Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie einen qualifizierten Anwalt für Gesundheitskonformität für spezifische Anleitungen für Ihre Organisation.
Jede Gesundheitseinrichtung, die Patientendaten über Online-Formulare sammelt, muss die technischen und administrativen Anforderungen von HIPAA erfüllen. Dieser Leitfaden erklärt, was diese Anforderungen tatsächlich bedeuten, wer gesetzlich verpflichtet ist, sie zu erfüllen, was Verstöße kosten und worauf man achten sollte, wenn man ein beliebiges Online-Formular-Tool bewertet. Dies schließt häufige Missverständnisse ein, die zu versehentlicher Nichtkonformität führen.
Inhaltsverzeichnis
Was ist HIPAA-Konformität?
Der Health Insurance Portability and Accountability Act (HIPAA), der 1996 unterzeichnet wurde, legt den föderalen Standard zum Schutz sensibler Gesundheitsinformationen von Patienten fest. Für Organisationen, die Patientendaten digital sammeln, sind zwei Regeln direkt relevant:
Privacy Rule. regelt, wie geschützte Gesundheitsinformationen (PHI) verwendet, offengelegt und geteilt werden können. PHI umfasst alle individuell identifizierbaren Gesundheitsinformationen: Namen, Geburtsdaten, Adressen, medizinische Aufzeichnungsnummern, Diagnosecodes, Versicherungs-IDs und 14 andere Identifikatoren, die in 45 CFR §164.514(b) definiert sind.
Security Rule. legt spezifische technische, physische und administrative Schutzmaßnahmen für elektronische PHI (ePHI) fest. Diese Regel hat die direktesten Auswirkungen auf Online-Formulare. Sie spezifiziert Verschlüsselungsstandards, Anforderungen an Zugangskontrollen, Audit-Fähigkeiten und Sitzungsmanagement.
Beide Regeln gelten gleichzeitig. Die Privacy Rule bestimmt, was Sie mit Daten tun dürfen. Die Security Rule bestimmt, wie Sie sie schützen müssen, während Sie es tun.
Die Regeln werden vom HHS Office for Civil Rights (OCR) durchgesetzt. OCR führt sowohl beschwerdegetriebene Untersuchungen als auch zufällige Audits durch und hat sich seit 2020 zunehmend auf digitale Tools konzentriert.
Wer muss HIPAA-konform sein?
HIPAA gilt für zwei Kategorien von Organisationen. Viele Gesundheitsunternehmen fallen in beide.
Covered Entities
Jede Organisation, die Gesundheitsinformationen elektronisch im Rahmen standardisierter Gesundheitsgeschäfte überträgt:
- Gesundheitsdienstleister: Ärzte, Krankenhäuser, Kliniken, Zahnärzte, Therapeuten, Chiropraktiker, Apotheken
- Gesundheitspläne: Versicherungsgesellschaften, HMOs, arbeitgeberfinanzierte Gesundheitspläne, Medicare und Medicaid
- Gesundheitsabrechnungsstellen: Organisationen, die nicht standardisierte Gesundheitsinformationen in standardisierte Formate umwandeln
Beachten Sie, dass “Gesundheitsdienstleister” weit gefasst ist. Ein einzelner Therapeut in privater Praxis, ein Telemedizin-Startup und ein Netzwerk aus mehreren Krankenhäusern sind alle Covered Entities, wenn sie Gesundheitsinformationen elektronisch übertragen.
Business Associates
Jeder Drittanbieter oder Auftragnehmer, der PHI im Auftrag eines Covered Entitys verarbeitet, ist ein Business Associate. Dazu gehören:
- Online-Formularersteller und Plattformen für Patientenaufnahme
- Cloud-Speicheranbieter, bei denen Formulardaten gespeichert werden
- E-Mail- und Faxdienste, die zur Übermittlung von Patienteninformationen verwendet werden
- Abrechnungs- und Kodierungsdienste
- IT-Support-Unternehmen mit Zugriff auf Systeme, die PHI speichern
- Rechts-, Buchhaltungs- oder Beratungsfirmen, die Patientenakten überprüfen
Ein Business Associate Agreement (BAA) ist gesetzlich erforderlich, bevor PHI durch ein Drittanbieter-Tool fließt. Ohne ein unterzeichnetes BAA ist die Verwendung dieses Tools selbst ein HIPAA-Verstoß. unabhängig davon, ob ein Verstoß auftritt.
