什么是 HIPAA 安全规则?
美国国会通过《健康保险便携性和会计法案》(HIPAA)九年后,2005 年颁布了《健康保险便携性和会计法案》的安全规则。根据美国卫生与公众服务部的规定,《安全规则》制定了国家标准,以保护由承保实体创建、接收、使用或维护的个人电子健康信息。
安全规则是 HIPAA 隐私规则的一个子集,它规定了受保护健康信息 (PHI) 的安全标准。
HIPAA 安全规则为何重要?
在 HIPAA 颁布之前,没有保护患者健康信息的标准、要求或流程。随着医疗服务日益数字化,医疗服务提供者必须在其系统中采集、存储、共享和保护快速增长的电子健康数据。
安全规则》是保护数字信息的关键一步,对于确保保密性和建立患者与医疗服务提供者之间的信任至关重要。
视频 1:为不断变化的医疗保健世界提供网络安全保障
HIPAA 安全规则概述
安全规则》规定了保护患者 PHI 和个人身份信息 (PII) 的标准。它还创建了一个合规性监管框架,以保护 PII,并制定了在发生泄密事件时通知受影响个人的相关规则。
目的和范围
据 HHS 称,《安全规则》旨在确保承保实体建立必要的保障措施,以保护患者的医疗保健数据和 PII。这是为了应对承保实体和非承保实体之间私人健康信息的指数级增长。
安全规则》的适用范围相当广泛,涵盖医疗计划、医疗保健信息交换中心以及任何传输医疗信息的医疗保健提供者。
4 主要目标
1.确保电子个人健康信息(ePHI)的保密性。
随着越来越多的患者数据以数字格式提供,保护电子健康信息成为一项绝对要求。
2.识别并防范合理预期的威胁。
虽然并非所有的网络威胁都能事先识别,但承保实体有责任保护患者的信息免受已经存在的威胁。
3.防止不允许的使用或披露。
这对提供商非常重要,因为它涵盖了技术工具、人员和流程。
4.确保承保实体的员工合规性。
承保实体的所有成员都必须采取适当的保障措施,确保患者数据的隐私和安全。这意味着承保实体需要向员工宣传《安全规则》的要求,并对他们进行确保合规性的培训。
HIPAA 安全规则要求
安全规则要求采取适当的管理、物理和技术保障措施,以确保受保护电子健康信息 (PHI) 的保密性、完整性和安全性。
1.行政保障
行政保障措施的目的是找出并确定个人健康保 险的潜在风险,并采取步骤降低安全风险和漏洞。这些规定还要求安全官员制定和实施受保实体的安全规则和程序。医疗服务提供者还被要求定期评估其安全准则在满足《HIPAA 安全规则》规定的准则方面的有效性。
2.物质保障
实体保障措施包括限制未经授权对设施的实体访问,同时仍允许授权访问等问题。受保实体还被要求部署政策和程序,涵盖正确处理包含 PII 和 PHI 的电子存储数据和电子媒体。
3.技术保障
技术保障措施旨在制定正确的技术政策,确保只有经过适当授权的人才能访问数字记录和其他电子信息。这不仅包括采集、存储和管理医疗保健和医疗记录所要求的硬件、软件和服务,还包括管理访问的安全凭证和身份验证程序。
它们还包括加密和其他技术,旨在防止通过数字网络不当获取 PHI 和 ePHI。
HIPAA 违规通知规则
HHS 将数据泄露定义为《隐私规则》中不允许的、损害 PHI 安全或隐私的使用或披露。出于多方面的原因,防止外泄毫无疑问是医疗服务组织的首要任务。但是,如果确实发生了泄密事件,《HIPAA 泄密通知规则》规定,HIPAA 涵盖实体及其业务关联方必须在发生未加密 PHI 泄密事件后发出通知。
如果发生未加密的 PHI 外泄,承保实体必须将外泄情况通知受影响的个人。这种通知通常通过邮寄实物的方式发出,如果患者选择通过电子媒体接收承保实体的信件,则可以通过电子邮件发出提醒。
