什麼是 HIPAA? 這是確保您符合 HIPAA 標準的方法

已發表: 2023-01-23

任何人都不應在健康和安全方面妥協,而這正是 HIPAA 所確保的。

健康保險流通與責任法案 (HIPAA) 於 1996 年頒布,旨在為患者提供更好的健康信息獲取途徑並規範其保護。 多年來,HIPAA 已經發展到創建數據洩露通知要求並確定其適用的實體。

如果您從事醫療保健工作,人們經常談論 HIPAA,但它是什麼,您如何才能滿足它的要求?

什麼是《健康保險流通與責任法案》?

健康保險流通與責任法案 (HIPAA) 描述了受保護健康信息 (PHI) 的正確使用和披露、應如何保護這些信息以及在發生違規時應採取的措施。 衛生與公眾服務部 (HHS) 負責監管 HIPAA,而民權辦公室 (OCR) 負責強制合規。

當針對醫療保健組織提出不合規投訴時,OCR 會調查該組織以確定索賠是否屬實。 如果發現該組織違反了 HIPAA,則可能會處以罰款和採取糾正措施。

《健康保險流通與責任法案》的三項規則

HIPAA 法規由三個主要規則組成。 HIPAA 隱私、安全和違規通知規則為醫療保健組織提供了共享信息、保護敏感患者信息以及響應和報告違規行為的指南。

HIPAA 隱私規則

HIPAA 隱私規則主要側重於使用和披露受保護的健康信息。 只有出於特定原因才允許使用和披露 PHI,例如治療、支付和醫療保健。 任何其他用途或披露需要患者事先書面同意。

HIPAA 最低標準還要求限制對 PHI 的訪問。 訪問 PHI 的權限應僅授予工作需要的員工。 這種訪問也應僅限於執行其工作職能所需的信息。

例如,行政助理可能需要訪問一些患者信息來安排約會。 該員工可能需要知道患者的姓名、聯繫方式、保險信息,在某些情況下,還需要知道基本的程序信息以確定預約的持續時間。 他們不需要訪問完整的患者檔案。

您的隱私慣例通知 (NPP) 必須清楚地概述您的組織如何使用和披露患者信息。 它還應討論患者對其信息的權利。 應向患者提供 NPP,以便在攝入時進行審查。

患者的權利(HIPAA 訪問權)在隱私規則中也有詳細說明。 HIPAA 訪問權標準要求醫療保健提供者應要求為患者提供訪問其醫療記錄的權限。 請求的記錄必須在請求後 30 天內提供給患者。 患者還有權在適用時以他們要求的格式接收他們的記錄。

HIPAA 安全規則

HIPAA 安全規則要求維護 PHI 的機密性、完整性和可用性。 從本質上講,這意味著醫療機構必須保護 PHI 的隱私,防止其未經授權被更改或破壞。 HIPAA 保障措施有助於實現最佳的數據安全性。

什麼是 HIPAA 保障措施?

HIPAA 保護措施是為防止未經授權訪問、使用或披露 PHI 而採取的管理、技術和物理措施。

行政保障措施是為員工提供正確使用和披露 PHI 指南的政策和程序。 他們還概述了員工的 HIPAA 培訓和安全風險評估要求。

技術保障措施是保護電子 PHI (ePHI) 的措施。 技術保障的常見示例包括加密、用戶身份驗證、訪問控制和審計控制。

  • 加密:對數據進行編碼,使未經授權的實體無法讀取信息。
  • 用戶身份驗證:為每個用戶提供唯一的用戶 ID 以訪問您組織的網絡。
  • 審計控制:允許管理員輕鬆監控網絡上的可疑活動,例如用戶從可疑位置訪問網絡或單個用戶多次登錄嘗試失敗。
  • 訪問控制:允許管理員根據員工的工作角色指定對患者信息的不同訪問級別。

物理安全措施(例如鎖和警報系統)保護組織的物理位置。

HIPAA 違反通知規則

HIPAA 違規通知規則要求涵蓋的公司和業務夥伴報告 PHI 違規行為。

並非所有事件都是違規行為。 違規的常見示例包括黑客事件、未經授權訪問 PHI、向未經授權方披露 PHI、紙質記錄被盜或丟失,以及未加密的便攜式電子設備被盜或丟失。

例如,加密筆記本電腦被盜或丟失並不構成違規,因為信息無法訪問。 如果膝上型電腦上的信息不安全並且可以被未經授權的人訪問,那就是違規行為。

必須報告患者數據洩露。 違規組織必須在發現事件後 60 天內以書面形式通知受影響的患者。 組織還必須向衛生與公眾服務部 (HHS) 報告違規行為。

如果事件影響不到 500 名患者,則組織有最多 60 天的時間在日曆年結束後向 HHS 報告。 如果事件影響 500 名或更多患者,組織必須在發現後 30 天向 HHS 報告。 影響 500 名或更多患者的違規行為也必須向媒體報告。

HIPAA 保護哪些信息?

