健康保險(xiǎn)可攜帶性和可訪(fǎng)問(wèn)性法案( HIPAA) 是一項(xiàng)旨在保護(hù)美國(guó)境內(nèi)患者醫(yī)療信息的法規(guī)。某些有權(quán)訪(fǎng)問(wèn)受保護(hù)健康信息 (PHI) 的組織需要實(shí)施 HIPAA 法規(guī)中概述的安全控制、流程和程序。

誰(shuí)需要符合 HIPAA 標(biāo)準(zhǔn)，為什么？

HIPAA 定義了兩種需要遵守其要求的組織：

• 涵蓋實(shí)體：HIPAA 將“涵蓋實(shí)體”定義為有權(quán)訪(fǎng)問(wèn) PHI 的醫(yī)療保健組織及其員工。這包括醫(yī)生、護(hù)士和保險(xiǎn)公司。
• 商業(yè)伙伴：在 HIPAA 下，“商業(yè)伙伴”是為涉及訪(fǎng)問(wèn) PHI 的涵蓋實(shí)體提供服務(wù)的組織。例如，為醫(yī)療保健提供者處理帳單的組織可以訪(fǎng)問(wèn)患者的姓名、地址等，這些信息在 HIPAA 下受 PHI 保護(hù)。

根據(jù) HIPAA，涵蓋的實(shí)體和商業(yè)伙伴都必須遵守 HIPAA。涵蓋的實(shí)體由衛(wèi)生與公眾服務(wù)部 (HHS) 民權(quán)辦公室 (OCR) 直接監(jiān)管。HIPAA 要求通過(guò)商業(yè)伙伴與涵蓋實(shí)體的合同強(qiáng)制執(zhí)行。

但是，該法規(guī)僅適用于符合法律所涵蓋實(shí)體或商業(yè)伙伴定義的組織。其他有權(quán)訪(fǎng)問(wèn)健康信息但未從涵蓋實(shí)體接收的組織不受 HIPAA 法規(guī)的約束。例如，直接從用戶(hù)那里收集健康信息但不是醫(yī)療保健組織的健康和健身應(yīng)用程序的開(kāi)發(fā)人員不需要遵守其指令。

但是，這些組織可以從中受益。HIPAA 描述了保護(hù) PHI 的最佳實(shí)踐，遵守這些最佳實(shí)踐可以減少組織面臨網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)以及潛在數(shù)據(jù)泄露的可能性和影響。此外，在發(fā)生違規(guī)或安全事件時(shí)，遵守法規(guī)有助于證明公司進(jìn)行了盡職調(diào)查并努力保護(hù)其客戶(hù)的數(shù)據(jù)。

什么是 HIPAA 規(guī)則？

HIPAA 分為兩個(gè)主要規(guī)則：隱私規(guī)則和安全規(guī)則。除了這些規(guī)則之外，還有違反通知規(guī)則，它描述了組織應(yīng)如何報(bào)告違反 PHI 的行為，以及綜合規(guī)則，它擴(kuò)展了 HIPAA 要求以包括業(yè)務(wù)伙伴。

隱私規(guī)則。個(gè)人可識(shí)別健康信息隱私標(biāo)準(zhǔn)（隱私規(guī)則）規(guī)定醫(yī)療保健組織應(yīng)如何保護(hù)委托給他們的某些類(lèi)型的健康信息。隱私規(guī)則定義了可以訪(fǎng)問(wèn)和披露 PHI 的情況。它還定義了涵蓋實(shí)體應(yīng)采取的保護(hù) PHI 的保障措施，并賦予患者有關(guān)其 PHI 的某些權(quán)利。

安全規(guī)則。電子受保護(hù)健康信息保護(hù)安全標(biāo)準(zhǔn)（安全規(guī)則）描述了公司應(yīng)為以電子方式存儲(chǔ)或傳輸?shù)氖鼙Ｗo(hù)健康信息 (PHI) 實(shí)施的 IT 安全控制。它提供了組織必須具備的具體 IT 安全控制、流程和程序，以滿(mǎn)足隱私規(guī)則中概述的數(shù)據(jù)保護(hù)要求。

受 HIPAA 保護(hù)的數(shù)據(jù)

HIPAA 旨在保護(hù)患者向涵蓋實(shí)體及其業(yè)務(wù)伙伴提供的 PHI。HHS 定義了十八種類(lèi)型的 PHI 標(biāo)識(shí)符，包括：

