkassen, Drittzahler und Personen, die an der Durchführung dieses Programms beteiligt sind“ oder eine ähnliche Formulierung. Sobald die Einwilligung, die einer HIPAA-Genehmigung ähnelt, eingeholt wurde, können Teil-2-Programme, betroffene Einrichtungen und Geschäftspartner, die Teil-2-Datensätze gemäß einer schriftlichen Einwilligung für TPO-Zwecke erhalten, die Datensätze in jeder nach der HIPAA-Datenschutzregel zulässigen Weise weitergeben, mit Ausnahme bestimmter Verfahren gegen den Patienten.
2. Verstöße gegen Teil 2 unterliegen der HIPAA-Meldepflicht bei Datenschutzverletzungen. Der vorgeschlagene Regelungsentwurf würde die Meldepflichten bei Datenschutzverletzungen durch einen Verweis auf die HIPAA-Meldepflicht bei Datenschutzverletzungen in Teil 2 aufnehmen. Diese Änderung würde erfordern, dass Programme gemäß Teil 2 das HHS, betroffene Patienten und in einigen Fällen auch die Medien über eine Verletzung der Sicherheit von Daten gemäß Teil 2 gemäß der HIPAA-Meldepflicht bei Datenschutzverletzungen informieren. Während die meisten Programme gemäß Teil 2 ebenfalls betroffene Einrichtungen sind, die bereits mit diesen Anforderungen vertraut sind, müssen alle Programme gemäß Teil 2, die derzeit nicht der HIPAA unterliegen, ein robustes Programm zur Einhaltung der Datenschutzbestimmungen entwickeln und ihre Mitarbeiter schulen, um Offenlegungen zu identifizieren, die eine Meldepflicht auslösen könnten.
3. Selbstzahler haben das Recht, die Weitergabe von Daten an Krankenkassen einzuschränken. Ähnlich wie bei HIPAA würde die vorgeschlagene Regelung verlangen, dass Teil-2-Programme Patienten die Möglichkeit geben, Einschränkungen hinsichtlich der Verwendung oder Weitergabe von Teil-2-Informationen zur Durchführung von TPO zu beantragen. Dies gilt auch für Fälle, in denen der Patient eine schriftliche Einwilligung zur Weitergabe der Daten unterzeichnet hat. Teil-2-Programme sind nicht verpflichtet, diesen Einschränkungen zuzustimmen, es sei denn, der Patient hat beantragt, die Weitergabe von Unterlagen an eine Krankenkasse zu Zahlungs- oder Gesundheitsversorgungszwecken einzuschränken, wenn sich die Unterlagen ausschließlich auf eine Gesundheitsversorgung oder -dienstleistung beziehen, für die der Patient oder eine andere Person in seinem Namen, mit Ausnahme der Krankenkasse, das Teil-2-Programm vollständig bezahlt hat.
4. Die Anforderungen an die Patientenaufklärung in Teil 2 entsprechen den Datenschutzhinweisen der HIPAA. Die vorgeschlagene Regelung würde sicherstellen, dass Patienten von Teil-2-Programmen das gleiche Maß an Aufklärung und Transparenz erhalten, wie es Personen durch die Datenschutzhinweise (NPP) der HIPAA gewährt wird. Derzeit sind Programme nach Teil 2 verpflichtet, Patienten eine schriftliche „Zusammenfassung” der Beschränkungen nach Teil 2 zur Verfügung zu stellen, aber Teil 2 verlangt nicht, dass solche Programme den Patienten eine umfassende NPP zur Verfügung stellen. Nach der vorgeschlagenen Regelung würde die Patienteninformation nach Teil 2 (Patient Notice) dieselben wesentlichen Elemente wie die HIPAA-NPP behandeln, einschließlich einer Beschreibung der zulässigen Verwendungen und Offenlegungen von Aufzeichnungen nach Teil 2 (und wann eine separate Einwilligung erforderlich ist). Die Patienteninformation müsste die Patienten auch über das Beschwerdeverfahren und das Recht des Patienten informieren, seine Einwilligung zur Offenlegung von Aufzeichnungen durch das Teil-2-Programm unter bestimmten Umständen zu widerrufen. Bemerkenswert ist, dass die vorgeschlagene Regelung sowohl die Anforderungen an die Patienteninformation gemäß Teil 2 als auch die NPP-Anforderungen gemäß HIPAA ändern würde. Bestimmte betroffene Einrichtungen, die keine Teil-2-Programme sind, aber Teil-2-Aufzeichnungen erhalten und aufbewahren (und somit den Anforderungen von Teil 2 für diese Aufzeichnungen unterliegen), müssten ihrer NPP eine Bestimmung hinzufügen, die auf die Beschränkungen der Verwendung und Offenlegung von Teil-2-Aufzeichnungen in zivil-, straf-, verwaltungs- und gesetzgebungsrechtlichen Verfahren gegen die betreffende Person verweist. Die aktuellen NPP-Anforderungen würden unverändert für betroffene Einrichtungen gelten, die keine Teil-2-Aufzeichnungen aufbewahren oder erhalten. 
5. Die neuen Anforderungen an die Offenlegungspflicht gemäß Teil 2 werden bis zur Veröffentlichung der lang erwarteten endgültigen HIPAA-Vorschrift zur Offenlegungspflicht ausgesetzt. Das HHS schlägt vor, die Offenlegungspflichten der HIPAA in Teil 2 aufzunehmen. Die vorgeschlagene Vorschrift würde auch die Anforderungen des HITECH Act aufnehmen, wonach Offenlegungen zu TPO-Zwecken nur dann in die Offenlegungspflicht einbezogen werden, wenn diese Offenlegungen über eine elektronische Gesundheitsakte erfolgen. Das Datum für die Einhaltung der Rechnungslegungsanforderungen in Teil 2 würde bis zum Inkrafttreten einer (lang erwarteten) endgültigen Regelung zur HIPAA-Rechnungslegung für Offenlegungen ausgesetzt werden.
6. Das HHS wird befugt sein, Teil 2 durch zivilrechtliche Sanktionen durchzusetzen. Das CARES-Gesetz ersetzte die bisherige strafrechtliche Durchsetzungsbefugnis für Verstöße gegen Teil 2 durch einen Verweis auf die gesetzlichen Strafen, die für Verstöße gegen das HIPAA gelten. Die vorgeschlagene Regelung würde die Bestimmungen von Teil 2 aktualisieren, um dieser Änderung Rechnung zu tragen, und damit erstmals eine zivilrechtliche Durchsetzungsbefugnis schaffen, die vom HHS zusätzlich zu der seit langem bestehenden strafrechtlichen Durchsetzungsbefugnis des Justizministeriums ausgeübt werden kann. In der vorgeschlagenen Regelung wird darauf hingewiesen, dass bisher keine strafrechtlichen Maßnahmen zur Durchsetzung von Teil 2 ergriffen wurden. Angesichts der umfangreichen Erfahrung des HHS bei der Untersuchung und Ahndung von Verstößen gegen das HIPAA durch zivilrechtliche Sanktionen ist davon auszugehen, dass das HHS in Bezug auf Teil 2 einen ähnlichen Ansatz verfolgen wird.

