Was ist HIPAA?

ByDr. J. K. Hartmann

HIPAA bezieht sich auf den Health Insurance Portability and Accountability Act, der 1996 von Präsident Bill Clinton in Kraft gesetzt wurde.

Gemäß der Gesetzgebung selbst bestand das erklärte Ziel von HIPAA darin, „die Portabilität und Kontinuität des Krankenversicherungsschutzes in der Gruppe und auf einzelnen Märkten zu verbessern, Verschwendung, Betrug und Missbrauch in der Krankenversicherung und Gesundheitsversorgung zu bekämpfen und die Nutzung von zu fördern.“ medizinische Sparkonten, zur Verbesserung des Zugangs zu Langzeitpflegediensten und zum Versicherungsschutz, zur Vereinfachung der Verwaltung der Krankenversicherung und für andere Zwecke.“1

Obwohl es sich bei HIPAA um ein weitreichendes Gesetz handelt, das sich auf viele Aspekte der Krankenversicherung der Amerikaner auswirkt, wird es oft missverstanden, als ob es nur um den Datenschutz geht. Das ist ein wichtiger Aspekt des HIPAA, aber das Gesetz beinhaltet noch viel mehr (der Datenschutz fällt unter den Sammelbegriff „andere Zwecke“ im Ziel).

In diesem Artikel wird erklärt, was HIPAA tut, wen es schützt und wie sich dieser Schutz im Laufe der Zeit entwickelt hat.

HIPAA-Regeln und -Vorschriften

HIPAA ist in fünf Hauptabschnitte oder Titel unterteilt. Hier eine Übersicht:1

  • Titel I heißt „ Zugang zur Gesundheitsversorgung, Portabilität und Erneuerbarkeit“ . Dabei geht es vor allem um den Schutz des Zugangs zur Krankenversicherung (hauptsächlich bei arbeitgeberfinanzierten Krankenversicherungen), unabhängig von Vorerkrankungen oder Krankengeschichte.
  • Titel II trägt den Titel „Verhütung von Betrug und Missbrauch im Gesundheitswesen“. Verwaltungsvereinfachung; Reform der Arzthaftpflicht . In diesem Abschnitt geht es um den Schutz privater personenbezogener Gesundheitsdaten. Es enthält auch Bestimmungen zur Verwaltungsvereinfachung, die darauf abzielen, die Kommunikation zwischen Krankenkassen und medizinischen Anbietern zu verbessern und zu rationalisieren.2
  • Titel III trägt den Titel „Steuerbezogene Gesundheitsvorschriften“ . Durch diesen Abschnitt wurde der Prozentsatz der Krankenversicherungsprämien erhöht, die für Selbstständige steuerlich absetzbar sind. Außerdem wurden medizinische Sparkonten eingerichtet (die später durch Gesundheitssparkonten ersetzt wurden ) und ein steuerbegünstigter Ansatz für Langzeitpflegeleistungen und Pflegeversicherungsprämien eingeführt.
  • Titel IV heißt „Anwendung und Durchsetzung der Anforderungen des Gruppengesundheitsplans“ . Dieser Abschnitt bezieht sich auf den Zugang, die Übertragbarkeit und die Erneuerbarkeit von Gruppenkrankenversicherungen (d. h. vom Arbeitgeber finanzierten Plänen).
  • Titel V heißt Revenue Offsets . Dieser Abschnitt verbietet den steuerlichen Abzug von Zinsen für unternehmenseigene Lebensversicherungsdarlehen. Außerdem wurden die Einkommenssteuervorschriften für Personen geändert, die die US-Staatsbürgerschaft verlieren, einschließlich der Möglichkeit, dass die Auslandssteuer erhoben wird, wenn eine Person ihre Staatsbürgerschaft aus steuerlichen Gründen aufgibt.

Zugang, Portabilität und Erneuerbarkeit der Gesundheitsversorgung

Dieser Abschnitt des HIPAA war zusammen mit Titel IV (Anwendung und Durchsetzung der Anforderungen des Gruppengesundheitsplans) zum Zeitpunkt seiner Verabschiedung wohl der wichtigste Teil des Gesetzes. Ohne sie hätten Arbeitnehmer weitaus weniger Verbraucherschutz in Bezug auf ihre Gesundheitsleistungen gehabt.

Mit dem Affordable Care Act (ACA) wurden die Bestimmungen des HIPAA erweitert und auf die (selbst erworbene) Krankenversicherung von Einzelpersonen/Familien ausgeweitet. Daher bieten HIPAA- und ACA-Schutzmaßnahmen seit 2014 robuste Schutzmaßnahmen, um den Zugang zur Krankenversicherung in den USA sicherzustellen

Vorerkrankungen und HIPAA

HIPAA hat Regeln eingeführt, um sicherzustellen, dass ein vom Arbeitgeber finanzierter Krankenversicherungsplan die Vorerkrankungen eines Teilnehmers nicht auf unbestimmte Zeit ausschließen kann. Vorerkrankungen sind solche, die bereits vor der Beantragung einer Krankenversicherung vorliegen.

