HIPAA: Änderungen zum Schutz von Informationen zur reproduktiven Gesundheitsversorgung können nun mit der endgültigen Regelung der OCR umgesetzt werden

HIPAA-regulierte Einrichtungen können nun mit der Umsetzung der Änderungen der HIPAA-Datenschutzbestimmungen beginnen, um zusätzliche Schutzmaßnahmen für Informationen zur reproduktiven Gesundheitsversorgung zu gewährleisten, die Anfang dieses Jahres vom Büro für Bürgerrechte des Ministeriums für Gesundheit und Soziales (OCR) herausgegeben wurden. HIPAA-regulierte Einrichtungen sind erst ab dem 23. Dezember 2024 verpflichtet, die neuen Anforderungen zu erfüllen (mit einem späteren Stichtag für die erforderlichen Änderungen der Datenschutzerklärung (NPP)). Die OCR empfiehlt jedoch, dass HIPAA-regulierte Einrichtungen bereits am 25. Juni 2024, dem Datum des Inkrafttretens der endgültigen Regelung, mit der Umsetzung der Änderungen beginnen. Zu diesem Zeitpunkt erklärte OCR-Direktorin Melanie Fontes Rainer:

„Das OCR fordert alle unter HIPAA fallenden Einrichtungen und Geschäftspartner dazu auf, noch heute mit der Umsetzung der neuen Datenschutzbestimmungen zu beginnen. Patienten haben ein Recht darauf, dass diese Datenschutzmaßnahmen so schnell wie möglich umgesetzt werden.“

„Reproduktive Gesundheitsversorgung“wird in den Änderungen der HIPAA-Datenschutzbestimmungen weit gefasst definiert als Gesundheitsversorgung, die sich auf die Gesundheit einer Person in allen Angelegenheiten auswirkt, die das Fortpflanzungssystem und dessen Funktionen und Prozesse betreffen. Die Änderungen lassen sich in drei Hauptkomponenten zusammenfassen:

Verbotene Verwendungen und OffenlegungenHIPAA-regulierte Einrichtungen dürfen geschützte Gesundheitsdaten (PHI) nicht verwenden oder weitergeben. für eine der folgenden Aktivitäten (Verbotene Aktivitäten):
- Eine strafrechtliche, zivilrechtliche oder verwaltungsrechtliche Untersuchung gegen eine Person durchzuführen, nur weil diese reproduktive Gesundheitsversorgung in Anspruch genommen, erhalten, bereitgestellt oder ermöglicht hat.
- Eine strafrechtliche, zivilrechtliche oder verwaltungsrechtliche Haftung einer Person allein aufgrund der Tatsache zu verhängen, dass sie reproduktive Gesundheitsversorgung in Anspruch genommen, erhalten, bereitgestellt oder erleichtert hat.
- Zur Identifizierung einer Person für einen der oben genannten Zwecke.

„Die Inanspruchnahme, Beschaffung, Bereitstellung oder Erleichterung von reproduktiver Gesundheitsversorgung“ umfasst im weitesten Sinne unter anderem das Bekunden von Interesse an reproduktiver Gesundheitsversorgung , deren Inanspruchnahme, Durchführung, Bereitstellung, Bezahlung, Verbreitung von Informationen darüber, Vermittlung, Versicherung, Verwaltung, Genehmigung, Versicherungsschutz, Genehmigung, Beratung, Unterstützung oder sonstige Maßnahmen zur Inanspruchnahme reproduktiver Gesundheitsversorgung oder den Versuch einer solchen Inanspruchnahme.

Dieses Verbot gilt, wenn die Tätigkeit im Zusammenhang mit einer Person steht, die reproduktive Gesundheitsversorgung in Anspruch nimmt, erhält, bereitstellt oder erleichtert, und die HIPAA-regulierte Einrichtung festgestellt hat, dass die reproduktive Gesundheitsversorgung rechtmäßig ist oder anderweitig gesetzlich geschützt ist. Die reproduktive Gesundheitsversorgung gilt als rechtmäßig, es sei denn, die HIPAA-regulierte Einrichtung hat tatsächliche Kenntnis vom Gegenteil oder der Antragsteller legt sachliche Informationen vor, die eine „wesentliche sachliche Grundlage” dafür liefern, dass die reproduktive Gesundheitsversorgung rechtswidrig war.

