HIPAA 是製定患者信息保護規則的法律法案。它使醫療保健患者可以控制他們的敏感信息並依賴需要實施標準化患者隱私和安全結構的組織。但是,儘管它已經存在了很長一段時間,但它的規則、要求和安全標準並不是很多人所熟悉的。繼續閱讀此頁面並獲取有關 HIPAA 合規性規則、違規處罰和HIPAA 清單中其他重要詳細信息的所有信息。
HIPAA 隱私和HIPAA 安全規則
起草《健康保險流通與責任法案》的首要目的是使個人身份醫療保健信息的電子傳輸、維護和保護方式現代化。它於 1996 年通過,此後一直是每個醫療保健合規性審核清單的關鍵標準。作為一項技術中立的法律,HIPAA 在其存在期間已經過時了,並且儘管在過去二十年中互聯網帶來了快速發展,但仍然沒有改變。 HIPAA 的核心是一項由規則組成的法律行為,這些規則設定了主要的合規要求。該法案中包含的兩個最重要的規則是HIPAA 安全規則和隱私規則。
什麼是HIPAA 安全規則?
HIPAA 安全規則於 1998年首次引入,自首次批准以來經歷了多次修訂。當它最初起草時,現代智能手機還沒有上市,而第一個社交媒體平台剛剛出現在互聯網上。考慮到這一點, HIPAA 風險評估清單進行重大更新以跟上不斷發展的社會是可以理解的。儘管如此,多年來,第一條 HIPAA 安全規則中使用的大部分原始語言幾乎保持不變。
什麼是 HIPAA 隱私規則?
隱私規則於 2003 年首次頒布。與設定基本安全標準的HIPAA 安全規則不同,隱私規則對未經患者授權使用敏感患者信息設定了具體限制。隱私規則是 HIPAA 的重要組成部分,因為其主要目的之一是保證患者有權獲得其健康記錄的副本並要求進行任何必要的更正。它在聯邦登記處有 400 多頁,在HIPAA 風險評估清單上名列前茅。
HIPAA 適用於哪些人?
HIPAA 適用於所有醫療保健提供者、健康計劃和醫療保健信息中心,前提是這些組織通過交易以電子方式發送健康信息。為了全面了解這三個類別中的每個人和所有內容,讓我們更詳細地檢查每個類別:
- 醫療保健提供者——醫院、診所、醫生、牙醫、療養院、藥房、心理學家和脊椎按摩師。
- 健康計劃——HMO、公司健康計劃、政府計劃(即 Medicare、Medicaid)、健康保險和退伍軍人健康計劃。
- 醫療保健信息中心——為醫療保健組織處理非標準健康信息的實體。
任何屬於上述類別之一的組織都必須遵守 HIPAA 合規性規則清單。不遵守HIPAA 清單的涵蓋實體可能面臨嚴厲的經濟和刑事處罰,最高可達 250,000 美元和十年監禁。
綜上所述,有必要記住並非所有醫療保健組織都需要滿足 HIPAA 合規性。該法案僅適用於為 HHS 已採用標準的交易傳輸受保護健康信息的組織。這是 HIPAA 的一個重要方面,所有患者在共享任何敏感的健康和個人數據之前都應了解這一點。
HIPAA 違規通知規則待辦事項
詳細的HIPAA 清單包括發生此類情況時涵蓋的實體必須滿足的準確違規通知要求。該列表包括以下操作:
- 個人通知——公司必須在發現信息保護不力的違規行為後通知所有受影響的個人。這些通知必須在發現違規行為後 60 天內發出,不得無故拖延。個人通知還提出了一組用戶保護選項,包括免費電話,個人可以通過免費電話獲得有用的信息和建議,了解如何避免任何進一步的潛在傷害。
- 媒體通知——涉及的實體如果面臨影響單個司法管轄區或州的 500 多名居民的違規行為,還必須向在該司法管轄區或州運營的知名媒體機構發出通知。與之前的通知一樣,媒體通知必須在合理期限內提供,不得遲於 60 天。
- 通知秘書——除了前兩個通知待辦事項要求外,受保護的實體還必須將違反不安全的受保護健康信息的行為通知秘書。如果違規影響超過 500 人,則相關實體必須在 60 天內通知部長。但是,如果違規影響的個人少於 500 人,則相關實體可以每年通知部長一次。