Gruppenkrankenversicherungen durften im Rahmen des HIPAA immer noch Vorerkrankungen ausschließen, jedoch nur für maximal 12 Monate (oder 18 Monate für Personen, die sich angemeldet hatten, nachdem sie ursprünglich berechtigt waren; beachten Sie, dass die Verwendung eines speziellen Anmeldezeitraums nicht als verspätete Anmeldung galt).

Wenn ein Eingeschriebener zuvor über einen anrechenbaren Versicherungsschutz verfügte (der weit gefasst war und die meisten Arten von Krankenversicherung umfasste) ohne eine Pause von mehr als 63 Tagen, würde der Ausschlusszeitraum für bereits bestehende Erkrankungen um die Zeitspanne verkürzt, die die Person zuvor über einen anrechenbaren Versicherungsschutz verfügte.3

Diese Regel ermöglichte es den Menschen, von einem vom Arbeitgeber gesponserten Plan zu einem anderen zu wechseln, ohne eine bereits bestehende Wartezeit im Rahmen des neuen Plans durchlaufen zu müssen.

Garantierte Ausgabe und Erneuerbarkeit

HIPAA verlangte außerdem von allen Krankenversicherern, die eine Krankenversicherung für kleine Gruppen anboten, dass ihre Pläne für kleine Gruppen eine garantierte Ausstellung darstellen . Garantierte Ausgabe bedeutet, dass ein Krankenversicherer eine kleine Gruppe nicht aufgrund der Krankengeschichte eines oder mehrerer Mitarbeiter oder ihrer Angehörigen ablehnen kann.

Unter einer kleinen Gruppe versteht man im Allgemeinen einen Plan, der zwei bis 50 Mitarbeiter abdeckt, was immer noch die in den meisten Bundesstaaten verwendete Definition ist.

HIPAA gewährleistete auch die garantierte Erneuerbarkeit der individuellen/familiären Krankenversicherung (dh der Versicherung, die die Menschen selbst abschließen, unabhängig von einem Arbeitgeber).

Solange also eine Person mit individueller/familiärer Krankenversicherung ihre Prämien weiterhin pünktlich zahlte und im Versorgungsbereich der Krankenkasse wohnte, musste ihre Versicherung jedes Jahr erneuert werden, unabhängig vom Gesundheitszustand.

Ausnahmen gab es bei Betrug, Falschdarstellungen oder Situationen, in denen der Versicherer in diesem Bereich einfach den Versicherungsschutz ganz einstellte.

Lücken

Es gab jedoch immer noch viele Lücken in den Schutzmaßnahmen des HIPAA. Beispielsweise waren die Regeln nicht annähernd so streng, wenn eine Person auf eine individuelle/familiäre Krankenversicherung umstieg (entweder von einer anderen individuellen/familiären Krankenversicherung oder von einem vom Arbeitgeber finanzierten Plan).

In den meisten Bundesstaaten waren die meisten individuellen/familiären Krankenversicherungspläne nicht garantiert, selbst für Personen, die HIPAA-berechtigt waren . Stattdessen verließen sich die meisten Staaten auf einen Carrier of Last Resort oder einen Pool mit hohem Risiko, um eine Option mit garantierter Ausgabe bereitzustellen.

Auch bei der vom Arbeitgeber finanzierten Absicherung gab es verschiedene Lücken im HIPAA-Schutz. Obwohl beispielsweise Pläne für kleine Gruppen garantiert sein mussten, konnten Versicherer die Gesamtprämien einer Gruppe auf der Grundlage der gesamten Krankengeschichte der Gruppe anpassen.

Es gab keine Anforderungen, dass arbeitgeberfinanzierte Pläne überhaupt Krankenversicherung bieten. Und wenn ja, gab es nur sehr wenige bundesstaatliche Vorschriften darüber, wie umfassend die Deckung sein musste.

