健康保險可攜帶性和可訪問性法案( HIPAA) 是一項旨在保護美國境內(nèi)患者醫(yī)療信息的法規(guī)。某些有權(quán)訪問受保護健康信息 (PHI) 的組織需要實施 HIPAA 法規(guī)中概述的安全控制、流程和程序。
誰需要符合 HIPAA 標準,為什么?
HIPAA 定義了兩種需要遵守其要求的組織:
- 涵蓋實體:HIPAA 將“涵蓋實體”定義為有權(quán)訪問 PHI 的醫(yī)療保健組織及其員工。這包括醫(yī)生、護士和保險公司。
- 商業(yè)伙伴:在 HIPAA 下,“商業(yè)伙伴”是為涉及訪問 PHI 的涵蓋實體提供服務(wù)的組織。例如,為醫(yī)療保健提供者處理帳單的組織可以訪問患者的姓名、地址等,這些信息在 HIPAA 下受 PHI 保護。
根據(jù) HIPAA,涵蓋的實體和商業(yè)伙伴都必須遵守 HIPAA。涵蓋的實體由衛(wèi)生與公眾服務(wù)部 (HHS) 民權(quán)辦公室 (OCR) 直接監(jiān)管。HIPAA 要求通過商業(yè)伙伴與涵蓋實體的合同強制執(zhí)行。
但是,該法規(guī)僅適用于符合法律所涵蓋實體或商業(yè)伙伴定義的組織。其他有權(quán)訪問健康信息但未從涵蓋實體接收的組織不受 HIPAA 法規(guī)的約束。例如,直接從用戶那里收集健康信息但不是醫(yī)療保健組織的健康和健身應(yīng)用程序的開發(fā)人員不需要遵守其指令。
但是,這些組織可以從中受益。HIPAA 描述了保護 PHI 的最佳實踐,遵守這些最佳實踐可以減少組織面臨網(wǎng)絡(luò)威脅的風(fēng)險以及潛在數(shù)據(jù)泄露的可能性和影響。此外,在發(fā)生違規(guī)或安全事件時,遵守法規(guī)有助于證明公司進行了盡職調(diào)查并努力保護其客戶的數(shù)據(jù)。
什么是 HIPAA 規(guī)則?
HIPAA 分為兩個主要規(guī)則:隱私規(guī)則和安全規(guī)則。除了這些規(guī)則之外,還有違反通知規(guī)則,它描述了組織應(yīng)如何報告違反 PHI 的行為,以及綜合規(guī)則,它擴展了 HIPAA 要求以包括業(yè)務(wù)伙伴。
隱私規(guī)則。個人可識別健康信息隱私標準(隱私規(guī)則)規(guī)定醫(yī)療保健組織應(yīng)如何保護委托給他們的某些類型的健康信息。隱私規(guī)則定義了可以訪問和披露 PHI 的情況。它還定義了涵蓋實體應(yīng)采取的保護 PHI 的保障措施,并賦予患者有關(guān)其 PHI 的某些權(quán)利。
安全規(guī)則。電子受保護健康信息保護安全標準(安全規(guī)則)描述了公司應(yīng)為以電子方式存儲或傳輸?shù)氖鼙Wo健康信息 (PHI) 實施的 IT 安全控制。它提供了組織必須具備的具體 IT 安全控制、流程和程序,以滿足隱私規(guī)則中概述的數(shù)據(jù)保護要求。
受 HIPAA 保護的數(shù)據(jù)
HIPAA 旨在保護患者向涵蓋實體及其業(yè)務(wù)伙伴提供的 PHI。HHS 定義了十八種類型的 PHI 標識符,包括:
- 姓名
- 地址
- 關(guān)鍵日期
- 社會安全號碼
- 電話號碼
- 電子郵件地址
- 傳真號碼
- 健康計劃受益人號碼
- 病歷號
- 證書/許可證號
- 帳號
- 車輛標識符、序列號或車牌號
- 設(shè)備標識符或序列號
- IP地址
- 網(wǎng)址
- 全臉照片
- 生物識別標識符,例如指紋或聲紋
- 任何其他唯一識別號碼、特征或代碼
常見的 HIPAA 違規(guī)
HIPAA 合規(guī)性對于涵蓋的實體是強制性的,這些組織可能會因不合規(guī)而受到處罰。HIPAA 定義了四級違規(guī):
- 第 1 層:受保護實體不知道違規(guī)行為,如果受保護實體真誠地努力遵守 HIPAA,則實際上無法防止違規(guī)行為。罰款從 100 美元到 50,000 美元不等。
- 第 2 層:涵蓋的實體知道違規(guī)行為,但鑒于善意努力遵守 HIPAA,這是無法避免的。罰款從 1,000 美元到 50,000 美元不等。
- 第 3 層:違規(guī)是由于“故意忽視”受涵蓋實體試圖糾正的 HIPAA 規(guī)則而發(fā)生的。罰款從 10,000 美元到 50,000 美元不等。
- 第 4 層:違規(guī)行為是由于“故意疏忽”而被涵蓋實體未嘗試糾正而發(fā)生的。罰款起價為 50,000 美元。
大多數(shù) HIPAA 違規(guī)包括有意或無意破壞 PHI。一些常見的 HIPAA 違規(guī)行為包括:
- 丟失或被盜的設(shè)備
- 勒索軟件和其他惡意軟件
- 泄露的用戶憑據(jù)
- 通過電子郵件、社交媒體等意外共享數(shù)據(jù)。
- 實體辦公室闖入
- 違反電子健康記錄 (EHR)
HIPAA 合規(guī)性清單
實現(xiàn) HIPAA 合規(guī)性是一個多步驟的過程。需要采取的一些關(guān)鍵步驟包括:
- 確定您的合規(guī)義務(wù):如前所述,HIPAA 適用于涵蓋的實體,并通過它們適用于其業(yè)務(wù)伙伴。根據(jù) HIPAA,涵蓋的實體被定義為醫(yī)療保健提供者、健康計劃和醫(yī)療保健票據(jù)交換所。他們的業(yè)務(wù)伙伴是與他們共享 PHI 的任何組織。
- 了解 HIPAA 規(guī)則:HIPAA 隱私和安全規(guī)則定義了涵蓋實體或業(yè)務(wù)伙伴在 HIPAA 下的責任。了解所需的控制、政策和流程對于實現(xiàn)和保持合規(guī)性至關(guān)重要。
- 確定合規(guī)范圍:HHS 定義了 18 種符合 PHI 且必須受 HIPAA 保護的數(shù)據(jù)類型。確定這些類型的數(shù)據(jù)在組織的 IT 環(huán)境中的存儲、處理和傳輸位置對于確定哪些系統(tǒng)和人員受 HIPAA 要求的約束至關(guān)重要。
- 執(zhí)行差距評估:一個組織可能有一些必要的 HIPAA 控制,但其他的可能會缺失。有必要根據(jù) HIPAA 要求進行差距評估,以確定公司在哪些方面未達到合規(guī)要求。
- 部署缺失的控制:差距評估可以識別組織當前不合規(guī)的地方。在確定了這些差距之后,制定并實施封閉漏洞的策略。
- 創(chuàng)建所需的文檔:HIPAA 要求涵蓋的實體具有某些記錄在案的政策和流程。如果任何流程缺失或未記錄在案,請生成所需的文檔。
- 準備合規(guī)審核:通過合規(guī)審核需要能夠向?qū)徍藛T證明組織的安全控制、流程和程序符合法規(guī)要求。制定審核計劃,并在審核前收集任何所需的數(shù)據(jù)和報告。
