HIPAA und Teil 2 harmonisiert: Was Gesundheitsorganisationen wissen müssen

Programme zur Behandlung von Substanzmissbrauch (SUD) und HIPAA-regulierte Einrichtungen, die ihre Datenschutz- und Sicherheitspraktiken sowie Arbeitsabläufe optimieren möchten, erhielten letzte Woche erfreuliche Nachrichten vom US-Gesundheitsministerium (HHS). Das HHS veröffentlichte die mit Spannung erwartete endgültige Regelung (die „Part 2 Final Rule“) zur Überarbeitung der Vorschriften zur Vertraulichkeit von Patientenakten bei Substanzmissbrauch in 42 CFR Part 2 (Teil 2). Die endgültige Regelung zu Teil 2 setzt Bestimmungen des Coronavirus Aid, Relief, and Economic Security Act (CARES Act) von 2020 um und enthält Änderungen, die im November 2022 im Notice of Proposed Rulemaking vorgeschlagen wurden, sowie zusätzliche Änderungen, die aufgrund öffentlicher Kommentare vorgenommen wurden.

Die endgültige Regelung zu Teil 2 soll am 16. Februar 2024 im Bundesregister veröffentlicht werden. Sie tritt 60 Tage nach Veröffentlichung in Kraft und muss 24 Monate nach Veröffentlichung eingehalten werden.

Teil 2 Anwendbarkeit

Zur Erinnerung: Teil 2 dient dem Schutz von Patientenakten, die von Teil-2-Programmen erstellt oder empfangen wurden. Teil-2-Programme sind Personen, Einrichtungen oder identifizierte Einheiten in einer allgemeinen medizinischen Einrichtung, die staatlich gefördert werden und die sich als Anbieter von SUD-Diagnosen, -Behandlungen oder -Überweisungen zur Behandlung präsentieren und diese auch anbieten. Ein klassisches Beispiel für ein Teil-2-Programm wäre ein Opioid-Behandlungsprogramm, das medikamentengestützte Behandlungen für Personen anbietet, bei denen eine Opioidabhängigkeit diagnostiziert wurde.

Einverständniserklärung des Patienten

Die endgültige Regelung zu Teil 2 erlaubt es einem Teil-2-Programm, eine einzige Einwilligung eines Patienten für alle zukünftigen Verwendungen und Offenlegungen von Teil-2-Aufzeichnungen für Behandlung, Zahlung und Gesundheitsversorgung (TPO) gemäß den HIPAA-Vorschriften einzuholen und sich darauf zu stützen, bis der Patient diese Einwilligung schriftlich widerruft. Teil-2-Programme sollten den Patienten-Workflow aktualisieren, um diese Einwilligung von Patienten einzuholen, da dies dem Teil-2-Programm die Verwendung und Offenlegung von Teil-2-Informationen in einer Weise ermöglicht, die wesentlich weniger aufwendig ist als vor dieser Änderung.

Die endgültige Regelung in Teil 2 erlaubt es HIPAA-unterliegenden Einrichtungen und Geschäftspartnern, die Aufzeichnungen im Rahmen dieser TPO-Einwilligung erhalten, diese Aufzeichnungen gemäß den HIPAA-Vorschriften weiterzugeben, mit der Ausnahme, dass die Aufzeichnungen ohne ausdrückliche Einwilligung oder gerichtliche Anordnung nicht für Gerichtsverfahren gegen den Patienten weitergegeben werden dürfen. Diese Einschränkung schafft einen Ausgleich zwischen der Erlaubnis zur Weitergabe für Programme, unter die HIPAA fallende Einrichtungen und Geschäftspartner, die Empfänger von Unterlagen gemäß Teil 2 sind, und dem Schutz der Patienten vor der Verwendung der Unterlagen in Verfahren gegen den Patienten. Beschränkungen hinsichtlich der Verwendung oder Weitergabe von Patientenunterlagen zur Einleitung oder Begründung von Strafanzeigen oder Ermittlungen oder Zivilverfahren gegen einen Patienten werden in der endgültigen Regelung in Teil 2 behandelt.