Viele dieser Lücken wurden durch den Affordable Care Act (auch bekannt als Obamacare) geschlossen. Der ACA hat verschiedene Änderungen an den Regeln für die arbeitgeberfinanzierte Krankenversicherung und wesentliche Änderungen an den Regeln für die Krankenversicherung von Einzelpersonen/Familien vorgenommen.4Dazu gehörten:

  • Wartezeiten aufgrund bereits bestehender Erkrankungen wurden vollständig abgeschafft (unabhängig davon, ob eine Person zuvor über eine anrechenbare Deckung verfügte). Dies gilt sowohl für Einzel-/Familien- als auch für arbeitgeberfinanzierte Krankenversicherungen.
  • Große Arbeitgeber (mehr als 50 Vollzeitbeschäftigte) mussten eine umfassende und als erschwinglich geltende Krankenversicherung anbieten .
  • Es änderte die Gemeinschaftsbewertung für die Krankenversicherung für kleine Gruppen und Einzelpersonen/Familien. Krankenversicherer können die Krankenversicherungsprämien für kleine Gruppen oder Einzelpersonen/Familien nicht mehr auf der Krankengeschichte basieren. Die einzigen Faktoren, die zur Anpassung der Prämien herangezogen werden können, sind Alter, Standort und Tabakkonsum.
  • Die individuelle/familiäre Krankenversicherung ist jetzt garantiert, unabhängig von der Krankengeschichte oder dem bisherigen Versicherungsverlauf einer Person. Dies war unter HIPAA nicht der Fall; Vor dem ACA gab es nur sehr wenige Einzel-/Familienkrankenversicherungen mit Garantie, selbst für HIPAA-berechtigte Personen, es sei denn, sie lebten in einem der wenigen Staaten, die über strengere Gesetze verfügten.5
  • Um verschiedene wesentliche Gesundheitsleistungen abzudecken, sind Einzel- und Kleingruppen-Krankenversicherungen mit Inkrafttreten ab 2014 erforderlich .

Wie HIPAA private medizinische Informationen schützt

Obwohl der Datenschutz wahrscheinlich die bekannteste HIPAA-Bestimmung ist, wird er oft missverstanden. Die COVID-19-Pandemie hat die Situation noch verschärft, da einige Menschen fälschlicherweise glaubten, dass Unternehmen, die nach dem Impfstatus einer Person fragen, gegen HIPAA verstoßen ( was nicht der Fall ist ).

Obwohl die medizinische Privatsphäre nur ein Teil des HIPAA ist, ist es verständlich, dass die Menschen am meisten davon hören. Viele der HIPAA-Krankenversicherungsübertragbarkeits- und Vorerkrankungenschutzmaßnahmen wurden durch ACA verbessert oder ersetzt.

Der HIPAA-Schutz persönlicher Gesundheitsdaten erfordert immer noch die Einhaltung zahlreicher Einzelpersonen und Organisationen. Werfen wir einen Blick darauf, was HIPAA unternimmt, um die sensiblen medizinischen Daten einer Person zu schützen.

HIPAA-Datenschutzregel

Gemäß Teil C von Titel II des HIPAA (Abschnitt „Verwaltungsvereinfachung“) weist die Gesetzgebung das Ministerium für Gesundheit und menschliche Dienste (HHS) an, „detaillierte Empfehlungen zu Standards in Bezug auf den Datenschutz individuell identifizierbarer Gesundheitsinformationen“ abzugeben.

Dies ist häufig bei der Gesetzgebung der Fall; Das Gesetz legt einen allgemeinen Rahmen fest, und alle regulatorischen Details werden dann in nachfolgenden Verordnungen konkretisiert. HHS schlug 1999 Datenschutzbestimmungen vor, stellte sie im Jahr 2000 fertig und hat seitdem verschiedene Änderungen und Aktualisierungen der Regeln herausgegeben.6

Durch die Vorschriften wurde die sogenannte HIPAA-Datenschutzregel geschaffen. Diese Regel beschreibt, wie geschützte Gesundheitsinformationen (PHI) geschützt werden müssen.

PHI ist im US Code of Federal Regulations als „individuell identifizierbare Gesundheitsinformationen“ definiert, die in elektronischer oder einem anderen Format übermittelt oder gespeichert werden. Dazu gehören Krankengeschichten, Testergebnisse, Versicherungsinformationen oder Daten, die zur Identifizierung eines Patienten verwendet werden können.6

Ausgenommen sind jedoch Informationen in Bildungsunterlagen (die HIPAA-Datenschutzregel gilt im Allgemeinen nicht für Schulen), Beschäftigungsunterlagen oder über eine Person, die seit mehr als 50 Jahren tot ist.8

Die HIPAA-Datenschutzregel begrenzt, wie, wann und an wen die PHI einer Person ohne deren Genehmigung weitergegeben werden können. Die Regel ermöglicht es einer Person auch, ihre eigenen PHI anzufordern (und gegebenenfalls Korrekturen anzufordern) und deren Übermittlung an eine andere Person zu genehmigen.

