由于廣泛的協(xié)議失敗和安全措施不足，民權(quán)辦公室 (OCR)對醫(yī)療保健部門實施了重大的 HIPAA 處罰。一些問題，例如松懈的安全政策、被忽視的風(fēng)險評估審計、內(nèi)部人為錯誤以及 HIPAA 培訓(xùn)人員短缺，可能導(dǎo)致患者數(shù)據(jù)和敏感醫(yī)療信息的丟失、黑客攻擊或被盜。

一半以上的醫(yī)療辦公室工作人員需要了解 HIPAA 要求。本文將涵蓋最常見的 HIPAA 違規(guī)行為、潛在罰款、網(wǎng)絡(luò)安全風(fēng)險降低策略和HIPAA 合規(guī)解決方案。

如何實施 HIPAA 合規(guī)性？

1996 年健康保險流通與責(zé)任法案 (HIPAA)在美國被納入聯(lián)邦法律。其主要目標(biāo)是打擊醫(yī)療保健和健康保險交付中的浪費、欺詐和濫用行為。必須實施隱私、安全和違規(guī)通知規(guī)則才能實現(xiàn)這些目標(biāo)。

• 考慮通過限制每個人可以存入稅前賬戶的金額來使用醫(yī)療儲蓄賬戶。
• 描述雇主的稅收減免和其他應(yīng)納稅收入來源。
• 增加健康保險的可攜帶性和連續(xù)性。當(dāng)一個人換工作時，他們的保險范圍仍然可以轉(zhuǎn)移。
• 增加長期護理服務(wù)的可用性和覆蓋面。這也適用于已有疾病的人。

常見的 HIPAA 違規(guī)因素

下面給出了一些違反 HIPAA 的因素；

不當(dāng)記錄處理

考慮任何此類數(shù)據(jù)位于垃圾箱或計算機的最近文件夾中的可能性。在這種情況下，它可能會落入壞人之手，這將嚴(yán)重違反 HIPAA。正確處置 PHI 記錄是要強制執(zhí)行的關(guān)鍵做法之一。員工必須意識到，任何包含 PHI 的數(shù)據(jù)，如社會安全號碼、醫(yī)療診斷和醫(yī)療程序，都必須從硬盤驅(qū)動器中刪除或擦除。

黑客攻擊

黑客攻擊是目前醫(yī)療保健數(shù)據(jù)泄露的最常見原因。醫(yī)療 ePHI極易受到黑客攻擊，許多人希望將此信息用于邪惡目的。因此，醫(yī)療機構(gòu)必須確保其數(shù)據(jù)免受黑客攻擊。

惡意軟件和勒索軟件

電子郵件或單擊損壞文件中的可疑鏈接是稱為勒索軟件的危險病毒傳播的兩種方式。此類惡意軟件不僅可能抹殺關(guān)鍵數(shù)據(jù)，還可能導(dǎo)致整個系統(tǒng)癱瘓，后果不堪設(shè)想。該警告通常會告知企業(yè)，如果不支付一定的費用，則設(shè)備甚至整個網(wǎng)絡(luò)獲得的所有數(shù)據(jù)都將被刪除或向公眾開放。即使在付款后，也無法保證它能取回其數(shù)據(jù)。

通過避免 HIPAA 違規(guī)來保護數(shù)據(jù)管理的幾個步驟

以下是通過避免違反 HIPAA來確保數(shù)據(jù)安全的幾個步驟；

1.定期進行風(fēng)險分析

導(dǎo)致違反 HIPAA 的危險包括損害個人聲譽、紀(jì)律處分和其他不利結(jié)果。定期風(fēng)險分析可以發(fā)現(xiàn)醫(yī)療保健組織中的安全漏洞或薄弱環(huán)節(jié)、員工之間的知識差距、供應(yīng)商和合作伙伴的安全狀況問題以及其他關(guān)注領(lǐng)域。識別和減輕醫(yī)療保健組織中的潛在風(fēng)險以主動識別和減輕潛在風(fēng)險可以幫助醫(yī)療保健提供者及其業(yè)務(wù)合作伙伴避免代價高昂的數(shù)據(jù)泄露。

2.提高醫(yī)務(wù)人員的技能

人為錯誤是任何行業(yè)中最大的安全風(fēng)險之一，但在醫(yī)療保健領(lǐng)域尤為嚴(yán)重。人為錯誤或疏忽可能對醫(yī)療保健設(shè)施造成不利影響和代價高昂。安全意識培訓(xùn)為處理患者數(shù)據(jù)的醫(yī)療保健專業(yè)人員提供了做出明智決策和謹慎行事所需的知識。

