HIPAA & Gesundheitsinformationstechnologie

Viele Arbeitgeber, die sich einarbeiten ließen, dass HIPAA für geschützte Gesundheitsinformationen (PHI) von Mitarbeitern gilt, sind oft überrascht zu erfahren, dass die Anwendbarkeit von HIPAA auf Gesundheitsinformationen von Mitarbeitern (EHI) ist eigentlich ziemlich eng. HIPAA gilt nur für EHI im Zusammenhang mit den Gruppengesundheitsplänen des Arbeitgebers (z. B. Medical, Dental, Employee Assistance Program (EAP) und Health Flexible Spending Arrangement (FSA)). Vom Arbeitgeber gesponserte Gruppengesundheitspläne sind von HIPAA abgedeckte Unternehmen. Obwohl dies unabhängig davon gilt, ob der Gruppengesundheitsplan von einer Versicherungsgesellschaft versichert oder vom Arbeitgeber selbst versichert ist, hat der Arbeitgeber im Allgemeinen keine HIPAA-Compliance-Verantwortung für einen versicherten Gruppengesundheitsplan, wenn er keine andere EHI erhält als für den begrenzten Zweck der Einschreibung Aktivitäten oder zusammenfassende Gesundheitsinformationen zur Änderung oder Kündigung des Plans oder zur Einholung von Prämienangeboten. Stattdessen für eine voll versicherte Gruppe Gesundheitsplan, HIPAA-Compliance wird in der Regel von der Versicherungsgesellschaft, die auch unter HIPAA als abgedeckte Einheit behandelt werden.

HIPAA gilt nicht für EHI, die der Arbeitgeber aus einer anderen Quelle als seinen Gruppengesundheitsplänen bezieht, z. B. medizinische Informationen im Zusammenhang mit der Beschäftigung (einschließlich physischer Untersuchungen vor der Beschäftigung, Drogentestergebnisse, medizinischer Urlaub oder Arbeitnehmerentschädigung) und Informationen aus anderen beschäftigungsbezogenen Leistungen, die keine Gruppengesundheitspläne sind (z. B. Lebens- oder Invalidenversicherungen). Dieses Ergebnis ändert sich nicht nur, weil die Gesundheitsinformationen des Mitarbeiters PHI sind, wenn sie von einem HIPAA-abgedeckten Gesundheitsdienstleister gehalten werden, der den Mitarbeiter getestet oder behandelt hat, bevor die Informationen über eine HIPAA-konforme Autorisierung an den Arbeitgeber übertragen wurden.

Obwohl EHI, das von einem Arbeitgeber aus beschäftigungsbezogenen Gründen oder in Bezug auf Leistungen außerhalb des Gruppengesundheitsplans erhalten wird, nicht der HIPAA unterliegt, bedeutet dies nicht, dass der Arbeitgeber Vorsicht walten lassen kann. Andere Bundes- und Landesgesetze (wie der Family and Medical Leave Act (FMLA), der Americans with Disabilities Act (ADA) und die staatlichen Arbeitnehmerentschädigungsgesetze) schränken den Zugang des Arbeitgebers zu und die Nutzung und Offenlegung dieser EHI ein und verpflichten zur Wahrung der Vertraulichkeit der EHI. Diese Einschränkungen und Verpflichtungen gelten unabhängig davon, wie der Arbeitgeber die EHI erhält (z. B. auch dann, wenn er sie aufgrund einer vom Arbeitnehmer unterzeichneten Genehmigung oder direkt vom Arbeitnehmer erhält).

Da andere Gesetze EHI schützen, auch wenn HIPAA dies nicht tut, ist es für den Arbeitgeber oft hilfreich, die gleichen oder ähnliche Schutzmaßnahmen auf alle EHI anzuwenden, auch wenn HIPAA nicht gilt. Die Anwendung von HIPAA-ähnlichen Schutzmaßnahmen auf EHI, die nicht HIPAA unterliegen, wird dem Arbeitgeber nicht nur oft einen langen Weg zur Einhaltung anderer anwendbarer Bundes- und Landesgesetze bringen; Es kann auch die Notwendigkeit vermeiden, Arten von EHI zu kategorisieren, um zu bestimmen, welches Maß an Schutzmaßnahmen auferlegt werden sollte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Back to Top