Verschaffen Sie Ihrer Stimme Gehör

Öffentliche Stellungnahmen zu dem Regelungsvorschlag sind innerhalb von 60 Tagen nach Veröffentlichung des Regelungsvorschlags im Federal Register einzureichen, die für den 2. Dezember 2022 vorgesehen ist. Es ist zu beachten, dass die derzeitigen Bestimmungen in Teil 2 während des Regelungsprozesses des HHS weiterhin in Kraft bleiben.

Möchten Sie mehr erfahren?

• ATA EDGE2022-Konferenz zur Politik | American Telemedicine Association
• Top-Trends für 2022 im Bereich Gesundheitswesen und Biowissenschaften
• Die Medicare-Ärztevergütungstabelle für 2023 verbessert den Zugang zu ganzheitlichen Behandlungen für Substanzmissbrauch und Verhaltensstörungen.

Weitere Informationen zur vorgeschlagenen Regelung, Teil 2, oder zu rechtlichen Aspekten im Zusammenhang mit Telemedizin, Telegesundheit, virtueller Versorgung, Fernüberwachung von Patienten, digitaler Gesundheit und anderen Innovationen im Gesundheitswesen erhalten Sie bei den PraxisgruppenTelemedizin und digitale Gesundheit, Cybersicherheit und Datenschutz oder Gesundheitswesen von Foley.