Die OCR hat ein Informationsblatt mit Beispielen herausgegeben, um HIPAA-regulierten Einrichtungen bei der Umsetzung der Änderungen zu helfen. In diesem Informationsblatt heißt es, dass die HIPAA es HIPAA-regulierten Einrichtungen weiterhin gestattet, „PHI für Zwecke zu verwenden oder offenzulegen, die ansonsten gemäß der Datenschutzregel zulässig sind, wenn die Anfrage zur Verwendung oder Offenlegung von PHI nicht dazu dient, eine Person allein aufgrund der Tatsache, dass sie reproduktive Gesundheitsversorgung in Anspruch genommen, erhalten, bereitgestellt oder ermöglicht hat, zu untersuchen oder haftbar zu machen“. Als Beispiel für eine solche Verwendung oder Offenlegung nennt die OCR einen unter die Regelung fallenden Gesundheitsdienstleister, der PHI „zu seiner Verteidigung in einer Untersuchung oder einem Verfahren wegen beruflichem Fehlverhalten oder Fahrlässigkeit verwendet oder offenlegt, wenn das mutmaßliche berufliche Fehlverhalten oder die Fahrlässigkeit die Bereitstellung reproduktiver Gesundheitsversorgung betraf”.

Bescheinigung. HIPAA-regulierte Einrichtungen müssen eine Bescheinigung einholen, bevor sie Informationen zur reproduktiven Gesundheitsversorgung an Gesundheitsaufsichtsbehörden, Strafverfolgungsbehörden, Gerichtsmediziner oder in Gerichts- oder Verwaltungsverfahren (einschließlich als Reaktion auf Vorladungen und Gerichtsbeschlüsse) weitergeben oder verwenden dürfen. Die Bescheinigung muss unter anderem eine Erklärung enthalten, dass die Informationen nicht für verbotene Aktivitäten verwendet werden, und von der Person unterzeichnet sein, die die Informationen anfordert. Die OCR hat ein Muster für eine solche Bescheinigung bereitgestellt.

Aktualisierung der NPP. Bis zum 16. Februar 2026 müssen alle unter HIPAA fallenden Einrichtungen ihre NPP aktualisieren, um (i) anzugeben, dass die betreffende Einrichtung PHI nicht für verbotene Aktivitäten verwenden oder offenlegen wird, und ein Beispiel für die Art der Verwendung oder Offenlegung anzugeben, die verboten ist; und (ii) eine Beschreibung und ein Beispiel für die Arten von Aktivitäten anzugeben, die eine Bescheinigung erfordern.

Nächste Schritte für HIPAA-regulierte Unternehmen

Unternehmen, die den HIPAA-Vorschriften unterliegen, müssen Folgendes umsetzen:

Eine interne Überprüfung des Verfahrens der HIPAA-regulierten Einrichtung zur Überprüfung und Offenlegung von Informationen gemäß einer Anfrage nach medizinischen Unterlagen oder Informationen, um zu verstehen, welche Änderungen gegebenenfalls erforderlich sind. Dies muss einen Prozess umfassen, der sicherstellt, dass für alle Offenlegungen gegenüber Gesundheitsaufsichtsbehörden, Strafverfolgungsbehörden oder Gerichtsmedizinern oder in Gerichts- oder Verwaltungsverfahren, in denen Informationen zur reproduktiven Gesundheitsversorgung eine Rolle spielen, eine Bescheinigung eingeholt wird, auch wenn die betroffene Einrichtung nicht der Ansicht ist, dass die reproduktive Gesundheitsversorgung der Person im Mittelpunkt der Anfrage steht.
Eine Überprüfung und Aktualisierung der aktuellen NPP der betroffenen Einrichtung. Darüber hinaus sollten Geschäftspartner auch die NPPs ihrer vorgelagerten betroffenen Einrichtungen überprüfen, um die Einhaltung der Vorschriften sicherzustellen.
Richtlinien und Verfahren zur Umsetzung, Schulung und Überprüfung hinsichtlich der verbotenen Verwendungen und Offenlegungen, die durch die neuen Vorschriften durchgesetzt werden.

Die Datenschutzbestimmungen im Gesundheitswesen haben sich in der ersten Hälfte des Jahres 2024 rasant weiterentwickelt. Wenn Sie Fragen zur Umsetzung der oben genannten Anforderungen und anderen aktuellen Änderungen der Datenschutzgesetze im Gesundheitswesen haben, wenden Sie sich bitte an einen der Autoren oder einen der Partner oder Senior Counselder Cybersecurity and Data Privacy Groupoder der Health Care Practice Group von Foley.