HIPAA 保護患者信息,即受保護的健康信息 (PHI)。 PHI 被定義為與過去、現在或將來提供的醫療保健相關的任何個人可識別健康信息。

受電子保護的健康信息 (ePHI) 是以電子格式存儲的 PHI,例如筆記本電腦或電子健康記錄平台。 ePHI 也必須受到 HIPAA 的保護。

18 個 HIPAA 標識符

美國衛生與公眾服務部 (HHS) 將受保護的健康信息分為 18 個唯一標識符。 如果這 18 個標識符中的每一個都與醫療保健服務的提供相關聯,則它們都被視為 PHI。

18 個 HIPAA 標識符

資料來源:合規組

以下是 18 個 HIPAA 標識符:

  1. 患者姓名
  2. 地理元素,例如街道地址、城市、縣或郵政編碼
  3. 與個人健康或身份相關的日期,包括出生日期、入院日期、出院日期、死亡日期或 89 歲以上患者的確切年齡
  4. 電話號碼
  5. 傳真號碼
  6. 電子郵件地址
  7. 社會安全號碼
  8. 病歷編號
  9. 健康保險受益人號碼
  10. 賬號
  11. 證書或執照號碼
  12. 車輛標識符
  13. 設備屬性或序列號
  14. 數字標識符,例如網站 URL
  15. IP地址
  16. 生物識別元素,包括手指、視網膜和聲紋
  17. 全臉攝影圖像
  18. 其他識別號碼或代碼

誰需要符合 HIPAA 標準?

一個常見的誤解是 HIPAA 在訪問或披露健康信息時適用。 雖然 HIPAA 限制 PHI 的使用和披露,但 HIPAA 僅適用於涉及治療、支付或醫療保健運營的組織。 這些組織被稱為“涵蓋實體”和“業務夥伴”。

有可能訪問 PHI 或 ePHI 的組織必須符合 HIPAA。

涵蓋的實體

涵蓋的實體包括醫療保健提供者、保險公司和票據交換所。 醫生、牙醫、心理健康專家、脊椎指壓治療師和健康保險提供者都屬於受保實體。

商業夥伴

商業夥伴是與可能有權訪問 PHI 的涵蓋實體簽約的供應商。 電子健康記錄 (EHR) 平台、電子郵件服務提供商、在線預約安排程序和託管服務提供商是業務夥伴的常見示例。

如何符合 HIPAA 標準

HIPAA 合規涉及幾個步驟。 這是通過或失敗。 你順從,或者你不順從。 您需要滿足每個步驟的要求才能符合 HIPAA,並每年完成其中一些要求。

hipaa合規性

資料來源:合規組

進行安全風險評估,找出差距,並納入補救計劃

安全風險評估 (SRA) 對於滿足您的 HIPAA 要求至關重要。 要符合 HIPAA,您必須每年完成一次 HIPAA 安全風險評估。 這是因為 SRA 會根據 HIPAA 標準衡量您當前的保護措施。 當您當前的工作不足以滿足 HIPAA 標準時,就會出現差距。

“差距”是指可能導致違反 HIPAA 的缺陷。 這就是補救計劃發揮作用的地方。 補救計劃創建可操作的步驟來縮小合規性差距。 為了有效,補救計劃必須具體,包括將採取什麼措施來縮小差距、誰負責補救以及補救的時間表。

實施政策和程序

政策和程序的設計必須考慮到 HIPAA 的三個規則。 政策和程序應適應組織的類型和規模,並每年進行審查和更新以使其有效。

政策和程序概述:

  • 您的組織和員工對 PHI 的正確使用和披露
  • 您的組織如何保護 PHI
  • 發生違規或涉嫌違規時該怎麼辦

過去,組織使用 HIPAA 手冊來製定政策和程序。 但是,由於 HIPAA 手冊開箱即用,它們無法解決您的組織運作方式的細微差別。

適用於小型醫療實踐的政策和程序可能對大型醫院集團無效,就像為涵蓋實體編寫的政策和程序可能不適用於業務夥伴一樣。

對員工進行 HIPAA 培訓

有可能訪問 PHI 或 ePHI 的員工需要每年接受培訓。 培訓應包括 HIPAA 最佳實踐、貴組織的政策和程序概述以及網絡安全最佳實踐。

HIPAA 建議員工在被雇用時就應該接受培訓,因此每年舉辦一次培訓課程是不夠的。 靈活的 HIPAA 員工培訓計劃對於滿足培訓需求至關重要。

使用在線培訓工具是實現這一目標的最佳方式。 通過在線培訓計劃,可以在需要時為員工分配培訓,按照自己的進度完成培訓,管理員可以跟踪員工的進度。

提示:使用獨立的 HIPAA 培訓計劃可以幫助您滿足一些 HIPAA 培訓要求,但請確保員工也接受了有關您組織的政策和程序的培訓。

簽署業務夥伴協議

HIPAA 業務夥伴協議 (HIPAA BAAs) 是必須在涵蓋實體與其業務夥伴(或兩個業務夥伴之間)之間簽署的法律合同。 在交換 PHI 或 ePHI 之前,應簽署 HIPAA BAA。 並非每個供應商都願意或能夠充當業務夥伴; 如果提供商未簽署 BAA,則無法履行任何業務夥伴職責。

假設您正在尋找一個允許患者自行預約的在線預約安排程序。 您找到了滿足您的管理需求的供應商,但它不想簽署附屬協議。 在他們簽署 BAA 之前,您不能與該提供者就患者安排簽訂合同。

事件管理和響應

HIPAA 合規性的一部分是實施經過測試的事件響應計劃。 您可以使用事件響應計劃快速識別、響應和報告事件。 具有經過測試的事件響應計劃的組織可以顯著減少從事件中恢復所需的時間,同時降低成本。

HIPAA 違規和罰款

雖然許多違規行為會導致違反 HIPAA,但違規行為本身絕不是公司被罰款的原因。 當組織未能遵守 HIPAA 標準時,就會違反 HIPAA。 根據違規的嚴重程度,可能會處以 HIPAA 罰款。

違反hipaa

資料來源:合規組

違反 HIPAA 的常見示例包括未能:

  • 進行準確和徹底的風險評估
  • 為患者提供及時訪問他們的醫療記錄
  • 正確回應在線患者評論
  • 與商業夥伴簽署商業夥伴協議
  • 妥善處理患者病歷

那麼,什麼時候組織會因違規而被罰款?

HIPAA 罰款是根據感知到的疏忽程度發出的。

  • 第 1 層是針對最不嚴重的違規行為。 當因涉及的實體或業務夥伴不知道其違反規則而發生 HIPAA 違規時,將實施第 1 級處罰。 要符合第 1 級處罰的條件,違規行為還必須是如果組織使用合理的努力來遵守 HIPAA 就無法避免的違規行為。 每次違規罰款從 120 美元到 60,226 美元不等。
  • 當涉及的實體或業務夥伴知道所犯的違規行為時,就會發生第 2 層違規。 要符合第 2 級違規的條件,該違規是即使採取合理的謹慎措施也可以避免的違規行為。 這一級別的罰款從每次違規 12,045 美元到 60,226 美元不等。
  • 第 3 級違規被認為比第 1 級或第 2 級更嚴重,並且會受到更昂貴的罰款。 第 3 層違規源於故意忽視 HIPAA。 要被視為第 3 層違規者,組織應該知道它在進行盡職調查時違反了 HIPAA。 這些違規行為必須在 30 天內得到糾正,才有資格成為第 3 級違規行為。 此級別的罰款範圍從每次違規 1,205 美元到 12,045 美元不等。
  • 第 4 層違規涉及故意忽視 HIPAA 規則。 當涉及的實體或業務夥伴未嘗試糾正違規行為時,OCR 會實施第 4 級處罰。 這個級別的罰款從每次違規 60,226 美元到 1,806,757 美元不等。

發現違反 HIPAA 的組織通常會受到 OCR 監控和糾正措施。 當組織發現缺陷時,OCR 在完成 HIPAA 違規調查後製定糾正措施計劃。 它們旨在通過使組織的合規計劃與 HIPAA 標准保持一致來防止進一步的違規和事件。

保持合規; 保持安全

健康保險流通與責任法案應該是任何涉及醫療保健的組織(涵蓋的實體或業務夥伴)的首要任務。 簡而言之,要從事醫療保健工作,您必須符合 HIPAA 標準。

如果沒有 HIPAA,患者數據很容易受到未經授權的使用和披露。 當發生違規時,患者不僅對組織保護其機密信息的能力失去信心,而且還可能導致違反 HIPAA 和巨額罰款。

通過實施符合所有 HIPAA 標準的有效 HIPAA 合規計劃,您可以改善整體安全狀況並降低違規和違規的可能性。

患者現在更加了解 HIPAA 及其權利。 HIPAA 合規性讓他們高枕無憂,因為他們可以信任您提供他們的敏感信息。

隱私管理不會以獲得一種類型的合規性而結束。 了解有關數據隱私管理和確保組織安全的所有信息。