Praktische Auswirkung: Wenn Sie ein Online-Formular verwenden, um Patientenaufnahmeinformationen, Terminanforderungen oder Versicherungsdetails zu sammeln, muss der Formularersteller HIPAA-konform sein und ein BAA mit Ihrer Organisation unterzeichnen. Die Verwendung eines allgemeinen Formular-Tools ohne BAA setzt Ihre Praxis Haftungsrisiken aus.
Was sind die Strafen für HIPAA-Verstöße?
HIPAA-Verstöße werden von OCR durchgesetzt und tragen Strafen, die auf die Schwere und das Wissensniveau des Verstoßes abgestimmt sind:
| Verstoßkategorie | Strafe pro Verstoß | Jährliche Obergrenze |
|---|---|---|
| Wusste nicht | $100 – $50,000 | $25,000 |
| Angemessene Ursache | $1,000 – $50,000 | $100,000 |
| Vorsätzliche Vernachlässigung (innerhalb von 30 Tagen behoben) | $10,000 – $50,000 | $250,000 |
| Vorsätzliche Vernachlässigung (nicht behoben) | $50,000 | $1,900,000 |
Die Strafbeträge werden jährlich an die Inflation angepasst. Die oben genannten Zahlen spiegeln die ursprünglichen gesetzlichen Beträge wider. Die angepassten Mindestbeträge für 2024 beginnen bei $141 pro Verstoß, wobei die höchste Stufe jährlich $2,134,831 erreicht.
Kriminelle Verstöße. bei denen Einzelpersonen wissentlich PHI offenlegen. tragen Gefängnisstrafen von 1 bis 10 Jahren, abhängig von der Absicht.
Staatsanwälte können auch unabhängige HIPAA-Durchsetzungsmaßnahmen ergreifen, die manchmal zu zusätzlichen Strafen zusätzlich zu den Bundesstrafen führen.
Jüngste Durchsetzungsbeispiele:
- Im Jahr 2025 einigte sich OCR mit Deer Oaks Behavioral Health auf $225,000, nachdem Entlassungsberichte von Patienten aufgrund eines Codierungsfehlers in einem eingestellten Patientenportal über 18 Monate lang öffentlich zugänglich blieben. Die Untersuchung von OCR ergab, dass das Kernversagen eine unzureichende Risikoanalyse war. eine grundlegende Anforderung der Sicherheitsregel.
- Im Jahr 2022 einigte sich OCR mit New England Dermatology auf $300,640, nachdem Patienteninformationen auf Etiketten von Probenbehältern in einem ungesicherten Müllcontainer entsorgt wurden. eine Erinnerung daran, dass HIPAA auch die physische Handhabung von PHI abdeckt.
Unwissenheit ist keine rechtliche Verteidigung. Die Position von OCR ist, dass jede Covered Entity und jeder Business Associate verpflichtet ist, die Regeln zu verstehen und die Einhaltung proaktiv zu überprüfen.
Was HIPAA von Online-Formularen verlangt
Die Sicherheitsregel (45 CFR Teil 164) spezifiziert sechs Kategorien technischer Schutzmaßnahmen, die jedes System, das ePHI verarbeitet, erfüllen muss. Hier ist, was jede im Kontext von Online-Formularen bedeutet:
1. Verschlüsselung im Ruhezustand und während der Übertragung
ePHI muss verschlüsselt werden, wenn sie auf Servern gespeichert und zwischen dem Browser eines Patienten und Ihrem Server übertragen wird. NIST empfiehlt AES-128 oder AES-256 für Daten im Ruhezustand und TLS 1.2 oder höher für Daten während der Übertragung. HTTPS allein ist nicht ausreichend. HTTPS adressiert nur die Verschlüsselung während der Übertragung. die Daten müssen auch auf der Festplatte verschlüsselt sein.
