健康保險(xiǎn)可攜帶性和可訪問(wèn)性法案( HIPAA) 是一項(xiàng)旨在保護(hù)美國(guó)境內(nèi)患者醫(yī)療信息的法規(guī)。某些有權(quán)訪問(wèn)受保護(hù)健康信息 (PHI) 的組織需要實(shí)施 HIPAA 法規(guī)中概述的安全控制、流程和程序。
誰(shuí)需要符合 HIPAA 標(biāo)準(zhǔn),為什么?
HIPAA 定義了兩種需要遵守其要求的組織:
- 涵蓋實(shí)體:HIPAA 將“涵蓋實(shí)體”定義為有權(quán)訪問(wèn) PHI 的醫(yī)療保健組織及其員工。這包括醫(yī)生、護(hù)士和保險(xiǎn)公司。
- 商業(yè)伙伴:在 HIPAA 下,“商業(yè)伙伴”是為涉及訪問(wèn) PHI 的涵蓋實(shí)體提供服務(wù)的組織。例如,為醫(yī)療保健提供者處理帳單的組織可以訪問(wèn)患者的姓名、地址等,這些信息在 HIPAA 下受 PHI 保護(hù)。
根據(jù) HIPAA,涵蓋的實(shí)體和商業(yè)伙伴都必須遵守 HIPAA。涵蓋的實(shí)體由衛(wèi)生與公眾服務(wù)部 (HHS) 民權(quán)辦公室 (OCR) 直接監(jiān)管。HIPAA 要求通過(guò)商業(yè)伙伴與涵蓋實(shí)體的合同強(qiáng)制執(zhí)行。
但是,該法規(guī)僅適用于符合法律所涵蓋實(shí)體或商業(yè)伙伴定義的組織。其他有權(quán)訪問(wèn)健康信息但未從涵蓋實(shí)體接收的組織不受 HIPAA 法規(guī)的約束。例如,直接從用戶那里收集健康信息但不是醫(yī)療保健組織的健康和健身應(yīng)用程序的開(kāi)發(fā)人員不需要遵守其指令。
但是,這些組織可以從中受益。HIPAA 描述了保護(hù) PHI 的最佳實(shí)踐,遵守這些最佳實(shí)踐可以減少組織面臨網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)以及潛在數(shù)據(jù)泄露的可能性和影響。此外,在發(fā)生違規(guī)或安全事件時(shí),遵守法規(guī)有助于證明公司進(jìn)行了盡職調(diào)查并努力保護(hù)其客戶的數(shù)據(jù)。
什么是 HIPAA 規(guī)則?
HIPAA 分為兩個(gè)主要規(guī)則:隱私規(guī)則和安全規(guī)則。除了這些規(guī)則之外,還有違反通知規(guī)則,它描述了組織應(yīng)如何報(bào)告違反 PHI 的行為,以及綜合規(guī)則,它擴(kuò)展了 HIPAA 要求以包括業(yè)務(wù)伙伴。
隱私規(guī)則。個(gè)人可識(shí)別健康信息隱私標(biāo)準(zhǔn)(隱私規(guī)則)規(guī)定醫(yī)療保健組織應(yīng)如何保護(hù)委托給他們的某些類型的健康信息。隱私規(guī)則定義了可以訪問(wèn)和披露 PHI 的情況。它還定義了涵蓋實(shí)體應(yīng)采取的保護(hù) PHI 的保障措施,并賦予患者有關(guān)其 PHI 的某些權(quán)利。
安全規(guī)則。電子受保護(hù)健康信息保護(hù)安全標(biāo)準(zhǔn)(安全規(guī)則)描述了公司應(yīng)為以電子方式存儲(chǔ)或傳輸?shù)氖鼙Wo(hù)健康信息 (PHI) 實(shí)施的 IT 安全控制。它提供了組織必須具備的具體 IT 安全控制、流程和程序,以滿足隱私規(guī)則中概述的數(shù)據(jù)保護(hù)要求。
受 HIPAA 保護(hù)的數(shù)據(jù)
HIPAA 旨在保護(hù)患者向涵蓋實(shí)體及其業(yè)務(wù)伙伴提供的 PHI。HHS 定義了十八種類型的 PHI 標(biāo)識(shí)符,包括:
- 姓名
- 地址
- 關(guān)鍵日期
- 社會(huì)安全號(hào)碼
- 電話號(hào)碼
- 電子郵件地址
- 傳真號(hào)碼
- 健康計(jì)劃受益人號(hào)碼
- 病歷號(hào)
