Das Amt für Bürgerrechte (OCR) des Ministeriums für Gesundheit und menschliche Dienste (HHS) ist für die Durchsetzung bestimmter Vorschriften verantwortlich, die im Rahmen des Health Insurance Portability and Accountability Act von 1996 (HIPAA) in der durch das Health Information Technology for Economic and Clinical Health (HITECH) Mitteilung Regeln (die HIPAA-Regeln).
Telemedizindienste während des Coronavirus
Während des nationalen COVID-19-Notfalls, der auch einen landesweiten Notfall im Bereich der öffentlichen Gesundheit darstellt, können abgedeckte Gesundheitsdienstleister, die den HIPAA-Regeln unterliegen, versuchen, über Fernkommunikationstechnologien mit Patienten zu kommunizieren und Telemedizindienste bereitzustellen. Einige dieser Technologien und die Art und Weise, wie sie von HIPAA-abgedeckten Gesundheitsdienstleistern verwendet werden, entsprechen möglicherweise nicht vollständig den Anforderungen der HIPAA-Regeln.
OCR übt sein Ermessensspielraum bei der Durchsetzung aus und verhängt keine Strafen für die Nichteinhaltung der regulatorischen Anforderungen gemäß den HIPAA-Regeln gegen abgedeckte Gesundheitsdienstleister im Zusammenhang mit der Bereitstellung von Telemedizin in gutem Glauben während des landesweiten COVID-19-Notfalls im Bereich der öffentlichen Gesundheit. Diese Benachrichtigung ist sofort wirksam.
Ein abgedeckter Gesundheitsdienstleister, der Audio- oder Videokommunikationstechnologie verwenden möchte, um Patienten während des landesweiten COVID-19-Notfalls im Bereich der öffentlichen Gesundheit Telemedizin zu bieten, kann jedes nicht öffentlich zugängliche Fernkommunikationsprodukt verwenden, das für die Kommunikation mit Patienten verfügbar ist. OCR übt sein Ermessensspielraum bei der Durchsetzung aus, um keine Strafen für die Nichteinhaltung der HIPAA-Regeln im Zusammenhang mit der Bereitstellung von Telemedizin in gutem Glauben unter Verwendung solcher nicht öffentlich zugänglichen Audio- oder Videokommunikationsprodukte während des landesweiten COVID-19-Notfalls im Bereich der öffentlichen Gesundheit zu verhängen. Diese Ermessensausübung gilt für Telemedizin, die aus irgendeinem Grund erbracht wird, unabhängig davon, ob der Telemedizindienst mit der Diagnose und Behandlung von Gesundheitszuständen im Zusammenhang mit COVID-19 zusammenhängt.
Beispielsweise kann ein abgedeckter Gesundheitsdienstleister in Ausübung seines beruflichen Urteils beantragen, einen Patienten mit COVID-19-Symptomen zu untersuchen, indem er eine Video-Chat-Anwendung verwendet, die das Telefon oder den Desktop-Computer des Anbieters oder Patienten verbindet, um eine größere Anzahl von Patienten zu bewerten und gleichzeitig das Infektionsrisiko anderer Personen zu begrenzen, die durch eine persönliche Konsultation exponiert wären. Ebenso kann ein abgedeckter Gesundheitsdienstleister in Ausübung seines beruflichen Urteils ähnliche telemedizinische Dienste anbieten, um andere Erkrankungen zu beurteilen oder zu behandeln, auch wenn sie nicht mit COVID-19 zusammenhängen, z. B. verstauchter Knöchel, zahnärztliche Beratung oder psychologische Untersuchung oder andere Erkrankungen.
Im Rahmen dieser Mitteilung können abgedeckte Gesundheitsdienstleister gängige Anwendungen verwenden, die Videochats ermöglichen, einschließlich Apple FaceTime, Facebook Messenger Video Chat, Google Hangouts Video, Zoom oder Skype, um Telemedizin bereitzustellen, ohne das Risiko einzugehen, dass OCR eine Strafe für die Nichteinhaltung der HIPAA-Regeln in Bezug auf die Bereitstellung von Telemedizin in gutem Glauben während des landesweiten COVID-19-Notfalls im Bereich der öffentlichen Gesundheit verhängen möchte. Anbieter werden aufgefordert, Patienten darüber zu informieren, dass diese Anwendungen von Drittanbietern möglicherweise Datenschutzrisiken bergen, und Anbieter sollten bei der Verwendung solcher Anwendungen alle verfügbaren Verschlüsselungs- und Datenschutzmodi aktivieren.
Im Rahmen dieser Mitteilung sind Facebook Live, Twitch, TikTok und ähnliche Videokommunikationsanwendungen jedoch öffentlich zugänglich und sollten nicht für die Bereitstellung von Telemedizin durch abgedeckte Gesundheitsdienstleister verwendet werden.
Abgedeckte Gesundheitsdienstleister, die bei der Verwendung von Videokommunikationsprodukten zusätzlichen Datenschutz für Telemedizin anstreben, sollten solche Dienste über Technologieanbieter bereitstellen, die HIPAA-konform sind und im Zusammenhang mit der Bereitstellung ihrer Videokommunikationsprodukte HIPAA Business Associate Agreements (BaaS) abschließen. Die folgende Liste enthält einige Anbieter, die angeben, dass sie HIPAA-konforme Videokommunikationsprodukte anbieten und eine HIPAA-BAA abschließen werden.
- Skype für Unternehmen / Microsoft Teams
- Updox
- VSee
- Zoom für das Gesundheitswesen
- Doxy.me
- Google G Suite Hangouts Meet
- Cisco Webex Meetings / Webex Teams
- Amazon Chime
- GoToMeeting
- Google Health Care Messenger
Hinweis: OCR hat die von diesen Anbietern angebotenen BaaS nicht überprüft, und diese Liste billigung, Zertifizierung oder Empfehlung bestimmter Technologien, Software, Anwendungen oder Produkte. Es kann andere Technologieanbieter geben, die HIPAA-konforme Videokommunikationsprodukte anbieten, die mit einer abgedeckten Einheit eine HIPAA-BAA eingehen. Darüber hinaus unterstützt OCR keine der oben aufgeführten Anwendungen, die Video-Chats ermöglichen.
Im Rahmen dieser Bekanntmachung wird OCR jedoch keine Strafen gegen abgedeckte Gesundheitsdienstleister verhängen, wenn keine BAA mit Videokommunikationsanbietern besteht oder die HIPAA-Regeln nicht eingehalten werden, die sich auf die Bereitstellung von Telemedizindiensten in gutem Glauben während des landesweiten COVID-19-Notfalls im Bereich der öffentlichen Gesundheit beziehen.
OCR hat ein Bulletin veröffentlicht, in dem betroffene Unternehmen über weitere ihnen zur Verfügung stehende Flexibilitäten sowie über Verpflichtungen informiert werden, die nach HIPAA weiterhin bestehen, wenn sie auf Krisen oder Notfälle reagieren https://www.hhs.gov/sites/default/files/february-2020-hipaa-and-novel-coronavirus.pdf.
Leitlinien zu BaaS, einschließlich Beispiel-BAA-Bestimmungen, sind unter https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html verfügbar.
Weitere Informationen zu HIPAA-Sicherheitsregeln finden Sie unter https://www.hhs.gov/hipaa/for-professionals/security/guidance/index.html.
HealthIT.gov hat technische Unterstützung bei Telemedizin bei https://www.healthit.gov/telehealth.