2. Zugangskontrollen
Nur autorisierte Personen sollten in der Lage sein, Patienteneinreichungen zu sehen. Dies erfordert rollenbasierte Berechtigungen. ein Aufnahme-Koordinator sollte Einreichungen sehen können, aber nicht unbedingt Rohdatenexporte herunterladen; ein Abrechnungsadministrator benötigt möglicherweise einen anderen Zugriff als ein Kliniker. Generische gemeinsame Logins für Ihr gesamtes Personal erfüllen diese Anforderung nicht.
3. Audit-Kontrollen
Systeme müssen Protokolle führen, die aufzeichnen, wer wann auf PHI zugegriffen hat und welche Aktionen sie durchgeführt haben. Diese Protokolle müssen aufbewahrt und während eines HIPAA-Audits zur Überprüfung verfügbar sein. Audit-Protokolle sind eines der ersten Dinge, die OCR während einer Untersuchung anfordert.
4. Automatische Sitzungszeitüberschreitung
Um unbefugten Zugriff auf unbeaufsichtigte Arbeitsstationen zu verhindern, müssen Sitzungen nach einer definierten Inaktivitätsperiode automatisch beendet werden. OCR gibt keine genaue Zeitüberschreitungsperiode an, aber die Standardpraxis in Gesundheitsumgebungen beträgt 15 Minuten für die automatische Sperre und 30 Minuten für die vollständige Sitzungsbeendigung.
5. Business Associate Agreement
Bevor ePHI durch ein Drittanbieter-Tool fließt, muss ein unterzeichnetes BAA vorhanden sein. Das BAA stellt fest, dass der Anbieter die rechtliche Verantwortung für die HIPAA-Konformität auf seiner Seite übernimmt. Ohne es sind Sie persönlich haftbar für jede PHI, die durch das System dieses Anbieters fließt.
6. Integritätskontrollen
Systeme müssen Mechanismen haben, um zu erkennen, ob ePHI unsachgemäß verändert oder zerstört wurde. zum Beispiel Prüfsummen oder digitale Signaturen auf eingereichten Dokumenten. Dies ist besonders relevant für Einwilligungsformulare und Behandlungsautorisierungen.
Häufige Missverständnisse
Diese Missverständnisse führen häufig zu versehentlicher Nichtkonformität:
“Wir verwenden HTTPS, also sind wir abgesichert.”
HTTPS verschlüsselt Daten nur während der Übertragung. Die Sicherheitsregel erfordert auch die Verschlüsselung im Ruhezustand. Ein Formular, das Daten über HTTPS sendet, sie aber unverschlüsselt auf einem Server speichert, ist nicht konform. Darüber hinaus sagt HTTPS nichts über Zugangskontrollen, Audit-Protokolle oder Sitzungsmanagement aus.
“Wir verwenden Google Forms / Typeform / JotForm.”
Google Workspace bietet ein BAA für kostenpflichtige Pläne, aber Standard-Google-Forms qualifiziert sich nicht für die HIPAA-Nutzung. Typeform erfordert einen Enterprise- oder Growth-Custom-Plan, um auf ein BAA zuzugreifen. Standardpläne enthalten keines. JotForm erfordert einen Gold- oder Enterprise-Plan für HIPAA-Funktionen und ein unterzeichnetes BAA. Free-, Bronze- und Silver-Pläne sind ausgeschlossen. Wenn Sie einen Standardplan für eines dieser Tools haben, stellt die Verwendung zur Sammlung von PHI einen HIPAA-Verstoß dar, unabhängig davon, wie die Daten danach behandelt werden. Überprüfen Sie immer die BAA-Berechtigung Ihres aktuellen Plans direkt beim Anbieter, bevor Sie PHI sammeln.
“Unsere Praxis ist zu klein, um eine Rolle zu spielen.”
HIPAA gilt für alle Covered Entities, unabhängig von der Größe. OCR hat Strafen gegen Einzelpraktiker und kleine Kliniken verhängt. Die “wusste nicht”-Strafstufe trägt immer noch Geldstrafen von bis zu $50,000 pro Verstoß.
