Ist es ein HIPAA-Verstoß, nach dem COVID-19-Impfstatus einer Person zu fragen

Unternehmen, die Sie nach Ihrem COVID-19-Impfstatus fragen, bevor Sie die Einreise gestatten, verstoßen nicht gegen HIPAA.

Die zentralen Thesen

  • Jemanden nach seinem COVID-19-Impfstatus zu fragen, verstößt nicht gegen HIPAA.
  • Eine HIPAA-Verletzung liegt nur vor, wenn betroffene Einrichtungen, die ihre Datenschutzstandards und -regeln einhalten müssen, ohne Genehmigung den Impfstatus offenlegen.
  • Es bleibt Ihnen überlassen, ob Sie Ihren COVID-19-Impfstatus teilen möchten oder nicht.

Da vollständig geimpfte Personen in den meisten Umgebungen keine Gesichtsmasken mehr tragen oder sich physisch distanzieren müssen, fragen viele Unternehmen ihre Kunden nach ihrem COVID-19-Impfstatus, bevor sie ihnen die Einreise erlauben oder ihnen die Maskenfreiheit erlauben.1 Einige Leute behaupten jedoch, dass die Der Health Insurance Portability and Accountability Act von 1996 (HIPAA) verbietet Unternehmen dies, was völlig falsch ist.

Dieses Missverständnis ist gefährlich, da es möglicherweise Personen in die Irre führen kann, die nicht vollständig verstehen, was HIPAA tatsächlich beinhaltet. Um zu verstehen, warum die Frage nach dem Impfstatus von jemandem keine Verletzung der Privatsphäre darstellt, ist es wichtig zu wissen, welche Art von Informationen unter HIPAA geschützt sind, welche Unternehmen sich an die Regeln halten müssen und unter welchen Umständen dieser Schutz gilt.

Was ist HIPAA?

Das HIPAA ist ein Bundesgesetz, das darauf abzielt, Ihre Privatsphäre zu schützen, indem es einschränkt, wie sensible Informationen über Ihre Gesundheit verwendet oder weitergegeben werden können. Es gibt Ihnen auch das Recht, Ihre medizinischen Unterlagen einzusehen und eine Kopie davon zu erhalten.

Wenn Leute sich auf HIPAA beziehen, meinen sie normalerweise die Datenschutzrichtlinie, die von HHS gemäß der Genehmigung des Kongresses durch das Gesetz selbst erstellt wurde, James G. Hodge, Jr., JD, LLM, Direktor des Center for Public Health Law and Policy an der Arizona State University , sagt Health-huh.com. Zu diesem Zweck bietet die HIPAA-Datenschutzrichtlinie umfassende Datenschutznormen und Schutzmaßnahmen für identifizierbare Gesundheitsinformationen, die von abgedeckten Unternehmen gespeichert werden.

Entgegen der landläufigen Meinung bietet HIPAA nicht in jeder Situation Schutz für alle Arten von Informationen. Darüber hinaus sind nicht alle Einzelpersonen und Organisationen verpflichtet, sich daran zu halten.

Abgedeckte Einheiten

Nur bestimmte Personen und Organisationen mit Zugriff auf Ihre medizinischen Daten unterliegen der HIPAA-Datenschutzregel, wie zum Beispiel:2

  • Gesundheitsdienstleister wie Hausärzte, Fachärzte oder Psychologen
  • Krankenversicherungen, wie z.B. Krankenkassen oder Health Maintenance Organizations (HMOs)
  • Clearinghouses im Gesundheitswesen, zu denen öffentliche oder private Einrichtungen gehören, die nicht standardmäßige Gesundheitsinformationen verarbeiten
  • Geschäftspartner von versicherten Einrichtungen, die ihnen bei der Durchführung ihrer Aktivitäten und Funktionen im Gesundheitswesen helfen, wie z. B. medizinische Schreibkräfte oder Berater

Die Verantwortung für den Schutz geschützter Gesundheitsinformationen liegt allein bei diesen Einrichtungen, sagt Michael S. Sinha, MD, JD, MPH, außerordentlicher Fakultät an der Northeastern University School of Law und Gastwissenschaftler am NUSL Center for Health Policy and Law, gegenüber Health-huh.com. Wenn ein Unternehmen nicht von HIPAA abgedeckt ist, muss es seine Datenschutzstandards nicht einhalten.