Haftungsausschluss

Dieser Blog wird von Foley & Lardner LLP ("Foley" oder "die Kanzlei") ausschließlich zu Informationszwecken zur Verfügung gestellt. Er soll weder die Rechtsposition der Kanzlei im Namen eines Mandanten wiedergeben, noch soll er eine spezifische Rechtsberatung vermitteln. Die in diesem Artikel geäußerten Meinungen spiegeln nicht notwendigerweise die Ansichten von Foley & Lardner LLP, ihrer Partner oder ihrer Mandanten wider. Handeln Sie daher nicht aufgrund dieser Informationen, ohne sich von einem zugelassenen Anwalt beraten zu lassen. Dieser Blog ist nicht dazu gedacht, ein Anwalts-Mandanten-Verhältnis zu begründen, und der Erhalt dieses Blogs stellt kein solches dar. Die Kommunikation mit Foley über diese Website per E-Mail, Blogpost oder auf andere Weise begründet kein Anwalts-Mandanten-Verhältnis in einer rechtlichen Angelegenheit. Daher wird jegliche Kommunikation oder jegliches Material, das Sie über diesen Blog an Foley übermitteln, sei es per E-Mail, Blogpost oder auf andere Weise, nicht als vertraulich oder urheberrechtlich geschützt behandelt. Die Informationen in diesem Blog werden ohne Gewähr veröffentlicht und es wird nicht garantiert, dass sie vollständig, richtig oder aktuell sind. Foley gibt keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen in Bezug auf den Betrieb oder den Inhalt der Website. Foley lehnt ausdrücklich alle anderen ausdrücklichen oder stillschweigenden Garantien, Gewährleistungen, Bedingungen und Zusicherungen jeglicher Art ab, unabhängig davon, ob sie sich aus einem Gesetz, einer Rechtsvorschrift, der kommerziellen Nutzung oder anderweitig ergeben, einschließlich der stillschweigenden Gewährleistungen der Marktgängigkeit, der Eignung für einen bestimmten Zweck, des Eigentumsrechts und der Nichtverletzung von Rechten Dritter. In keinem Fall sind Foley oder seine Partner, leitenden Angestellten, Mitarbeiter, Vertreter oder verbundenen Unternehmen direkt oder indirekt unter irgendeiner Rechtstheorie (Vertrag, unerlaubte Handlung, Fahrlässigkeit oder anderweitig) Ihnen oder anderen gegenüber haftbar für Ansprüche, Verluste oder Schäden, direkte, indirekte, besondere, zufällige, strafende oder Folgeschäden, die sich aus der Erstellung, der Nutzung oder dem Vertrauen auf diese Website (einschließlich Informationen und anderer Inhalte) oder Websites Dritter oder den Informationen, Ressourcen oder Materialien, auf die über solche Websites zugegriffen wird, ergeben oder dadurch verursacht werden. In einigen Rechtsordnungen kann der Inhalt dieses Blogs als Anwaltswerbung angesehen werden. Falls zutreffend, beachten Sie bitte, dass frühere Ergebnisse keine Garantie für ein ähnliches Ergebnis sind. Die Fotos dienen nur zur Veranschaulichung und können Modelle enthalten. Die Abbildungen implizieren nicht notwendigerweise einen aktuellen Mandanten-, Partner- oder Mitarbeiterstatus.

[email protected]

Madison 608.250.7420

Ein Mann in dunklem Anzug und roter Krawatte steht lächelnd in einem hell erleuchteten, modernen Büroflur, der die Professionalität der Top-Anwälte in Chicago widerspiegelt.

[email protected]

Tampa 813.225.4129

HIPAA: Änderungen zum Schutz von Informationen zur reproduktiven Gesundheitsversorgung können nun mit der endgültigen Regelung der OCR umgesetzt werden

Nächste Schritte für HIPAA-regulierte Unternehmen

Autor(en)

Jennifer J. Hennessy

Aaron T. Maguregui

Verwandte Einblicke

How Following “Doctors’ Orders” Provided a Defense in a First Circuit FCA Case

Einsatz digitaler Gesundheitstechnologien in klinischen Studien: Unterstützung durch MAHA und definierte Erwartungen aus der endgültigen Leitlinie der FDA

Fusionen und Übernahmen in der GLP-1-Technologie: Praktische Empfehlungen und Best Practices