“Wir sammeln nur Terminanforderungen, keine medizinischen Aufzeichnungen.”
Terminanforderungen, die den Namen eines Patienten, Kontaktinformationen und den Grund für den Besuch enthalten (der typischerweise Gesundheitsinformationen enthält), stellen PHI dar. Aufnahmeformulare, Versicherungsverifizierungsformulare und Einwilligungsformulare fallen alle unter die HIPAA-Zuständigkeit.
“Unser IT-Team kümmert sich um HIPAA. wir müssen uns keine Sorgen um Formulare machen.”
HIPAA-Konformität gilt für jedes System, das PHI berührt, nicht nur für Ihr EHR. Jedes Tool muss individuell bewertet und, wenn es sich um einen Drittanbieterdienst handelt, durch ein BAA abgedeckt werden.
Wie man ein beliebiges Formular-Tool bewertet
Bevor Sie ein Online-Formular-Tool zur Sammlung von Patientendaten verwenden, überprüfen Sie Folgendes. Diese gelten für jeden Anbieter, nicht nur für PlatoForms:
1. Unterzeichnet der Anbieter ein BAA?
Fragen Sie direkt danach. Wenn ein Anbieter sich weigert, ein BAA zu unterzeichnen oder sagt, es sei nicht notwendig, verwenden Sie ihr Tool nicht für PHI. Eine BAA-Vorlagenüberprüfung durch Ihren Rechtsbeistand vor der Unterzeichnung ist ratsam.
2. Wo werden Daten gespeichert und sind sie im Ruhezustand verschlüsselt?
Bitten Sie den Anbieter, seinen Verschlüsselungsstandard für gespeicherte Daten zu bestätigen (AES-256 ist die aktuelle Best Practice) und den geografischen Standort seiner Server. Datenresidenz kann für staatliche Konformitätsanforderungen von Bedeutung sein.
3. Hat die Plattform rollenbasierte Zugangskontrollen?
Können Sie verschiedenen Teammitgliedern unterschiedliche Berechtigungen zuweisen? Können Sie einschränken, wer Einreichungen sehen, herunterladen oder löschen kann?
4. Sind Audit-Protokolle verfügbar?
Können Sie ein Protokoll aller Zugriffs- und Authentifizierungsereignisse für Ihr Konto exportieren? Werden Protokolle lange genug aufbewahrt, um ein HIPAA-Audit zu unterstützen (mindestens 6 Jahre)?
5. Erzwingt die Plattform Sitzungszeitüberschreitungen?
Werden Sitzungen nach Inaktivität automatisch beendet? Ist dies konfigurierbar oder vom Anbieter festgelegt?
6. Hat der Anbieter unabhängige Sicherheitszertifizierungen?
SOC 2 Typ II ist das häufigste Drittanbieter-Sicherheitsaudit für SaaS-Unternehmen. Seine Anwesenheit garantiert keine HIPAA-Konformität, zeigt aber an, dass der Anbieter Sicherheit ernst nimmt und sich unabhängigen Überprüfungen unterzieht. Hinweis: Die eigene SOC 2-Zertifizierung von PlatoForms ist derzeit geplant. jedoch ist die zugrunde liegende AWS-Infrastruktur, die PlatoForms-Daten hostet, SOC 2 Typ II zertifiziert.
7. Wie lange werden Formulardaten aufbewahrt?
HIPAA erfordert eine Mindestaufbewahrungsfrist von 6 Jahren für abgedeckte Aufzeichnungen. Überprüfen Sie die Standarddatenaufbewahrungsrichtlinie des Anbieters und ob Sie sie konfigurieren können.
Wie PlatoForms alle Anforderungen erfüllt
PlatoForms bietet HIPAA-Konformität als integriertes Kontofeature in den Silver- und Gold-Plänen. Wenn aktiviert, werden alle technischen Schutzmaßnahmen automatisch aktiviert.