Eine wesentliche Änderung gegenüber dem Entwurf der vorgeschlagenen Regelung besteht darin, dass die endgültige Regelung in Teil 2 vorschreibt, dass jeder Offenlegung, die mit Zustimmung des Patienten erfolgt, eine Kopie der Einwilligung oder eine klare Erläuterung des Umfangs der Einwilligung beizufügen ist. Diese Anforderung stellt sicher, dass die Empfänger von Unterlagen über die Informationen verfügen, die sie benötigen, um die möglicherweise bestehenden Weitergabeerlaubnisse zu verstehen. Dies gilt zusätzlich zu der Weitergabeerklärung, die jeder Offenlegung mit schriftlicher Einwilligung des Patienten beiliegen muss (z. B. „42 CFR Teil 2 verbietet die unbefugte Verwendung oder Offenlegung dieser Unterlagen.“).

Hinweis für Patienten

Die endgültige Regelung zu Teil 2 passt die Anforderungen an die Patienteninformation in Teil 2 stärker an die HIPAA-Datenschutzerklärung an. Programme gemäß Teil 2 müssen ihre Patienteninformation aktualisieren und unter anderem die neue erforderliche Überschrift, die gemäß der endgültigen Regelung zu Teil 2 geänderten Verwendungszwecke und Offenlegungen sowie die gemäß der endgültigen Regelung zu Teil 2 geltenden Patientenrechte aufnehmen. Das HHS beabsichtigt, die Änderungen an der HIPAA-Datenschutzerklärung in einer nachfolgenden endgültigen Regelung zur Änderung der HIPAA-Datenschutzregelung zu finalisieren. Die Anforderungen für die Bereitstellung der Patienteninformation an Patienten ähneln den Anforderungen gemäß der HIPAA-Datenschutzregelung.

Patientenrechte

Die endgültige Regelung in Teil 2 gewährt Patienten zusätzliche Rechte, die sich eng an die Rechte der HIPAA-Datenschutzregelung anlehnen, darunter das Recht, (i) Einschränkungen der Offenlegung gegenüber dem Krankenversicherer des Patienten für Leistungen, die der Patient vollständig bezahlt hat, oder Offenlegungen, die mit vorheriger Zustimmung zum Zwecke der TPO erfolgt sind, zu beantragen, (ii) eine Aufstellung der Offenlegungen zu erhalten, einschließlich der TPO, die in den letzten drei Jahren über eine elektronische Gesundheitsakte erfolgt sind, und (iii) zu entscheiden, keine Mitteilungen zu Spendenaktionen zu erhalten. Die erweiterten Patientenrechte erhöhen die Transparenz darüber, wie die Unterlagen eines Patienten verwendet und offengelegt werden, und geben den Patienten die Kontrolle über bestimmte Verwendungen und Offenlegungen.

Beachten Sie, dass Teil 2 kein umfassendes Recht für Patienten auf Zugang zu ihren eigenen Daten wie die HIPAA-Datenschutzbestimmungen vorsieht. Das HHS bestätigt dies in seinem Kommentar zur endgültigen Regelung in Teil 2 mit folgenden Worten: „Gemäß der bestehenden (und endgültigen) Regelung liegt es im Ermessen der Programme in Teil 2, Patienten Zugang zu ihren Unterlagen zu gewähren. Abschnitt 2.23 verbietet weder den Zugang für Patienten noch schreibt er diesen vor ...“ Teil-2-Programme, die auch HIPAA-regulierte Einrichtungen sind, müssen die Zugangsanforderungen der HIPAA-Datenschutzbestimmungen befolgen.

Verstoßmeldung

Die endgültige Regelung zu Teil 2 wendet die HIPAA-Regelung zur Benachrichtigung bei Verstößen auf Verstöße gegen ungesicherte Aufzeichnungen durch Programme gemäß Teil 2 an und übernimmt die HIPAA-Definitionen für „Verstoß“ und „ungesichert“. Das bedeutet, dass ein Programm gemäß Teil 2, bei dem es zu einer Erfassung, einem Zugriff, einer Verwendung oder einer Offenlegung ungesicherter Aufzeichnungen unter Verstoß gegen Teil 2 kommt, prüfen muss, ob eine Benachrichtigung der betroffenen Personen, des HHS und der Medien erforderlich ist.