Zu den Unternehmen, die der HIPAA-Datenschutzregel unterliegen (abgedeckte Unternehmen), gehören:9

  • Gesundheitspläne
  • Gesundheitsdienstleister (Ärzte, Krankenhäuser usw.)
  • Clearingstellen für das Gesundheitswesen: Jedes Unternehmen, das nicht standardmäßige Gesundheitsinformationen verarbeitet, damit diese den Standardanforderungen entsprechen.10oder umgekehrt; (Dazu können Einheiten wie Abrechnungsdienste und Gesundheitsinformationssysteme gehören.)
  • Geschäftspartner von abgedeckten Unternehmen, die Zugang zu PHI haben (Unternehmen oder Einzelpersonen, die im Namen eines abgedeckten Unternehmens arbeiten)

Wenn ein betroffenes Unternehmen (oder ein Geschäftspartner eines erfassten Unternehmens) von einem Datenverstoß betroffen ist, bei dem PHI gefährdet sind, verlangt die HIPAA-Regel zur Benachrichtigung bei Verstößen, dass das Unternehmen innerhalb von 60 Tagen Personen benachrichtigt, auf deren PHI missbräuchlich zugegriffen wurde.11

Sie können aufgefordert werden, PHI anzugeben

Es ist wichtig zu verstehen, dass die Datenschutzbestimmungen der HIPAA nur für die unbefugte Offenlegung von PHI durch ein erfasstes Unternehmen oder einen Geschäftspartner eines erfassten Unternehmens gelten. Es hindert oder schränkt ein Unternehmen oder einen Arbeitgeber in keiner Weise daran ein, PHI direkt vom Patienten anzufordern.

Eine Person könnte sich dafür entscheiden, die angeforderten Informationen nicht bereitzustellen (und beispielsweise feststellen, dass ihr der Zutritt zum Unternehmen verweigert wird), aber HIPAA hat damit nichts zu tun.

HIPAA-Sicherheitsregel

Die HIPAA-Sicherheitsregel ergibt sich auch aus Teil C von Titel II des HIPAA. Vorschriften zur Umsetzung der Sicherheitsregel wurden erstmals 1998 vom HHS vorgeschlagen und mehrmals aktualisiert und geändert.12

Der Zweck der Sicherheitsregel, offiziell bekannt als „Sicherheitsstandards zum Schutz elektronischer geschützter Gesundheitsinformationen“, besteht darin, Schutzmaßnahmen für die Speicherung, Verwendung und Übertragung elektronischer PHI vorzusehen. Ziel ist es, „die Vertraulichkeit, Integrität und Sicherheit“ elektronisch geschützter Gesundheitsinformationen zu gewährleisten.12

Die HIPAA-Sicherheitsregel gilt für Krankenversicherungen, Clearingstellen im Gesundheitswesen und medizinische Anbieter, die PHI elektronisch übermitteln. Die Sicherheitsregel klärt die betrieblichen Sicherheitsvorkehrungen, die diese Unternehmen bei der Speicherung oder Übermittlung elektronischer PHI ergreifen müssen, um sicherzustellen, dass die Datenschutzregel eingehalten wird.

Doch während die Datenschutzregel für alle Arten von PHI gilt, einschließlich solcher, die mündlich oder auf Papier gespeichert oder übermittelt werden, gilt die Sicherheitsregel nur für elektronische PHI. Betroffene Unternehmen, die alle oder die meisten ihrer Aufzeichnungen elektronisch führen, werden erhebliche Überschneidungen zwischen den Anforderungen der Datenschutzrichtlinie und der Sicherheitsrichtlinie feststellen.12

HIPAA-Transaktionen und Codesatzregeln (TCS)

Der Abschnitt „Verwaltungsvereinfachung“ der HIPAA weist HHS an, standardisierte Codesätze zu erstellen , die zur Übermittlung verschiedener medizinischer Informationen verwendet werden, darunter Diagnosen, Behandlungen, Informationen zum Status von Krankenversicherungsansprüchen usw.

Die Gesetzgebung definiert „Codesatz“ als „Satz von Codes, die zur Kodierung von Datenelementen verwendet werden, wie z. B. Begriffstabellen, medizinische Konzepte, medizinische Diagnosecodes oder medizinische Verfahrenscodes“.4

Die Idee dahinter bestand darin, die Kommunikation im Gesundheitswesen einfacher und effizienter zu gestalten, indem alle Einheiten dieselben Codesätze verwenden und sich somit gegenseitig leicht verstehen können (allerdings mit etwas Hilfe von Computern, die die Codesätze verarbeiten).

Zur Übertragung verschiedener medizinischer Daten werden folgende Codesätze verwendet:13

  • Internationale Klassifikation von Krankheiten (ICD-11) : Wird für Diagnosen und Verfahren verwendet und ersetzt ab 2022 die ICD-10.
  • Aktuelle Verfahrensterminologie (CPT) : Wird für die ambulante Behandlung verwendet.
  • Common Procedure Coding System für das Gesundheitswesen : Dieses System wird für Medicare sowie für Dienstleistungen und Geräte verwendet, die nicht durch CPT abgedeckt sind.
  • Code on Dental Procedures and Nomenclature (CDT): Dieser Code wird für zahnärztliche Eingriffe verwendet.
  • National Drug Codes (NDC) : Dieser wird für Medikamente verwendet.