AES-256-Verschlüsselung und TLS 1.2+
Alle Formulardaten werden im Ruhezustand mit AES-256 und während der Übertragung mit TLS 1.2+ verschlüsselt. Dies gilt für jede Einreichung, jedes PDF und jeden Anhang ab dem Moment, in dem ein Patient beginnt, das Formular auszufüllen.
Sicherer Domain
Nach Aktivierung von HIPAA werden alle veröffentlichten Formulare von form.platoforms.com zu secure.platoforms.com verschoben. Wenn Sie ein Einbettungsskript oder eine Freigabe-URL verwendet haben, aktualisieren Sie diese innerhalb von 7 Tagen. alte URLs und Einbettungsskripte funktionieren danach nicht mehr. Wenn Sie eine benutzerdefinierte Domain verwenden, bleibt die Freigabe-URL gleich, aber Einbettungsskripte müssen trotzdem aktualisiert werden.
Automatische Sperre und Abmeldung
- 15-Minuten-Autosperre. die Seite sperrt sich nach Inaktivität. Passwort erforderlich zum Entsperren
- 30-Minuten-Auto-Abmeldung. Sitzung endet vollständig nach 30 Minuten Inaktivität oder beim Schließen des Browsers
Team-Audit-Protokoll
Team-Admins haben Zugriff auf ein vollständiges Audit-Protokoll, das jedes Freigabe-, Authentifizierungs- und Zugriffsereignis im Team aufzeichnet. Eine regelmäßige Überprüfung dieser Protokolle wird empfohlen, um ungewöhnliches Verhalten zu erkennen und die Konformitätsdokumentation zu unterstützen. Siehe wie man das Audit-Protokoll verwendet.
Rollenbasierte Zugangskontrollen
Granulare Berechtigungen ermöglichen es Ihnen, genau zu steuern, welche Teammitglieder Formulareinreichungen anzeigen, bearbeiten oder herunterladen können.
Zwei-Faktor-Authentifizierung
2FA kann pro Konto aktiviert oder für alle Teammitglieder obligatorisch gemacht werden.
Unterzeichnetes Business Associate Agreement
Wenn HIPAA-Konformität aktiviert ist, sendet PlatoForms ein unterzeichnetes BAA an die E-Mail des Team-Admins. Eine herunterladbare BAA-Vorlage ist auch im Trust Center verfügbar.
E-Signaturen mit manipulationssicheren Zertifikaten
Jedes Signaturzertifikat erfasst den Zeitstempel des Unterzeichners, die IP-Adresse und eine SHA-256-Prüfsumme des eingereichten PDFs. dies schafft einen überprüfbaren Integritätsnachweis für Einwilligungsformulare, Behandlungsautorisierungen und Patientenvereinbarungen.
Konfigurierbare Datenaufbewahrung
Für HIPAA-konforme Konten ist die Datenaufbewahrung standardmäßig auf “Für immer” eingestellt, um sicherzustellen, dass Einreichungsdaten zur Erfüllung der HIPAA-Standards aufbewahrt werden. Siehe die Datenaufbewahrungsrichtlinie für vollständige Details.
Erste Schritte
HIPAA-Konformität ist in den Silver- und Gold-Plänen ohne zusätzliche Kosten verfügbar.
- Abonnieren Sie einen Silver- oder Gold-Plan und aktualisieren Sie von Ihrem Kontodashboard
- Gehen Sie zu Ihrer Team-Seite im Dashboard
- Klicken Sie auf Aktivieren Sie die HIPAA-Konformität für Ihr Team und folgen Sie den Anweisungen
4. PlatoForms aktualisiert alle Teamkonten und sendet das unterzeichnete BAA an die E-Mail des Team-Admins
Für eine vollständige technische Anleitung siehe die HIPAA-Konformitätsdokumentation. Für Sicherheitsarchitektur, Zertifizierungen und herunterladbare Konformitätsdokumente besuchen Sie das Trust Center.
Für die HHS-Sicherheitsregel-Leitlinien siehe die offizielle HHS-Ressourcenseite.
Bereit, Patientendaten sicher zu sammeln? Starten Sie eine kostenlose Testversion und aktivieren Sie die HIPAA-Konformität ab dem ersten Tag.
