博客

合规与安全

遵守HIPAA安全规则要求的步骤

2019年3月5日,

肯·林奇

医疗保健的HIPAA合规性

人民健康信息安全问题一直是国内外关注的热点问题。如果敏感的医疗保健信息最终落入坏人之手,人们的隐私可能受到许多不同方式的影响。

HIPAA代表《健康保险可携带性和责任法案》,该法案旨在定义保护人们健康信息的参数。该立法规定了应保护的信息类型,以及确定符合HIPAA要求的具体参数。

简言之,许多不同类型的企业都需要遵守HIPAA直接或间接接触健康信息时。

合规性包括满足HIPAA保障措施的必要规定、进行风险评估和实施持续的风险管理流程。

什么是HIPAA安全规则?

HIPAA最初成立于1996年,目的是保护换工作人员的个人健康信息。由于雇主和许多其他企业都要处理敏感的医疗数据,因此很早就有必要时刻保持这些数据的安全。

这些HIPAA保障措施最终演变为安全规则,涵盖医疗保健数据的访问、通信和存储。该法明确将个人医疗保健信息(PHI)定义为与个人有关的健康状况、提供医疗保健服务和支付此类服务的任何信息。

HIPAA安全规则要求处理PHI的任何实体在以下方面符合要求:

  • 行政保障–政策和程序
  • 物理安全措施—数据存储的访问控制
  • 技术保障措施–传输PHI的通信系统

由于HIPAA实施了新的指导方针,几乎任何接触到个人医疗保健信息的组织,无论是在线的还是纸质的,需要确保它们符合HIPAA要求。

这包括医疗保健提供商、医疗保健组织的软件提供商、与符合hipaa的企业合作的审计公司,甚至为处理PHI的公司提供服务的支付处理公司。

遵守HIPAA安全规则的范围很广,不仅包括医疗保健公司,还包括这些公司的所有第三方供应商。这是必要的,因为只要系统中有一个薄弱环节,整个链就会暴露在数据泄露的危险之下。

为什么遵守安全规则要求很重要

遵守HIPAA并不仅仅是对企业的额外要求;这是操作上的必要条件。

卫生及公众服务部(美国卫生和公众服务部)有一个专门的部门帮助执行HIPAA合规性。近年来,卫生信息技术促进经济和临床卫生法案(高科技的)使HIPAA合规性对企业更为重要。

总体目标是保护个人健康信息,违反HIPAA要求可能导致巨额罚款和可能的监禁。

HIPAA的规定已经在综合法案下被合并,该法案还包括HITECH提出的要求。

如果您需要更好的培训来帮助员工遵守HIPAA安全规则和其他法规,BizLibrary可以为您提供帮助。看看这个视频预览和了解有关我们为医疗保健组织提供的在线培训库的更多信息。

持续监测HIPAA安全规则保障措施

遵守HIPAA安全规则有三大支柱——行政、物理和技术保障。

根据行政指导方针,处理PHI的企业需要建立一个风险评估计划,然后是一个风险管理计划。风险评估包括分析系统每天面临的风险。

HIPAA遵从性的中心支柱非常重要,因为它决定了整个安全计划向前推进时您将遵循的实现框架。

换句话说,您为符合HIPAA要求而制定的政策和程序将影响信息安全计划的所有其他要素。

作为HIPAA合规性一部分的风险分析

风险分析(作为风险评估框架的一部分)包括评估风险发生的可能性,以及风险对个人健康信息的影响。

鉴于这些风险,下一步应该包括实现将解决您面临的风险的安全措施,然后将这些措施作为建立符合HIPAA安全规则的正式流程的一部分进行记录。

在识别并解决所有风险因素后,风险分析的最后一步将涉及维护持续的安全保护计划。

对个人健康信息的网络安全威胁每天都在不断发展。

攻击者经常会回顾他们的策略,并想出创新的方法来破坏您的安全系统因为员工没有意识到威胁而犯下的错误。

为了保持和保持合规性,您需要一个持续的风险分析计划。这包括定期审查您的记录,并评估所有安全措施的有效性。

持续遵守安全规则使风险管理更容易

风险管理的一个重要组成部分是持续监控和合规。风险管理将主要涉及定期监控您的安全环境,并在任何紧急威胁之前领先一步。

为什么持续遵守HIPAA安全规则很重要?

它使您能够实时了解您的安全实践,因此您可以随时准备应对新的风险。

您不仅能够及时发现风险,还能够实施有效的响应,最大限度地减少停机时间并确保PHI安全。

持续的法规遵从性还使您更容易保护电子PHI免受未经授权的篡改。HIPAA合规指南要求所有受保实体都有完整性控制,其中规定敏感健康信息不应被更改、篡改或销毁。

持续遵从比持续监控更有效。

这是因为监视可能会显示您在安全框架的某个特定领域(例如更新安全补丁)存在滞后,但这并不意味着您将采取积极的步骤来解决问题。

另一方面,持续合规涉及通过立即解决系统中的任何缺陷来维护HIPAA保障措施。

制定持续HIPAA审计行动计划

虽然您可能符合HIPAA的安全规则的所有要求,但您需要建立一种方法来证明这种遵从性。

可通过持续审计计划来证明合规性。这样的计划应该包括证明您发现了各种风险并实施了缓解这些风险的步骤的文档。

审计也可以用于内部和外部,在任何给定的时间提供遵从性的证明。

要执行有效的审核,您需要自动化工具来帮助您在持续监控计划和相关文档之间建立联系。这一联系全面概述了您的所有监控和法规遵从性工作。

适当的自动化工具提供的好处将使您走上更快、更有效的监视实践的道路。寻找具有控制管理功能、记录保存平台和简化工作流程的自动化工具。

向员工提供HIPAA培训并准确跟踪审核是否是一件痛苦的事情?BizLibrary的在线解决方案简化了整个过程,使交付、跟踪,甚至审计培训完全无痛。

肯•林奇是一位企业软件创业老手,他一直着迷于是什么驱使员工工作以及如何使工作更具吸引力。肯创立互惠去追求它。他推动了互惠的成功,这个基于使命的目标是让员工参与公司的治理、风险和合规目标,以创造更多有社会意识的企业公民。Ken在麻省理工学院获得计算机科学和电气工程学士学位。