Geschützte Gesundheitsinformationen (PHI)

Die erfassten Einrichtungen sammeln und verwenden routinemäßig Gesundheitsinformationen, um die Gesundheitsversorgung bereitzustellen. Solche Aufzeichnungen sind gemäß HIPAA geschützt, was Folgendes umfasst:3

  • Personenbezogene Daten wie Name, Adresse, Sozialversicherungsnummer, Krankenversicherungsnummer, Telefonnummern oder fotografische Bilder
  • Krankenakten, klinische Fallnotizen, Testergebnisse, Diagnosen oder Verschreibungen
  • Versicherungsinformation
  • Medizinische Management-Aufzeichnungssysteme, die von oder für einen Gesundheitsplan geführt werden
  • Abrechnungs- und Zahlungsaufzeichnungen

HIPAA schützt nur bestimmte Arten von Informationen in bestimmten Einrichtungen des Gesundheitswesens, nicht alle Informationen in allen Einrichtungen, sagt Sinha. Impfinformationen und Impfausweise können als PHI eingestuft werden, aber die Frage nach dem Status einer Person führt nicht automatisch zu einem HIPAA-Verstoß.

Ist es ein HIPAA-Verstoß, nach dem Impfstatus zu fragen?

Die Frage nach dem [Impf-] Status ist an sich kein HIPAA-Verstoß, da kein PHI bekannt gegeben wurde, sagt Jonathan Ishee, JD, MPH, MS, LLM, Assistenzprofessor für biomedizinische Informatik an der University of Texas, gegenüber Health-huh.com. Ein Verstoß würde nur auftreten, wenn ein betroffenes Unternehmen ohne Ihre Zustimmung PHI an eine nicht autorisierte Person weitergibt.

Jeder kann Ihren Arzt nach Ihrem Impfstatus fragen, aber es wäre nur ein Verstoß, wenn er ihn ohne Erlaubnis offenlegt. Wenn nicht abgedeckte Entitäten wie Familie oder Freunde Sie direkt nach Ihrem Status fragen, ist dies kein Verstoß. Sie dürfen diese Informationen auch selbst preisgeben.

Amerikaner denken oft, dass die HIPAA-Datenschutzregel die Privatsphäre ihrer Gesundheitsdaten in vielen Situationen schützt, in denen sie nicht gilt, sagt Hodge. Wenn Sie Ihrem Nachbarn Ihren COVID-19-Impfstatus mitteilen, gilt die Regel nicht. Wenn Sie Ihrem Arbeitgeber davon erzählen, gilt die Regel wiederum nicht direkt.

HIPAA ist nichts, was eine Person versuchen kann, sich als Schutzschild zu berufen, wenn Arbeitgeber oder Schulen nach dem Impfstatus fragen. Es ist ein praktisches und oft falsch geschriebenes Schlagwort, aber es hat in diesem Zusammenhang keine Bedeutung.

Ein weiterer zu erinnernder Punkt ist, dass das HIPAA Unternehmen, Firmen, Schulen oder Fluglinien nicht daran hindert zu fragen, ob Sie geimpft wurden oder nicht. Wenn sie nach Ihrem Impfstatus fragen, bevor Sie eine Einrichtung betreten, am Unterricht teilnehmen oder persönlich zur Arbeit kommen oder sogar einen Flug buchen, ist dies kein Verstoß. Es bleibt Ihnen überlassen, ob Sie diese Informationen teilen möchten.