- 證書(shū)/許可證號(hào)
- 帳號(hào)
- 車輛標(biāo)識(shí)符、序列號(hào)或車牌號(hào)
- 設(shè)備標(biāo)識(shí)符或序列號(hào)
- IP地址
- 網(wǎng)址
- 全臉照片
- 生物識(shí)別標(biāo)識(shí)符,例如指紋或聲紋
- 任何其他唯一識(shí)別號(hào)碼、特征或代碼
常見(jiàn)的 HIPAA 違規(guī)
HIPAA 合規(guī)性對(duì)于涵蓋的實(shí)體是強(qiáng)制性的,這些組織可能會(huì)因不合規(guī)而受到處罰。HIPAA 定義了四級(jí)違規(guī):
- 第 1 層:受保護(hù)實(shí)體不知道違規(guī)行為,如果受保護(hù)實(shí)體真誠(chéng)地努力遵守 HIPAA,則實(shí)際上無(wú)法防止違規(guī)行為。罰款從 100 美元到 50,000 美元不等。
- 第 2 層:涵蓋的實(shí)體知道違規(guī)行為,但鑒于善意努力遵守 HIPAA,這是無(wú)法避免的。罰款從 1,000 美元到 50,000 美元不等。
- 第 3 層:違規(guī)是由于“故意忽視”受涵蓋實(shí)體試圖糾正的 HIPAA 規(guī)則而發(fā)生的。罰款從 10,000 美元到 50,000 美元不等。
- 第 4 層:違規(guī)行為是由于“故意疏忽”而被涵蓋實(shí)體未嘗試糾正而發(fā)生的。罰款起價(jià)為 50,000 美元。
大多數(shù) HIPAA 違規(guī)包括有意或無(wú)意破壞 PHI。一些常見(jiàn)的 HIPAA 違規(guī)行為包括:
- 丟失或被盜的設(shè)備
- 勒索軟件和其他惡意軟件
- 泄露的用戶憑據(jù)
- 通過(guò)電子郵件、社交媒體等意外共享數(shù)據(jù)。
- 實(shí)體辦公室闖入
- 違反電子健康記錄 (EHR)
HIPAA 合規(guī)性清單
實(shí)現(xiàn) HIPAA 合規(guī)性是一個(gè)多步驟的過(guò)程。需要采取的一些關(guān)鍵步驟包括:
- 確定您的合規(guī)義務(wù):如前所述,HIPAA 適用于涵蓋的實(shí)體,并通過(guò)它們適用于其業(yè)務(wù)伙伴。根據(jù) HIPAA,涵蓋的實(shí)體被定義為醫(yī)療保健提供者、健康計(jì)劃和醫(yī)療保健票據(jù)交換所。他們的業(yè)務(wù)伙伴是與他們共享 PHI 的任何組織。
- 了解 HIPAA 規(guī)則:HIPAA 隱私和安全規(guī)則定義了涵蓋實(shí)體或業(yè)務(wù)伙伴在 HIPAA 下的責(zé)任。了解所需的控制、政策和流程對(duì)于實(shí)現(xiàn)和保持合規(guī)性至關(guān)重要。
- 確定合規(guī)范圍:HHS 定義了 18 種符合 PHI 且必須受 HIPAA 保護(hù)的數(shù)據(jù)類型。確定這些類型的數(shù)據(jù)在組織的 IT 環(huán)境中的存儲(chǔ)、處理和傳輸位置對(duì)于確定哪些系統(tǒng)和人員受 HIPAA 要求的約束至關(guān)重要。
- 執(zhí)行差距評(píng)估:一個(gè)組織可能有一些必要的 HIPAA 控制,但其他的可能會(huì)缺失。有必要根據(jù) HIPAA 要求進(jìn)行差距評(píng)估,以確定公司在哪些方面未達(dá)到合規(guī)要求。
- 部署缺失的控制:差距評(píng)估可以識(shí)別組織當(dāng)前不合規(guī)的地方。在確定了這些差距之后,制定并實(shí)施封閉漏洞的策略。
- 創(chuàng)建所需的文檔:HIPAA 要求涵蓋的實(shí)體具有某些記錄在案的政策和流程。如果任何流程缺失或未記錄在案,請(qǐng)生成所需的文檔。
- 準(zhǔn)備合規(guī)審核:通過(guò)合規(guī)審核需要能夠向?qū)徍藛T證明組織的安全控制、流程和程序符合法規(guī)要求。制定審核計(jì)劃,并在審核前收集任何所需的數(shù)據(jù)和報(bào)告。