1. 姓名
2. 地址
3. 關(guān)鍵日期?
4. 社會(huì)安全號(hào)碼
5. 電話(huà)號(hào)碼
6. 電子郵件地址
7. 傳真號(hào)碼
8. 健康計(jì)劃受益人號(hào)碼
9. 病歷號(hào)
10. 證書(shū)/許可證號(hào)
11. 帳號(hào)
12. 車(chē)輛標(biāo)識(shí)符、序列號(hào)或車(chē)牌號(hào)
13. 設(shè)備標(biāo)識(shí)符或序列號(hào)
14. IP地址
15. 網(wǎng)址
16. 全臉照片
17. 生物識(shí)別標(biāo)識(shí)符，例如指紋或聲紋
18. 任何其他唯一識(shí)別號(hào)碼、特征或代碼

常見(jiàn)的 HIPAA 違規(guī)

HIPAA 合規(guī)性對(duì)于涵蓋的實(shí)體是強(qiáng)制性的，這些組織可能會(huì)因不合規(guī)而受到處罰。HIPAA 定義了四級(jí)違規(guī)：

• 第 1 層：受保護(hù)實(shí)體不知道違規(guī)行為，如果受保護(hù)實(shí)體真誠(chéng)地努力遵守 HIPAA，則實(shí)際上無(wú)法防止違規(guī)行為。罰款從 100 美元到 50,000 美元不等。
• 第 2 層：涵蓋的實(shí)體知道違規(guī)行為，但鑒于善意努力遵守 HIPAA，這是無(wú)法避免的。罰款從 1,000 美元到 50,000 美元不等。
• 第 3 層：違規(guī)是由于“故意忽視”受涵蓋實(shí)體試圖糾正的 HIPAA 規(guī)則而發(fā)生的。罰款從 10,000 美元到 50,000 美元不等。
• 第 4 層：違規(guī)行為是由于“故意疏忽”而被涵蓋實(shí)體未嘗試糾正而發(fā)生的。罰款起價(jià)為 50,000 美元。

大多數(shù) HIPAA 違規(guī)包括有意或無(wú)意破壞 PHI。一些常見(jiàn)的 HIPAA 違規(guī)行為包括：

• 丟失或被盜的設(shè)備
• 勒索軟件和其他惡意軟件
• 泄露的用戶(hù)憑據(jù)
• 通過(guò)電子郵件、社交媒體等意外共享數(shù)據(jù)。
• 實(shí)體辦公室闖入
• 違反電子健康記錄 (EHR)

HIPAA 合規(guī)性清單

實(shí)現(xiàn) HIPAA 合規(guī)性是一個(gè)多步驟的過(guò)程。需要采取的一些關(guān)鍵步驟包括：

1. 確定您的合規(guī)義務(wù)：如前所述，HIPAA 適用于涵蓋的實(shí)體，并通過(guò)它們適用于其業(yè)務(wù)伙伴。根據(jù) HIPAA，涵蓋的實(shí)體被定義為醫(yī)療保健提供者、健康計(jì)劃和醫(yī)療保健票據(jù)交換所。他們的業(yè)務(wù)伙伴是與他們共享 PHI 的任何組織。
2. 了解 HIPAA 規(guī)則：HIPAA 隱私和安全規(guī)則定義了涵蓋實(shí)體或業(yè)務(wù)伙伴在 HIPAA 下的責(zé)任。了解所需的控制、政策和流程對(duì)于實(shí)現(xiàn)和保持合規(guī)性至關(guān)重要。
3. 確定合規(guī)范圍：HHS 定義了 18 種符合 PHI 且必須受 HIPAA 保護(hù)的數(shù)據(jù)類(lèi)型。確定這些類(lèi)型的數(shù)據(jù)在組織的 IT 環(huán)境中的存儲(chǔ)、處理和傳輸位置對(duì)于確定哪些系統(tǒng)和人員受 HIPAA 要求的約束至關(guān)重要。
4. 執(zhí)行差距評(píng)估：一個(gè)組織可能有一些必要的 HIPAA 控制，但其他的可能會(huì)缺失。有必要根據(jù) HIPAA 要求進(jìn)行差距評(píng)估，以確定公司在哪些方面未達(dá)到合規(guī)要求。
5. 部署缺失的控制：差距評(píng)估可以識(shí)別組織當(dāng)前不合規(guī)的地方。在確定了這些差距之后，制定并實(shí)施封閉漏洞的策略。
6. 創(chuàng)建所需的文檔：HIPAA 要求涵蓋的實(shí)體具有某些記錄在案的政策和流程。如果任何流程缺失或未記錄在案，請(qǐng)生成所需的文檔。
7. 準(zhǔn)備合規(guī)審核：通過(guò)合規(guī)審核需要能夠向?qū)徍藛T證明組織的安全控制、流程和程序符合法規(guī)要求。制定審核計(jì)劃，并在審核前收集任何所需的數(shù)據(jù)和報(bào)告。