HIPAA-Durchsetzungsregel

Genau wie die Datenschutzregel und die Sicherheitsregel wurde die HIPAA-Durchsetzungsregel von HHS in einer Reihe von Vorschriften erlassen, die darauf abzielen, die HIPAA-Anforderungen zu ändern und zu aktualisieren.14

Die Durchsetzungsregel wurde ursprünglich im Jahr 2006 fertiggestellt. Im Jahr 2013 wurde eine aktualisierte endgültige Regel herausgegeben, die darauf abzielt, den Schutz der Privatsphäre und der Sicherheit von PHI, einschließlich des Schutzes genetischer Informationen, zu stärken.15

Die bestehenden Regeln wurden geändert, um sie an den Health Information Technology for Economic and Clinical Health (HITECH) Act und den Genetic Information Nondiscrimination Act von 2008 (GINA) anzupassen.

In der Durchsetzungsregel wird detailliert beschrieben, wie mit Beschwerden über HIPAA-Datenschutz- und Sicherheitsregeln umgegangen wird, einschließlich möglicher Bußgelder bei Nichteinhaltung. Diese Beschwerden werden vom Office of Civil Rights (OCR) oder von Generalstaatsanwälten untersucht.

Bußgelder für HIPAA-Verstöße können gegen alle abgedeckten Unternehmen (Krankenversicherungen, medizinische Anbieter, Clearingstellen im Gesundheitswesen) und gegen Geschäftspartner aller abgedeckten Unternehmen verhängt werden, wenn sie gegen die HIPAA-Datenschutz- oder Sicherheitsregeln oder die Breach Notification Rule verstoßen.

Gemäß der Durchsetzungsregel können betroffene Unternehmen und ihre Geschäftspartner mit Geldstrafen für vorsätzliche oder unbeabsichtigte Verstöße gegen diese Regeln belegt werden. Geldstrafen werden in der Regel nur für die schwerwiegendsten Verstöße verhängt. Geringere Verstöße werden in der Regel mit einem Plan gelöst, um den Verstoß zu beheben und ihn in Zukunft zu verhindern.16

Wenn OCR feststellt, dass eine Geldstrafe gerechtfertigt ist, variiert die Strafstruktur je nach Art des HIPAA-Verstoßes. Es wird ein vierstufiges System verwendet.

Die niedrigste Stufe gilt für Verstöße, von denen das Unternehmen nichts wusste und die es selbst bei Einhaltung der HIPAA-Vorschriften realistischerweise nicht hätte vermeiden können. Die höchste Stufe gilt für Situationen, in denen vorsätzliche Fahrlässigkeit vorliegt, wobei das betroffene Unternehmen nichts unternimmt, um den Verstoß zu verhindern oder zu beheben.

Bei Verstößen der niedrigsten Stufe sind Bußgelder selten. Wenn sie ausgestellt werden, wurde die Mindeststrafe nach dem HITECH-Gesetz auf 100 US-Dollar pro Verstoß bis zu einem Höchstbetrag von 50.000 US-Dollar festgelegt. Für die höchste Stufe wurde die Mindeststrafe jedoch auf 50.000 US-Dollar pro Verstoß festgelegt.

Diese Beträge wurden an die Inflation angepasst. Für Verstöße niedrigerer Stufen wurden die Höchststrafen nach unten angepasst. Im Jahr 2021 lagen die inflationsbereinigten Mindeststrafen je nach Stufe zwischen 120 und 60.226 US-Dollar. Die jährliche Höchststrafe liegt zwischen etwas mehr als 30.000 US-Dollar und mehr als 1,8 Millionen US-Dollar.16

Abgedeckte Unternehmen

Die Datenschutzbestimmungen der HIPAA für PHI gelten nur für betroffene Unternehmen und deren Geschäftspartner. Zu den abgedeckten Unternehmen gehören Krankenkassen, medizinische Anbieter und Clearingstellen für das Gesundheitswesen.

Eine Clearingstelle für das Gesundheitswesen ist eine Einrichtung, die nicht standardmäßige Gesundheitsinformationen verarbeitet, um den Standardanforderungen zu entsprechen10 oder umgekehrt.9Dazu können Unternehmen wie medizinische Abrechnungsdienste, IT-Berater und kommunale Gesundheitsinformationssysteme gehören.

Als Geschäftspartner gelten Einzelpersonen oder Organisationen, die im Auftrag einer betroffenen Organisation arbeiten und Zugang zu PHI haben.