Beratungsnotizen zu Substanzmissbrauch

Die endgültige Regelung in Teil 2 enthält eine Definition von SUD-Beratungsnotizen, die sich eng an die HIPAA-Definition von Psychotherapie-Notizen anlehnt. SUD-Beratungsnotizen sind Notizen, die (auf einem beliebigen Medium) von einem Teil-2-Programmanbieter, der ein SUD- oder Psychologe ist, aufgezeichnet werden und die den Inhalt von Gesprächen während einer SUD-Beratungssitzung dokumentieren oder analysieren. In Übereinstimmung mit der HIPAA-Definition von Psychotherapie-Notizen verlangt die Definition, dass die Notizen vom Rest der Krankenakte getrennt werden und schließt die Verschreibung und Überwachung von Medikamenten, Beginn und Ende der Beratungssitzungen, Modalitäten und Häufigkeit der durchgeführten Behandlungen, Ergebnisse klinischer Tests sowie Zusammenfassungen der Diagnose, des Funktionsstatus, des Behandlungsplans, der Symptome, der Prognose und des bisherigen Fortschritts aus.

Ähnlich wie bei der Behandlung von Psychotherapie-Notizen gemäß der HIPAA-Datenschutzregelung erfordert die Offenlegung von SUD-Beratungsnotizen die ausdrückliche Zustimmung der betroffenen Person. Teil 2 erlaubt es Ärzten, nach eigenem Ermessen Patienten Zugang zu SUD-Beratungsnotizen zu gewähren.

Trennung von Daten

Die endgültige Regelung zu Teil 2 streicht die Formulierung, die eine Trennung oder Segmentierung von Aufzeichnungen gemäß Teil 2 vorschreibt, wobei das HHS ausdrücklich darauf hinweist, dass eine Trennung oder Segmentierung von Aufzeichnungen gemäß Teil 2 nicht von Programmen gemäß Teil 2, betroffenen Einrichtungen und Geschäftspartnern verlangt wird, die Aufzeichnungen auf der Grundlage einer einzigen Einwilligung für alle zukünftigen TPO erhalten. Die Aufzeichnungen bleiben jedoch weiterhin Aufzeichnungen gemäß Teil 2 und müssen gemäß Teil 2 geschützt werden, einschließlich der Sicherstellung, dass die Aufzeichnungen nicht in Verfahren gegen den Patienten verwendet werden.

Strafen

Verstöße gegen Teil 2 unterliegen denselben zivil- und strafrechtlichen Sanktionen wie Verstöße gegen HIPAA, einschließlich der Verhängung von zivilrechtlichen Geldstrafen in den vier Schuldstufen, die bei Verstößen gegen HIPAA angewendet werden. Ebenso können Patienten bei HHS Beschwerden wegen Verstößen gegen Teil 2 einreichen.

Schlussfolgerung

Teil-2-Programme sollten damit beginnen, ihre Teil-2-Compliance-Programme gemäß der endgültigen Teil-2-Regelung zu überprüfen, um festzustellen, wo Änderungen vorgenommen werden müssen. Dazu gehören die Aktualisierung von Richtlinien und Verfahren, Patienten-Einwilligungen und Patienten-Hinweisen. Darüber hinaus sollten Teil-2-Programme dies als Gelegenheit nutzen, ihre Mitarbeiter hinsichtlich der Anforderungen von Teil 2 für die Verwendung und Offenlegung von Teil-2-Aufzeichnungen – und deren Unterschieden zur HIPAA – neu zu schulen, da die endgültige Regelung zu Teil 2 Meldepflichten für Verstöße vorschreibt.

Möchten Sie mehr erfahren?

COVID-19: CARES-Gesetz überarbeitet Bundesgesetz zum Schutz der Privatsphäre bei Substanzmissbrauch

HHS schlägt vor, das Bundesgesetz über Substanzmissbrauch an HIPAA anzupassen Wenn Sie Fragen zur Anwendbarkeit von Teil 2 auf Ihre Organisation oder zur Umsetzung der endgültigen Regelung zu Teil 2 haben, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counselder Cybersecurity and Data Privacy Groupoder der Health Care Practice Group von Foley.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

HIPAA und Teil 2 harmonisiert: Was Gesundheitsorganisationen wissen müssen

Teil 2 Anwendbarkeit

Einverständniserklärung des Patienten

Hinweis für Patienten

Patientenrechte

Verstoßmeldung

Beratungsnotizen zu Substanzmissbrauch

Trennung von Daten

Strafen

Schlussfolgerung

Autor(en)

Jennifer J. Hennessy

Aaron T. Maguregui

Verwandte Einblicke

Die Zukunft der ACOs anführen: Neues langfristiges, verbessertes ACO-Designmodell

CMS ACCESS-Modell: Anbieter bereiten sich auf technologiegestützte, wertorientierte Versorgung vor

Episode 37: Chanda Center for Health: Reimagining Access to and Delivery of Long-term Disability Care