Arbeitgeber haben das Recht, Arbeitnehmer nach dem Impfstatus zu fragen oder einen Impfnachweis als Bedingung für die Weiterbeschäftigung zu verlangen, sagt Sinha. Ebenso können Hochschulen und Universitäten einen Impfnachweis für Dozenten, Mitarbeiter und Studenten verlangen. Das bedeutet, dass eine Person ihren Job verlieren oder ihre Hochschulzulassung verlieren kann, wenn sie sich weigert, ihren Impfstatus offenzulegen. HIPAA spielt bei diesem Informationsaustausch keine Rolle.

Was das für Sie bedeutet

Wenn Sie jemand nach Ihrem COVID-19-Impfstatus fragt, ist dies kein HIPAA-Verstoß. HIPAA schützt nur die Verwendung oder Offenlegung bestimmter Gesundheitsinformationen durch betroffene Unternehmen. Unternehmen, Schulen, Fluggesellschaften oder andere Institutionen haben das Recht, Sie zu fragen, ob Sie geimpft wurden oder nicht, und es bleibt Ihnen überlassen, ob Sie dies offenlegen.

Unter welchen Umständen kommt es zu einem HIPAA-Verstoß?

Eine HIPAA-Verletzung liegt nur vor, wenn eine erfasste Einrichtung ohne deren Genehmigung den Impfstatus einer Person an eine nicht erfasste Einrichtung weitergibt. Zum Beispiel darf ein Gesundheitsdienstleister seinem Arbeitgeber ohne dessen Zustimmung den Impfstatus einer Person nicht mitteilen.

Wenn ein Arzt den Medien den COVID-Impfstatus seiner prominenten Patienten mitteilt, ohne die schriftliche Genehmigung des Patienten, ist wahrscheinlich ein Verstoß aufgetreten, sagt Hodge. Wenn eine Medien-Website die gleichen Informationen über eine Berühmtheit bereitstellt, liegt kein Verstoß gegen die HIPAA-Datenschutzbestimmungen vor, da die Medien-Website kein von der Regel erfasstes Unternehmen ist. Die Website hat möglicherweise andere Datenschutznormen verletzt, seien es gesetzliche, behördliche oder gerichtlich angeordnete, jedoch nicht die Datenschutzbestimmungen

In einigen Situationen, die dem öffentlichen Wohl zugute kommen, wie z. B. Gerichtsverfahren, Verwaltungsverfahren, wichtige Regierungsfunktionen oder Aktivitäten im Bereich der öffentlichen Gesundheit, können erfasste Einrichtungen PHI ohne Genehmigung verwenden oder an eine nicht erfasste Einrichtung weitergeben.4 Wenn sie den Impfstatus einer Person mit einem außerhalb dieser zulässigen Offenlegungen, die wahrscheinlich einen HIPAA-Verstoß darstellen.

Während die HIPAA-Datenschutzregel einen soliden Datenschutz in Gesundheitseinrichtungen bietet, bietet sie außerhalb dieser spezifischen Einstellungen keinen ausfallsicheren Datenschutz, sagt Hodge.

Während dieser COVID-19-Pandemie ist es verständlich, dass Sie Ihre Privatsphäre und Ihre Gesundheitsdaten schützen müssen. Beachten Sie jedoch, dass die HIPAA niemanden daran hindert, nach Ihrem Impfstatus zu fragen, da dies nicht die medizinische Privatsphäre oder individuelle Rechte verletzt. Sie können die Offenlegung Ihres Impfstatus weiterhin verweigern.

HIPAA ist nichts, was eine Person versuchen kann, sich als Schutzschild zu berufen, wenn Arbeitgeber oder Schulen nach dem Impfstatus fragen, sagt Sinha. Es ist ein praktisches und oft falsch geschriebenes Schlagwort, aber es hat in diesem Zusammenhang keine Bedeutung.

Die Informationen in diesem Artikel sind zum angegebenen Datum aktuell, was bedeutet, dass neuere Informationen verfügbar sein können, wenn Sie dies lesen. Für die neuesten Updates zu COVID-19 besuchen Sie unsere Coronavirus-Nachrichtenseite.