Wer muss die HIPAA-Regeln nicht befolgen?

Jedes Unternehmen, das kein abgedecktes Unternehmen ist (oder sein Geschäftspartner), unterliegt nicht den HIPAA-Regeln zum Schutz von PHI. Es gibt eine lange Liste von Unternehmen, die diesen Regeln nicht unterliegen. Dazu gehören Arbeitgeber, Schulen, Strafverfolgungsbehörden, Unternehmen, kommunale Behörden, Lebensversicherer, Arbeitnehmerentschädigungsträger usw.

Einreichen einer HIPAA-Beschwerde

Wenn Sie glauben, dass ein betroffenes Unternehmen Ihre PHI (oder die PHI einer anderen Person) kompromittiert und sich nicht an die HIPAA-Regeln gehalten hat, können Sie eine Beschwerde beim Office of Civil Rights (OCR) einreichen. Beschwerden können online oder schriftlich eingereicht werden. HHS verfügt über eine Website , die Sie durch alles führt, was Sie über diesen Prozess wissen müssen.17

Sonstige Regeln und Vorschriften

HIPAA-Titel III enthielt einige wichtige Gesundheitsbestimmungen, die entweder noch in Kraft sind oder die Grundlage für Systeme bildeten, die wir heute noch verwenden.

Dazu gehören eine Erhöhung des Selbstständigen-Krankenversicherungsabzugs, die Einrichtung von Krankensparkonten sowie Steuervorteile für Pflegeleistungen und Pflegeversicherungen.

HIPAA und der Selbstständigen-Krankenversicherungsabzug

Ab 1986 durften Selbstständige 25 % der Kosten ihrer Krankenversicherung absetzen. Dies war für Selbstständige von Vorteil, aber HIPAA verbesserte den Nutzen drastisch.

HIPAA (Titel III, Unterabschnitt B) erhöhte den Abzug 1996 auf 30 % und forderte dann, dass er bis 2006 schrittweise auf 80 % angehoben wird. 1999 wurden zusätzliche Gesetze erlassen, die diesen Zeitplan beschleunigten und den Abzug weiter erhöhten, indem sie Selbstständige zuließen Menschen müssen ab 2003 100 % ihrer Krankenversicherungsprämien absetzen.18

Der Selbstständigen-Krankenversicherungsabzug wird auch heute noch verwendet und ist ein wichtiger Bestandteil, um die Krankenversicherung für Selbstständige erschwinglich zu machen.

Aufgrund des ACA haben auch viele Selbstständige Anspruch auf Prämienzuschüsse, wenn sie eine Versicherung über die Börse/den Marktplatz erwerben .19Aber alle Prämien, die sie aus eigener Tasche zahlen (der Teil, der nicht durch einen Zuschuss bezahlt wird), können in ihrer Steuererklärung abgezogen werden, ohne dass der Abzug einzeln aufgeführt werden muss.

Medizinische Sparkonten

HIPAA (Titel III, Untertitel A) schuf medizinische Sparkonten (MSAs), die den Vorläufer der heutigen Gesundheitssparkonten (HSAs) darstellten. Im Rahmen des HIPAA könnten bis zu 750.000 steuerbegünstigte MSAs von Selbstständigen oder Mitarbeitern kleiner Unternehmen eröffnet werden. Allerdings war das Programm recht restriktiv und es wurden nur etwa 75.000 Konten eröffnet.

Genau wie bei den heutigen HSAs musste eine Person über einen Krankenversicherungsplan mit hohem Selbstbehalt (HDHP) verfügen, um Beiträge zu einem MSA leisten zu können, und konnte MSA-Beiträge in ihrer Steuererklärung abziehen, auch wenn sie ihre Abzüge nicht einzeln aufführte.

Aber HSAs, die im Rahmen des Medicare Modernization and Prescription Drug Act von 2003 erstmals eingeführt wurden, bieten mehr Flexibilität und haben sich als viel beliebter erwiesen. MSAs erlaubten Beiträge vom Kontoinhaber oder seinem Arbeitgeber, jedoch nicht von beiden im selben Jahr.

HSAs ermöglichen es der Einzelperson, einem Arbeitgeber, einer anderen Person oder einer Kombination daraus, jedes Jahr bis zur maximal zulässigen Grenze Beiträge auf das Konto einzuzahlen.

HSAs können auch von mehr Menschen genutzt werden. Jeder, der über eine HDHP-Versicherung verfügt (ohne zusätzliche Deckung), kann Beiträge zu einer HSA leisten, wohingegen MSAs auf Selbstständige und Angestellte kleiner Unternehmen beschränkt waren.

