健康保险可携带性和可访问性法案( HIPAA) 是一项旨在保护美国境内患者医疗信息的法规。某些有权访问受保护健康信息 (PHI) 的组织需要实施 HIPAA 法规中概述的安全控制、流程和程序。
谁需要符合 HIPAA 标准,为什么?
HIPAA 定义了两种需要遵守其要求的组织:
- 涵盖实体:HIPAA 将“涵盖实体”定义为有权访问 PHI 的医疗保健组织及其员工。这包括医生、护士和保险公司。
- 商业伙伴:在 HIPAA 下,“商业伙伴”是为涉及访问 PHI 的涵盖实体提供服务的组织。例如,为医疗保健提供者处理帐单的组织可以访问患者的姓名、地址等,这些信息在 HIPAA 下受 PHI 保护。
根据 HIPAA,涵盖的实体和商业伙伴都必须遵守 HIPAA。涵盖的实体由卫生与公众服务部 (HHS) 民权办公室 (OCR) 直接监管。HIPAA 要求通过商业伙伴与涵盖实体的合同强制执行。
但是,该法规仅适用于符合法律所涵盖实体或商业伙伴定义的组织。其他有权访问健康信息但未从涵盖实体接收的组织不受 HIPAA 法规的约束。例如,直接从用户那里收集健康信息但不是医疗保健组织的健康和健身应用程序的开发人员不需要遵守其指令。
但是,这些组织可以从中受益。HIPAA 描述了保护 PHI 的最佳实践,遵守这些最佳实践可以减少组织面临网络威胁的风险以及潜在数据泄露的可能性和影响。此外,在发生违规或安全事件时,遵守法规有助于证明公司进行了尽职调查并努力保护其客户的数据。
什么是 HIPAA 规则?
HIPAA 分为两个主要规则:隐私规则和安全规则。除了这些规则之外,还有违反通知规则,它描述了组织应如何报告违反 PHI 的行为,以及综合规则,它扩展了 HIPAA 要求以包括业务伙伴。
隐私规则。个人可识别健康信息隐私标准(隐私规则)规定医疗保健组织应如何保护委托给他们的某些类型的健康信息。隐私规则定义了可以访问和披露 PHI 的情况。它还定义了涵盖实体应采取的保护 PHI 的保障措施,并赋予患者有关其 PHI 的某些权利。
安全规则。电子受保护健康信息保护安全标准(安全规则)描述了公司应为以电子方式存储或传输的受保护健康信息 (PHI) 实施的 IT 安全控制。它提供了组织必须具备的具体 IT 安全控制、流程和程序,以满足隐私规则中概述的数据保护要求。
受 HIPAA 保护的数据
HIPAA 旨在保护患者向涵盖实体及其业务伙伴提供的 PHI。HHS 定义了十八种类型的 PHI 标识符,包括:
- 姓名
- 地址
- 关键日期
- 社会安全号码
- 电话号码
- 电子邮件地址
- 传真号码
- 健康计划受益人号码
- 病历号
- 证书/许可证号
- 帐号
- 车辆标识符、序列号或车牌号
- 设备标识符或序列号
- IP地址
- 网址
- 全脸照片
- 生物识别标识符,例如指纹或声纹
- 任何其他唯一识别号码、特征或代码
常见的 HIPAA 违规
HIPAA 合规性对于涵盖的实体是强制性的,这些组织可能会因不合规而受到处罚。HIPAA 定义了四级违规:
- 第 1 层:受保护实体不知道违规行为,如果受保护实体真诚地努力遵守 HIPAA,则实际上无法防止违规行为。罚款从 100 美元到 50,000 美元不等。
- 第 2 层:涵盖的实体知道违规行为,但鉴于善意努力遵守 HIPAA,这是无法避免的。罚款从 1,000 美元到 50,000 美元不等。
- 第 3 层:违规是由于“故意忽视”受涵盖实体试图纠正的 HIPAA 规则而发生的。罚款从 10,000 美元到 50,000 美元不等。
- 第 4 层:违规行为是由于“故意疏忽”而被涵盖实体未尝试纠正而发生的。罚款起价为 50,000 美元。
大多数 HIPAA 违规包括有意或无意破坏 PHI。一些常见的 HIPAA 违规行为包括:
- 丢失或被盗的设备
- 勒索软件和其他恶意软件
- 泄露的用户凭据
- 通过电子邮件、社交媒体等意外共享数据。
- 实体办公室闯入
- 违反电子健康记录 (EHR)
HIPAA 合规性清单
实现 HIPAA 合规性是一个多步骤的过程。需要采取的一些关键步骤包括:
- 确定您的合规义务:如前所述,HIPAA 适用于涵盖的实体,并通过它们适用于其业务伙伴。根据 HIPAA,涵盖的实体被定义为医疗保健提供者、健康计划和医疗保健票据交换所。他们的业务伙伴是与他们共享 PHI 的任何组织。
- 了解 HIPAA 规则:HIPAA 隐私和安全规则定义了涵盖实体或业务伙伴在 HIPAA 下的责任。了解所需的控制、政策和流程对于实现和保持合规性至关重要。
- 确定合规范围:HHS 定义了 18 种符合 PHI 且必须受 HIPAA 保护的数据类型。确定这些类型的数据在组织的 IT 环境中的存储、处理和传输位置对于确定哪些系统和人员受 HIPAA 要求的约束至关重要。
- 执行差距评估:一个组织可能有一些必要的 HIPAA 控制,但其他的可能会缺失。有必要根据 HIPAA 要求进行差距评估,以确定公司在哪些方面未达到合规要求。
- 部署缺失的控制:差距评估可以识别组织当前不合规的地方。在确定了这些差距之后,制定并实施封闭漏洞的策略。
- 创建所需的文档:HIPAA 要求涵盖的实体具有某些记录在案的政策和流程。如果任何流程缺失或未记录在案,请生成所需的文档。
- 准备合规审核:通过合规审核需要能够向审核员证明组织的安全控制、流程和程序符合法规要求。制定审核计划,并在审核前收集任何所需的数据和报告。