承保实体还必须向 HHS 部长通报违规事件,在某些情况下,可能还必须通知媒体。此外,如果外泄发生在业务关联方或由业务关联方造成,第三方业务关联方必须同样提醒受影响的个人。
HIPAA 合规性与执行
HHS 民权办公室负责监督大多数 HIPAA 涵盖实体对 HIPAA 的合规性和执行情况。由于被视为执法机构,民权办公室开展的大多数活动都是私下进行的,通常不对外公布。
合规性相关配置是《HIPAA 执行规则》的一部分,该规则涉及调查、对违规行为的潜在民事罚款以及听证程序。
HIPAA 合规性最佳实践
受保实体应采用明智的业务、技术和运营实践,确保始终完全符合 HIPAA 标准。这些步骤应包括风险评估、监控潜在异常系统活动、制定明确的角色和责任,以及发生电子健康信息数据泄露时的测试程序。
当然,建立正确的技术工具、Application 和服务是建立合适的 HIPAA 合规性框架的关键。
HHS 还提供有价值的工具,帮助承保实体了解 HIPAA 合规性的最佳实践。公民权利办公室为 HIPAA 承保实体和业务合作者制作了关于 "公认安全实践 "的视频演示。主题包括
- T关于公认安全实践的 2021 年 HITECH 修正案
- 受监管实体如何证明采用了公认的安全做法
- OCR 如何要求提供公认的安全实践证据
- 有关公认安全实践的信息资源
- OCR 对有关公认安全实践问题的答复
视频 2:OCR 认可的安全实践视频演示
对员工(从业人员、医务人员、IT 人员、网络安全人员以及所有业务一线员工)的内部培训应成为定期计划的一部分,以确保整个组织采取正确的措施保护电子健康信息和个人隐私。
HIPAA 安全规则的潜在趋势
自首次颁布以来,HIPAA 一直是一项动态立法,定期进行更新和扩展,以反映医疗保健行业的变化及其对数字技术的更多使用。承保实体的决策者必须了解和考虑的一些关键领域包括
1.强化网络安全措施
由于威胁形势不断变化,医疗保健组织应将预算、流程、专业知识和工具落实到位,以抵御快速出现的威胁。
2.新兴技术
新一代防火墙、反勒索软件工具、威胁情报服务、 云安全、身份管理、托管检测和响应、端点安全和 医疗物联网(IoMT)安全 是更广泛的网络安全技术框架的基本要素。
3.加强数据隐私和同意
医疗保健组织越来越多地承担起遵守更严格的数据隐私和同意法规的任务,如欧盟的《通用数据保护条例》(GDPR)和美国目前实施的类似法规。
4.第三方供应商管理
业务合作方--代表承保实体履行使用或披露 PHI 功能的个人或实体--也必须遵守《安全规则》。医疗服务提供者必须定期和例行监控业务合作方和其他第三方如何与 PHI 和 PII 互动,以及他们是否遵循了处理和保护这些数据的适当准则。
5.加强合作与信息共享。
正如 HIPAA 法规,特别是《安全规则》不断变化一样,确保患者数据合规性和保密性的必要步骤也在不断变化。
专业医疗保健服务的使用急剧增加,这意味着病人信息的共享频率更高,共享的系统范围更广。这增加了出现漏洞和监管问题的可能性,促使各组织寻找更多合作方式来保护患者数据,尤其是在相互关联的医疗保健提供流程中。
医院、急症护理机构、紧急护理、医生办公室、流动护理和远程医疗等护理服务的持续性多种多样,这意味着医疗服务提供者之间加强合作的趋势尤为关键。
了解 Palo Alto Networks 如何成为全球医院和医疗系统首选的网络安全领导者。请访问<https://www.paloaltonetworks.com/industry/healthcare。
HIPAA 安全规则常见问题