Bestehende Archer-MSAs durften bestehen bleiben, es wurden jedoch keine neuen MSAs erstellt, sobald HSAs verfügbar wurden. HSAs erfreuen sich großer Beliebtheit: Im Jahr 2022 gibt es in den USA mehr als 35 Millionen HSAs.20

Obwohl HSAs und MSAs einige wesentliche Unterschiede aufweisen, haben sie auch viele gemeinsame Funktionen. Und die Schaffung der MSAs durch die HIPAA ebnete den Weg für die heutigen HSAs.

Steuerbegünstigte Behandlung von Pflegeleistungen und Versicherungen

Vor HIPAA gab es keine steuerliche Vorzugsbehandlung für Langzeitpflegeleistungen oder Versicherungen. HIPAA (Titel III, Untertitel C) hat das geändert. Gemäß den HIPAA-Regeln können qualifizierte Pflegeleistungen steuerfrei bezogen werden, und vom Arbeitgeber geförderte Prämien für die Pflegeversicherung können vor Steuern gezahlt werden (dies verringert das steuerpflichtige Einkommen der Person).

Für Personen, die eine eigene Pflegeversicherung abschließen, hat HIPAA außerdem die Möglichkeit eingeführt, die Prämien der Pflegeversicherung in die gesamten medizinischen Ausgaben einzubeziehen und alle medizinischen Ausgaben, die 7,5 % des Einkommens übersteigen, abzuziehen, sofern die Person ihre Abzüge einzeln aufführt .

HIPAA hat eine Obergrenze dafür festgelegt, wie viel von den Prämien für die Langzeitpflege abgezogen werden kann, wobei der Betrag auf dem Alter der Person basiert. Als das Gesetz in Kraft trat, lagen die jährlichen Abzugsgrenzen für die Pflegeversicherung zwischen 200 US-Dollar für eine Person, die nicht älter als 40 Jahre ist, und 2.500 US-Dollar für eine Person über 70 Jahre.1

Diese Beträge wurden jährlich vom IRS indexiert. Ab 2023 liegen sie zwischen 480 und 5.960 US-Dollar.21Die steuerliche Begünstigung von Pflegeleistungen und Versicherungen gilt jedoch auch heute noch.

Zusammenfassung

HIPAA war ein bahnbrechendes Gesetz aus dem Jahr 1996. Obwohl es für seine Regeln zum Schutz privater Gesundheitsinformationen bekannt ist, enthielt das Gesetz viele weitere Bestimmungen.

Zu den wichtigsten gehörte der Schutz für Menschen mit Vorerkrankungen, die sich für die Krankenversicherung eines Arbeitgebers anmelden. Dieser Schutz wurde durch den Affordable Care Act verbessert und erweitert.

Die Datenschutzbestimmungen der HIPAA wurden mehrfach aktualisiert, um mit der sich ändernden Technologie Schritt zu halten. Sie bieten weiterhin einen robusten Schutz, wobei die abgedeckten Stellen sicherstellen müssen, dass Patientendaten sicher gespeichert und übertragen werden, den Patienten auf Anfrage zur Verfügung gestellt werden und nicht ohne Genehmigung unnötigerweise offengelegt werden.

Ein Wort von Verywell

Seit über 25 Jahren bietet HIPAA einen Rahmen zum Schutz des Zugangs zur Krankenversicherung für Menschen mit Vorerkrankungen sowie zum Schutz sensibler persönlicher Gesundheitsdaten.

Im Laufe der Jahre wurden verschiedene Vorschriften erlassen und aktualisiert, um mit den Veränderungen bei der Nutzung und Übermittlung von Gesundheitsinformationen Schritt zu halten, und HIPAA schützt weiterhin die privaten Gesundheitsdaten der Amerikaner.

Abgedeckte Unternehmen, zu denen Krankenkassen, medizinische Anbieter sowie Personen oder Unternehmen gehören, die medizinische Daten übermitteln, unterliegen strengen Datenschutz- und Sicherheitsvorschriften und müssen bei Verstößen mit Geldstrafen rechnen.

HIPAA stellt sicher, dass Sie Zugriff auf Ihre eigenen Krankenakten haben, dass Sie bei Bedarf Korrekturen in Ihren Krankenakten beantragen können und dass Sie steuern können, wer Zugriff auf Ihre Krankenakten hat.

Wenn Sie der Meinung sind, dass Ihre geschützten Gesundheitsdaten von einem betroffenen Unternehmen kompromittiert wurden, können Sie eine Beschwerde beim Office of Civil Rights einreichen, das die Angelegenheit untersuchen wird.

HÄUFIG GESTELLTE FRAGEN

  • Was sind die drei Regeln von HIPAA?

    Die drei Hauptregeln der HIPAA sind die Datenschutzregel (mit einer Regel zur Benachrichtigung bei Verstößen für den Fall, dass eine Datenschutzverletzung entdeckt wird), die Sicherheitsregel und die Durchsetzungsregel. Zusammen tragen diese Regeln dazu bei, sicherzustellen, dass geschützte Gesundheitsinformationen (PHI) ordnungsgemäß geschützt werden.

