什么是 HIPAA? 这是确保您符合 HIPAA 标准的方法

已发表: 2023-01-23

任何人都不应在健康和安全方面妥协,而这正是 HIPAA 所确保的。

健康保险流通与责任法案 (HIPAA) 于 1996 年颁布,旨在为患者提供更好的健康信息获取途径并规范其保护。 多年来,HIPAA 已经发展到创建数据泄露通知要求并确定其适用的实体。

如果您从事医疗保健工作,人们经常谈论 HIPAA,但它是什么,您如何才能满足它的要求?

什么是《健康保险流通与责任法案》?

健康保险流通与责任法案 (HIPAA) 描述了受保护健康信息 (PHI) 的正确使用和披露、应如何保护这些信息以及在发生违规时应采取的措施。 卫生与公众服务部 (HHS) 负责监管 HIPAA,而民权办公室 (OCR) 负责强制合规。

当针对医疗保健组织提出不合规投诉时,OCR 会调查该组织以确定索赔是否属实。 如果发现该组织违反了 HIPAA,则可能会处以罚款和采取纠正措施。

《健康保险流通与责任法案》的三项规则

HIPAA 法规由三个主要规则组成。 HIPAA 隐私、安全和违规通知规则为医疗保健组织提供了共享信息、保护敏感患者信息以及响应和报告违规行为的指南。

HIPAA 隐私规则

HIPAA 隐私规则主要侧重于使用和披露受保护的健康信息。 只有出于特定原因才允许使用和披露 PHI,例如治疗、支付和医疗保健。 任何其他用途或披露需要患者事先书面同意。

HIPAA 最低标准还要求限制对 PHI 的访问。 访问 PHI 的权限应仅授予工作需要的员工。 这种访问也应仅限于执行其工作职能所需的信息。

例如,行政助理可能需要访问一些患者信息来安排约会。 该员工可能需要知道患者的姓名、联系方式、保险信息,在某些情况下,还需要知道基本的程序信息以确定预约的持续时间。 他们不需要访问完整的患者档案。

您的隐私惯例通知 (NPP) 必须清楚地概述您的组织如何使用和披露患者信息。 它还应讨论患者对其信息的权利。 应向患者提供 NPP,以便在摄入时进行审查。

患者的权利(HIPAA 访问权)在隐私规则中也有详细说明。 HIPAA 访问权标准要求医疗保健提供者应要求为患者提供访问其医疗记录的权限。 请求的记录必须在请求后 30 天内提供给患者。 患者还有权在适用​​时以他们要求的格式接收他们的记录。

HIPAA 安全规则

HIPAA 安全规则要求维护 PHI 的机密性、完整性和可用性。 从本质上讲,这意味着医疗机构必须保护 PHI 的隐私,防止其未经授权被更改或破坏。 HIPAA 保障措施有助于实现最佳的数据安全性。

什么是 HIPAA 保障措施?

HIPAA 保护措施是为防止未经授权访问、使用或披露 PHI 而采取的管理、技术和物理措施。

行政保障措施是为员工提供正确使用和披露 PHI 指南的政策和程序。 他们还概述了员工的 HIPAA 培训和安全风险评估要求。

技术保障措施是保护电子 PHI (ePHI) 的措施。 技术保障的常见示例包括加密、用户身份验证、访问控制和审计控制。

  • 加密:对数据进行编码,使未经授权的实体无法读取信息。
  • 用户身份验证:为每个用户提供唯一的用户 ID 以访问您组织的网络。
  • 审计控制:允许管理员轻松监控网络上的可疑​​活动,例如用户从可疑位置访问网络或单个用户多次登录尝试失败。
  • 访问控制:允许管理员根据员工的工作角色指定对患者信息的不同访问级别。

物理安全措施(例如锁和警报系统)保护组织的物理位置。

HIPAA 违反通知规则

HIPAA 违规通知规则要求涵盖的公司和业务伙伴报告 PHI 违规行为。

并非所有事件都是违规行为。 违规的常见示例包括黑客事件、未经授权访问 PHI、向未经授权方披露 PHI、纸质记录被盗或丢失,以及未加密的便携式电子设备被盗或丢失。

例如,加密笔记本电脑被盗或丢失并不构成违规,因为信息无法访问。 如果膝上型电脑上的信息不安全并且可以被未经授权的人访问,那就是违规行为。

必须报告患者数据泄露。 违规组织必须在发现事件后 60 天内以书面形式通知受影响的患者。 组织还必须向卫生与公众服务部 (HHS) 报告违规行为。

如果事件影响不到 500 名患者,则组织有最多 60 天的时间在日历年结束后向 HHS 报告。 如果事件影响 500 名或更多患者,组织必须在发现后 30 天向 HHS 报告。 影响 500 名或更多患者的违规行为也必须向媒体报告。

HIPAA 保护哪些信息?