HIPAA 合規要求
我們已經確定,《健康保險流通與責任法案》準確定義了敏感患者信息的保護標準。除了HIPAA 安全規則和隱私規則外,HIPAA 還制定了一套關於以電子形式保存或傳輸的特定患者數據的安全指南。自然地,此類標準具有物理、技術和管理安全性,每家公司都必須遵循這些標準才能符合 HIPAA 標準。
技術標準
根據 HIPAA 提供的官方信息,技術標準是為保護和管理對敏感患者數據的訪問而製定的技術和政策。換句話說,它要求所涵蓋的實體實施每一項和任何必要的措施,以使其能夠維持合理和適當的安全標準。立法者有意強調該標準的“合理和適當”部分,因為它允許每個衛生組織根據其數據庫、預算和數據本身的複雜性建立安全機制。
物理標準
物理防護措施包括保護電子系統免受未經授權的物理入侵、環境和自然危害的所有物理措施、程序和政策。它涉及從公司辦公室到單獨的物理存儲或包含需要適當存儲的敏感信息的員工設備的所有內容。雖然它們不像技術和管理安全標準那樣複雜,但物理保護措施是每個組織都應該採取的必要安全措施。
行政標準
正如技術保障措施保護對敏感信息的控制和管理訪問一樣,行政保障措施也已到位,以管理與保護上述信息有關的組織員工。這意味著每個涵蓋的實體都必須實施指導方針和政策,以幫助員工正確使用和管理健康信息。對此稍作擴展,行政標準規定每個組織都必須充分實現和監督責任委派、員工培訓要求,並記錄所有決策。
如何獲得 HIPAA 合規性
事實上,沒有具體的內部提示可以幫助公司在不進行所有必要工作的情況下通過HIPAA 審計清單。 HIPAA 合規性要求涵蓋的實體(公司)確保受保護健康信息的最大機密性、完整性和可用性,並根據 HIPAA 清單制定保護程序和政策。
為實現HIPAA 合規性,公司必須研究並應用 HIPAA 115 頁中濃縮的每條規則。由於這種深入的程序會對大多數提供商產生令人沮喪的影響,因此大多數公司決定與第三方HIPAA IT 合規公司合作,以幫助他們適當地實施所有必需的政策。
Hideez Enterprise Solution for Healthcare 是符合 HIPAA 標準的簡單步驟。它消除了網絡釣魚攻擊的風險,對憑證進行加密,並使它們對員工不可見,從而保護您免遭意外洩露。 Hideez解決方案可實現無縫的計算機近距離鎖定和解鎖,這在多台共享計算機的環境中尤其有用。
如何保持 HIPAA 合規性
只需進行簡單的在線搜索,您就可以找到許多關於如何遵守 HIPAA 制定的法規的結果。不用說,並非所有這些都可以保證您將通過HIPAA 合規報告並保持HIPAA 合規狀態。話雖如此,以下是執行的三種萬無一失的方法:
- 定期風險分析
- 詳細的合規文檔
- 訓練有素的員工
違反HIPAA 合規性法律
現在我們了解了基本的 HIPAA 合規性規則以及為保持合規性而實施的最重要措施,讓我們來看看違反HIPAA 合規性的一些最常見原因。違反HIPAA 合規數據規則的可能性有數百種,但最常見的是:
- 未能執行全公司範圍的風險分析
- 未能管理安全風險
- 窺探私人醫療記錄
- 受保護健康信息的披露
- 拒絕個人訪問他們的健康記錄
- 未能記錄合規工作
- 未能提供足夠的 HIPAA 培訓
當然,為了完全透明,我們不得不提到一些 HIPAA 隱私合規性違規來自意外違規。
儘管如此,無知和意外犯罪仍然需要對公司採取某些糾正措施,儘管可能不會受到任何重大經濟處罰。此外,我們還想指出 HIPAA 不會優先於州法律。出現這種情況的唯一例外是州法規弱於HIPAA 清單上的法規的情況。