  • Was ist durch HIPAA geschützt?

    Zu den geschützten Gesundheitsinformationen (PHI) gehören Informationen wie demografische Daten, die Krankengeschichte einer Person, Test-/Laborergebnisse, Rezepte und Angaben zur Krankenversicherung. Dazu können alle Informationen über Gesundheitsdienstleistungen oder Informationen gehören, die zur Identifizierung eines Patienten verwendet werden können.

    Die HIPAA-Regeln verhindern jedoch nur die unbefugte Offenlegung durch ein abgedecktes Unternehmen (Krankenversicherung, medizinischer Anbieter, medizinische Clearingstelle oder einen Geschäftspartner dieser Unternehmen).

  • Was ist nicht durch HIPAA geschützt?

    Die HIPAA-Regeln gelten nicht für Personen, die kein abgedecktes Unternehmen oder Geschäftspartner eines abgedeckten Unternehmens sind. Zu den abgedeckten Unternehmen gehören Krankenkassen, medizinische Anbieter und Gesundheits-Clearingstellen (Unternehmen, die geschützte Gesundheitsinformationen in oder aus Standardformaten übermitteln).

    Informationen in Bildungsunterlagen oder Beschäftigungsunterlagen sind nicht durch HIPAA geschützt, ebenso wenig wie Informationen über eine Person, die vor mehr als 50 Jahren verstorben ist.

    HIPAA verbietet einem Unternehmen, Arbeitgeber oder einer Einzelperson nicht, Sie um die Bereitstellung medizinischer Informationen zu bitten, beispielsweise um die Vorlage Ihres Impfnachweises.

21 Quellen
  1. Regierungsverlagsamt. Öffentliches Recht 104 – 191 – Health Insurance Portability and Accountability Act von 1996 .
  2. Zentren für Medicare- und Medicaid-Dienste. Faktenblatt zur Verwaltungsvereinfachung .
  3. Zentren für Medicare- und Medicaid-Dienste. Der Health Insurance Portability and Accountability Act von 1996 – hilfreiche Tipps .
  4. Regierungsverlagsamt. Öffentliches Recht 111 – 148 – Gesetz über Patientenschutz und erschwingliche Pflege .
  5. Kaiser-Familienstiftung. Reformen des Krankenversicherungsmarktes: Garantierte Ausgabe .
  6. Ministerium für Gesundheit und menschliche Dienste. HIPAA-Datenschutzregel .
  7. Ministerium für Gesundheit und menschliche Dienste. Gilt die HIPAA-Datenschutzregel für eine Grund- oder weiterführende Schule? .
  8. Ministerium für Gesundheit und menschliche Dienste. Gilt der Schutz der HIPAA-Datenschutzbestimmungen für die Gesundheitsinformationen verstorbener Personen? .
  9. Zentren für Medicare- und Medicaid-Dienste. Sind Sie ein versichertes Unternehmen?
  10. Zentren für Medicare- und Medicaid-Dienste. Angenommene Normen und Betriebsanforderungen .
  11. Ministerium für Gesundheit und menschliche Dienste. Regel zur Meldung von Verstößen .
  12. Ministerium für Gesundheit und menschliche Dienste. Die Sicherheitsregel .
  13. Zentren für Medicare- und Medicaid-Dienste. Überblick über Kodierungs- und Klassifizierungssysteme .
  14. Ministerium für Gesundheit und menschliche Dienste. Die HIPAA-Durchsetzungsregel .
  15. Ministerium für Gesundheit und menschliche Dienste. Änderungen an den HIPAA-Regeln für Datenschutz, Sicherheit, Durchsetzung und Benachrichtigung bei Verstößen gemäß dem Health Information Technology for Economic and Clinical Health Act und dem Genetic Information Nondiscrimination Act; Weitere Änderungen an den HIPAA-Regeln . Bundesregister . 2013;78(17):5565-5702.
  16. HIPAA-Journal . Welche Strafen drohen bei HIPAA-Verstößen? .
  17. Ministerium für Gesundheit und menschliche Dienste. Eine Beschwerde einreichen .
  18. Forschungsdienst des Kongresses. Bundessteuerliche Behandlung von Krankenversicherungsausgaben durch Selbstständige: aktuelle Gesetze und Themen für den Kongress .
  19. Zentren für Medicare- und Medicaid-Dienste. Marktplatz für Krankenversicherungen .
  20. Devenir-Forschung. Devenir HSA-Forschungsbericht zum Jahresende 2022 .
  21. Internal Revenue Service. Einnahmenverfahren 2022-38 .