3.智能手機設(shè)備安全

醫(yī)療保健提供商和承保企業(yè)越來越依賴移動設(shè)備開展業(yè)務(wù)，無論是醫(yī)生使用智能手機獲取信息以幫助他們治療患者，還是行政助理提交保險索賠。移動設(shè)備安全需要各種安全預(yù)防措施，例如：

• 數(shù)據(jù)加密應(yīng)用程序、設(shè)置和配置都在控制之中。
• 需要安裝移動安全軟件，例如移動設(shè)備管理應(yīng)用程序。允許遠程設(shè)備鎖定和刪除丟失或被盜的物品。
• 用戶的設(shè)備必須安裝最新的操作系統(tǒng)和軟件版本。
• 檢查電子郵件帳戶和附件是否存在惡意軟件感染或未經(jīng)授權(quán)的數(shù)據(jù)竊取將提高對適當(dāng)?shù)囊苿釉O(shè)備安全措施的認識。
• 制定政策或允許上市程序以保證只有符合標(biāo)準(zhǔn)或經(jīng)過預(yù)先審查的程序才能安裝，這也是服務(wù)器與數(shù)據(jù)中心之間的一個很大區(qū)別。

4.使用日志記錄和監(jiān)控

供應(yīng)商和業(yè)務(wù)合作伙伴必須跟蹤誰在何時何地從何種設(shè)備訪問了何種數(shù)據(jù)、應(yīng)用程序和其他資源。這些數(shù)據(jù)可用于審計、協(xié)助公司識別問題區(qū)域以及根據(jù)需要加強安全協(xié)議。

5.設(shè)置數(shù)據(jù)使用限制

數(shù)據(jù)發(fā)現(xiàn)和分類對于確保敏感材料被識別和適當(dāng)標(biāo)記至關(guān)重要。數(shù)據(jù)控制是醫(yī)療保健組織可以用來停止涉及敏感數(shù)據(jù)的過程的工具，例如網(wǎng)絡(luò)上傳、未經(jīng)授權(quán)的電子郵件發(fā)送、復(fù)制到外部設(shè)備或打印。保護性數(shù)據(jù)控制超越了訪問控制和監(jiān)控的優(yōu)勢，以確保實時發(fā)現(xiàn)和阻止?jié)撛谟泻驉阂鈹?shù)據(jù)活動。

6.應(yīng)用程序和數(shù)據(jù)的訪問限制

訪問限制通過將對患者數(shù)據(jù)和特定應(yīng)用程序的訪問限制在需要其履行職責(zé)的人員范圍內(nèi)來提高醫(yī)療保健數(shù)據(jù)的安全性。多因素身份驗證是一種建議的方法，它要求用戶確認他們有權(quán)使用兩種或多種驗證方法訪問特定數(shù)據(jù)和應(yīng)用程序。密碼和 PIN 是僅用戶知道的數(shù)據(jù)示例。

7.降低連接設(shè)備的風(fēng)險

當(dāng)您想到移動設(shè)備時，就會想到智能手機和平板電腦。但隨著物聯(lián)網(wǎng) (IoT) 的發(fā)展，聯(lián)網(wǎng)設(shè)備的形狀和尺寸各不相同。醫(yī)療保健行業(yè)的一切都有可能聯(lián)網(wǎng)，從血壓計等醫(yī)療設(shè)備到用于檢查設(shè)施物理安全的攝像頭。為確保足夠的連接設(shè)備安全性，請執(zhí)行以下步驟：

• 留意 IoT 設(shè)備網(wǎng)絡(luò)上活動水平的任何異常變化，這些變化可能是違規(guī)的跡象。在使用非必要服務(wù)之前，請禁用或完全從設(shè)備中刪除它們。
• 通過維護所有已連接設(shè)備的最新版本來確保應(yīng)用所有補丁。
• 在其網(wǎng)絡(luò)上維護物聯(lián)網(wǎng) (IoT) 設(shè)備，并在必要時采用強大的多因素身份驗證。

最后的話

許多違反 HIPAA 的最普遍原因是員工缺乏 HIPAA 培訓(xùn)。因此，定期對工作人員進行 HIPAA 培訓(xùn)并不斷提醒每個人遵守規(guī)則勢在必行。同樣，醫(yī)療保健組織和提供商必須與第三方解決方案簽署合作協(xié)議以確保數(shù)據(jù)機密性。