HIPAA 保护患者信息,即受保护的健康信息 (PHI)。 PHI 被定义为与过去、现在或将来提供的医疗保健相关的任何个人可识别健康信息。

受电子保护的健康信息 (ePHI) 是以电子格式存储的 PHI,例如笔记本电脑或电子健康记录平台。 ePHI 也必须受到 HIPAA 的保护。

18 个 HIPAA 标识符

美国卫生与公众服务部 (HHS) 将受保护的健康信息分为 18 个唯一标识符。 如果这 18 个标识符中的每一个都与医疗保健服务的提供相关联,则它们都被视为 PHI。

18 个 HIPAA 标识符

资料来源:合规组

以下是 18 个 HIPAA 标识符:

  1. 患者姓名
  2. 地理元素,例如街道地址、城市、县或邮政编码
  3. 与个人健康或身份相关的日期,包括出生日期、入院日期、出院日期、死亡日期或 89 岁以上患者的确切年龄
  4. 电话号码
  5. 传真号码
  6. 电子邮件地址
  7. 社会安全号码
  8. 病历编号
  9. 健康保险受益人号码
  10. 账号
  11. 证书或执照号码
  12. 车辆标识符
  13. 设备属性或序列号
  14. 数字标识符,例如网站 URL
  15. IP地址
  16. 生物识别元素,包括手指、视网膜和声纹
  17. 全脸摄影图像
  18. 其他识别号码或代码

谁需要符合 HIPAA 标准?

一个常见的误解是 HIPAA 在访问或披露健康信息时适用。 虽然 HIPAA 限制 PHI 的使用和披露,但 HIPAA 仅适用于涉及治疗、支付或医疗保健运营的组织。 这些组织被称为“涵盖实体”和“业务伙伴”。

有可能访问 PHI 或 ePHI 的组织必须符合 HIPAA。

涵盖的实体

涵盖的实体包括医疗保健提供者、保险公司和票据交换所。 医生、牙医、心理健康专家、脊椎指压治疗师和健康保险提供者都属于受保实体。

商业伙伴

商业伙伴是与可能有权访问 PHI 的涵盖实体签约的供应商。 电子健康记录 (EHR) 平台、电子邮件服务提供商、在线预约安排程序和托管服务提供商是业务伙伴的常见示例。

如何符合 HIPAA 标准

HIPAA 合规涉及几个步骤。 这是通过或失败。 你顺从,或者你不顺从。 您需要满足每个步骤的要求才能符合 HIPAA,并每年完成其中一些要求。

hipaa合规性

资料来源:合规组

进行安全风险评估,找出差距,并纳入补救计划

安全风险评估 (SRA) 对于满足您的 HIPAA 要求至关重要。 要符合 HIPAA,您必须每年完成一次 HIPAA 安全风险评估。 这是因为 SRA 会根据 HIPAA 标准衡量您当前的保护措施。 当您当前的工作不足以满足 HIPAA 标准时,就会出现差距。

“差距”是指可能导致违反 HIPAA 的缺陷。 这就是补救计划发挥作用的地方。 补救计划创建可操作的步骤来缩小合规性差距。 为了有效,补救计划必须具体,包括将采取什么措施来缩小差距、谁负责补救以及补救的时间表。

实施政策和程序

政策和程序的设计必须考虑到 HIPAA 的三个规则。 政策和程序应适应组织的类型和规模,并每年进行审查和更新以使其有效。

政策和程序概述:

  • 您的组织和员工对 PHI 的正确使用和披露
  • 您的组织如何保护 PHI
  • 发生违规或涉嫌违规时该怎么办

过去,组织使用 HIPAA 手册来制定政策和程序。 但是,由于 HIPAA 手册开箱即用,它们无法解决您的组织运作方式的细微差别。

适用于小型医疗实践的政策和程序可能对大型医院集团无效,就像为涵盖实体编写的政策和程序可能不适用于业务伙伴一样。

对员工进行 HIPAA 培训

有可能访问 PHI 或 ePHI 的员工需要每年接受培训。 培训应包括 HIPAA 最佳实践、贵组织的政策和程序概述以及网络安全最佳实践。

HIPAA 建议员工在被雇用时就应该接受培训,因此每年举办一次培训课程是不够的。 灵活的 HIPAA 员工培训计划对于满足培训需求至关重要。

使用在线培训工具是实现这一目标的最佳方式。 通过在线培训计划,可以在需要时为员工分配培训,按照自己的进度完成培训,管理员可以跟踪员工的进度。

提示:使用独立的 HIPAA 培训计划可以帮助您满足一些 HIPAA 培训要求,但请确保员工也接受了有关您组织的政策和程序的培训。

签署业务伙伴协议

HIPAA 业务伙伴协议 (HIPAA BAAs) 是必须在涵盖实体与其业务伙伴(或两个业务伙伴之间)之间签署的法律合同。 在交换 PHI 或 ePHI 之前,应签署 HIPAA BAA。 并非每个供应商都愿意或能够充当业务伙伴; 如果提供商未签署 BAA,则无法履行任何业务伙伴职责。

假设您正在寻找一个允许患者自行预约的在线预约安排程序。 您找到了满足您的管理需求的供应商,但它不想签署附属协议。 在他们签署 BAA 之前,您不能与该提供者就患者安排签订合同。

事件管理和响应

HIPAA 合规性的一部分是实施经过测试的事件响应计划。 您可以使用事件响应计划快速识别、响应和报告事件。 具有经过测试的事件响应计划的组织可以显着减少从事件中恢复所需的时间,同时降低成本。

HIPAA 违规和罚款

虽然许多违规行为会导致违反 HIPAA,但违规行为本身绝不是公司被罚款的原因。 当组织未能遵守 HIPAA 标准时,就会违反 HIPAA。 根据违规的严重程度,可能会处以 HIPAA 罚款。

违反hipaa

资料来源:合规组

违反 HIPAA 的常见示例包括未能:

  • 进行准确和彻底的风险评估
  • 为患者提供及时访问他们的医疗记录
  • 正确回应在线患者评论
  • 与商业伙伴签署商业伙伴协议
  • 妥善处理患者病历

那么,什么时候组织会因违规而被罚款?

HIPAA 罚款是根据感知到的疏忽程度发出的。

  • 第 1 层是针对最不严重的违规行为。 当因涉及的实体或业务伙伴不知道其违反规则而发生 HIPAA 违规时,将实施第 1 级处罚。 要符合第 1 级处罚的条件,违规行为还必须是如果组织使用合理的努力来遵守 HIPAA 就无法避免的违规行为。 每次违规罚款从 120 美元到 60,226 美元不等。
  • 当涉及的实体或业务伙伴知道所犯的违规行为时,就会发生第 2 层违规。 要符合第 2 级违规的条件,该违规是即使采取合理的谨慎措施也可以避免的违规行为。 这一级别的罚款从每次违规 12,045 美元到 60,226 美元不等。
  • 第 3 级违规被认为比第 1 级或第 2 级更严重,并且会受到更昂贵的罚款。 第 3 层违规源于故意忽视 HIPAA。 要被视为第 3 层违规者,组织应该知道它在进行尽职调查时违反了 HIPAA。 这些违规行为必须在 30 天内得到纠正,才有资格成为第 3 级违规行为。 此级别的罚款范围从每次违规 1,205 美元到 12,045 美元不等。
  • 第 4 层违规涉及故意忽视 HIPAA 规则。 当涉及的实体或业务伙伴未尝试纠正违规行为时,OCR 会实施第 4 级处罚。 这个级别的罚款从每次违规 60,226 美元到 1,806,757 美元不等。

发现违反 HIPAA 的组织通常会受到 OCR 监控和纠正措施。 当组织发现缺陷时,OCR 在完成 HIPAA 违规调查后制定纠正措施计划。 它们旨在通过使组织的合规计划与 HIPAA 标准保持一致来防止进一步的违规和事件。

保持合规; 保持安全

健康保险流通与责任法案应该是任何涉及医疗保健的组织(涵盖的实体或业务伙伴)的首要任务。 简而言之,要从事医疗保健工作,您必须符合 HIPAA 标准。

如果没有 HIPAA,患者数据很容易受到未经授权的使用和披露。 当发生违规时,患者不仅对组织保护其机密信息的能力失去信心,而且还可能导致违反 HIPAA 和巨额罚款。

通过实施符合所有 HIPAA 标准的有效 HIPAA 合规计划,您可以改善整体安全状况并降低违规和违规的可能性。

患者现在更加了解 HIPAA 及其权利。 HIPAA 合规性让他们高枕无忧,因为他们可以信任您提供他们的敏感信息。

隐私管理不会以获得一种类型的合规性而结束。 了解有关数据隐私管理和确保组织安全的所有信息。