HIPAA安全规则+检查表的权威指南(2019)

2016年2月,民权办公室(Dr-OCR)主任乔斯林·塞缪尔斯(Jocelyn Samuels)就违反HIPAA规定发出了警告。她公开说:

“虽然OCR倾向于通过自愿遵守来解决问题,[……]我们将采取必要的步骤,包括诉讼,为违反HIPAA规则的行为获得充分的补救措施。”

这不只是一个毯子声明。它的影响已经看到远播。只要问得克萨斯大学MD安德森癌症中心的大学。

他们付了超过430万$罚款2018年6月,因为他们自己的ePHI存储设备没有加密。在有史以来规模最大的HIPAA违规行为,倡导医疗保健网络解决HIPAA处罚在2017年二月$ 5.5亿他们曾在3个独立的数据泄露失去的约400万的个人数据。医疗保健公司和供应商自2016年已经花了超过$ 7500万HIPAA违规的罚款。

在OCR的严格态度使得强制遵循所有的信条HIPAA符合性检查单

HIPAA遵从性的核心组件之一是HIPAA安全规则检查表。它为电子保护健康信息(ePHI)提供物理、技术和管理保障。安全规则是保护患者数据机密性、完整性和安全性的重要工具。

定义考虑HIPAA合规性角色

在遵守HIPAA协议的两个最重要的角色是:

1.涉及的实体(CE)

有顶棚的实体(CE)是任何人,机构或参与ePHI的换取医疗帐单和保险目的的组织。这包括医疗保健机构,医疗保健信息交流中心和健康计划。

为其员工维护卫生服务的医院通常不被认为是CE。

但是,医院可以为员工提供员工健康保险(或员工援助计划)。然后,这家医院作为一个“混合实体”(HE)被纳入HIPAA。该数据的泄露(雇员福利计划的一部分)仍然被认为是HIPAA泄露事件,必须立即报告。

2.业务伙伴(BA)

业务伙伴(BA)为CE提供扩展服务。这可以是任何个人/机构/组织,谁可以进入的ePHI作为其一部分服务的行政长官。一般而言,以下行政长官的同事被视为广管局局长:

  • 会计师
  • 律师
  • 它的合作伙伴
  • 云服务提供商
  • 与访问ePHI的任何其他类型的服务提供商

CE可以根据自己的业务需求聘请第三方BA,例如HIPAA的云存储。但是,他们必须得到签署的保证,BA理解这些规则,并准备采取措施来执行这些规则。

什么是下HIPAA安全规则清单覆盖?

HIPAA安全规则适用于所有涉及的实体和商业伙伴,有许多移动部件到它。

HIPAA安全规则下的管理保障

1.安全管理过程

CEs必须确保有适当的策略和过程来检测、纠正和包含安全违规。它们必须持续采用风险管理框架的程序。当执行任何直接或间接使用ePHI的新政策时,也应该使用该框架。

2.劳动力安全和信息访问管理

CE设备还必须确保其员工的角色需要访问病人的ePHI的什么样的,并采取具体步骤来实施访问控制。这意味着ePHI的必须不能随意访问,但只在需要的基础。它可能涉及对案件逐案基础数据的权限定期更新。

3.安全意识和培训

所有这些谁在任何时候访问ePHI的(和任何时间量)必须在什么规律可循,如何跟随他们进行培训。

4.指定安全责任

遵守HIPAA安全规则的责任必须指派给安全官员。所述CE必须提供辅助安全官员为在不存在主安全官员的备份

5.安全事件过程

要及时,彻底报告的所有安全事故或违规。此外,CE还可以设置流程,以防止这些事件从在第一时间出现。这些安全支持系统的帮助预测和预防安全事故防患于未然。

6.应急计划

应急计划必须包括以下内容:

  • 灾难恢复计划
  • 数据备份计划
  • 在发生破坏时维持正常(或接近正常)运作的计划

CE还必须定期更新这些计划,以跟上HIPAA法规的发展。该标准还定义了如何处理涉及入侵的关键软件应用程序。

7.评价

在HIPAA安全规则可能会经历或大或小的变化。定期评估行政长官的安全协议,确保他们留在与这些变化保持同步。

8.与商业伙伴的合同(BAs)

为了接合BA到它的服务,CE必须签署与他们达成协议。此协议必须明确规定:

  • 什么ePHI的将BA有协议的过程中获得
  • 如何将使用
  • 在协议结束后,广管局计划如何销毁/交还有关资料

因此,根据协议,广管局实际上也成为行政长官。

根据HIPAA安全规则的物理安全措施

CE必须锁定其服务器室,并定期对其访问进行控制和审计。他们还可以使用适当数量的闭路电视摄像机来跟踪服务器室的使用情况。CE还必须对it进程中使用的所有计算机或存储设备(所有部门)进行密码保护。安全措施还应确保这些密码不弱,用户每月(或每季度)更新它们。

所有准入标准同样适用于:

  • 台式机和内和场所外的笔记本电脑。
  • 所有类型的可移动存储驱动器(USB驱动器,内部和外部硬盘驱动器)使用这些设备

有关:排名前11位的符合HIPAA的云存储供应商

根据HIPAA安全规则的技术保障措施

1.访问控制

访问所有设备和文档存储和处理ePHI的必须需要专用的基础上予以批准。行政长官也必须定期审计访问控制列表来解决访问任何差异刻不容缓。

2.审计控制

在发生数据泄露的情况下,CE必须能够显示泄露的完整踪迹——包括谁访问了什么数据以及何时访问了什么数据。审计报告必须包含足够的信息来证明入侵是如何发生的。

3.完整性

行政长官必须能够证明其充分保护所有ePHI的,从它的内部设施交换或存储以及外部威胁。在需要时,必须CE提供易于访问的证明文件,违反。

4.安全传输

行政长官必须使用适当的安全协议固定接收站点此数据的数据和接入传输。在需要时,行政长官必须能够传输安全级别提供证据。

5.个人认证

CE应该能够做到安全证明访问信息的人只使用他/她自己的凭证。这意味着,员工不得共享或失去他们的登录凭据。

CEs必须通过视网膜扫描、两因素身份验证或其他更强的身份验证方法等高级身份验证方法来控制对ePHI的访问。

如何确保遵守HIPAA,以避免巨额罚款

HIPAA法案超越了HIPAA安全规则清单。此外还包括保密规则,总括规则,违反该通知规则和实施规则。一个彻底的风险评估是对所有医疗保健应用程序是必须的。

Arkenea在构建符合HIPAA和HITRUST的应用程序方面有超过8年的经验。我们获奖了医疗软件开发公司雷电竞官网app。这使得我们能够将正确的技术保障应用到您的网站和移动应用程序中。我们的解决方案架构师还可以帮助您识别并使用符合HIPAA的云存储,以满足您的业务需求。

    纳文Israni

    Navin撰写有关技术及其在商业增长中的应用的文章Arkenea,一个屡获殊荣的定制软件开发公司。雷电竞官网app他是语言的学生,喜欢学习内容营销,并把他的学习实践。