健康保险可携带性和可访问性法案(HIPAA)是一项旨在保护美国境内患者医疗信息的法规。某些有权访问受保护健康信息(PHI)的组织需要实施HIPAA法规中概述的安全控制、流程和程序。谁需要符合HIPAA标准,为什么?
HIPAA定义了两种需要遵守其要求的组织:涵盖实体:HIPAA将“涵盖实体”定义为
健康保险可携带性和可访问性法案(HIPAA)是一项旨在保护美国境内患者医疗信息的法规。某些有权访问受保护健康信息(PHI)的组织需要实施HIPAA法规中概述的安全控制、流程和程序。
谁需要符合HIPAA标准,为什么?
HIPAA定义了两种需要遵守其要求的组织:
根据HIPAA,涵盖的实体和商业伙伴都必须遵守HIPAA。涵盖的实体由卫生与公众服务部(HHS)民权办公室(OCR)直接监管。HIPAA要求通过商业伙伴与涵盖实体的合同强制执行。
但是,该法规仅适用于符合法律所涵盖实体或商业伙伴定义的组织。其他有权访问健康信息但未从涵盖实体接收的组织不受HIPAA法规的约束。例如,直接从用户那里收集健康信息但不是医疗保健组织的健康和健身应用程序的开发人员不需要遵守其指令。
但是,这些组织可以从中受益。HIPAA描述了保护PHI的最佳实践,遵守这些最佳实践可以减少组织面临网络威胁的风险以及潜在数据泄露的可能性和影响。此外,在发生违规或安全事件时,遵守法规有助于证明公司进行了尽职调查并努力保护其客户的数据。
什么是HIPAA规则?
HIPAA分为两个主要规则:隐私规则和安全规则。除了这些规则之外,还有违反通知规则,它描述了组织应如何报告违反PHI的行为,以及综合规则,它扩展了HIPAA要求以包括业务伙伴。
隐私规则。个人可识别健康信息隐私标准(隐私规则)规定医疗保健组织应如何保护委托给他们的某些类型的健康信息。隐私规则定义了可以访问和披露PHI的情况。它还定义了涵盖实体应采取的保护PHI的保障措施,并赋予患者有关其PHI的某些权利。
安全规则。电子受保护健康信息保护安全标准(安全规则)描述了公司应为以电子方式存储或传输的受保护健康信息(PHI)实施的IT安全控制。它提供了组织必须具备的具体IT安全控制、流程和程序,以满足隐私规则中概述的数据保护要求。
受HIPAA保护的数据
HIPAA旨在保护患者向涵盖实体及其业务伙伴提供的PHI。HHS定义了十八种类型的PHI标识符,包括:
姓名
地址
关键日期
社会安全号码
电话号码
电子邮件地址
传真号码
健康计划受益人号码
病历号
证书/许可证号
帐号
车辆标识符、序列号或车牌号
设备标识符或序列号
IP地址
网址
全脸照片
生物识别标识符,例如指纹或声纹
任何其他唯一识别号码、特征或代码
常见的HIPAA违规
HIPAA合规性对于涵盖的实体是强制性的,这些组织可能会因不合规而受到处罚。HIPAA定义了四级违规:
第1层:受保护实体不知道违规行为,如果受保护实体真诚地努力遵守HIPAA,则实际上无法防止违规行为。罚款从100美元到50,000美元不等。
第2层:涵盖的实体知道违规行为,但鉴于善意努力遵守HIPAA,这是无法避免的。罚款从1,000美元到50,000美元不等。
第3层:违规是由于“故意忽视”受涵盖实体试图纠正的HIPAA规则而发生的。罚款从10,000美元到50,000美元不等。
第4层:违规行为是由于“故意疏忽”而被涵盖实体未尝试纠正而发生的。罚款起价为50,000美元。
大多数HIPAA违规包括有意或无意破坏PHI。一些常见的HIPAA违规行为包括:
丢失或被盗的设备
勒索软件和其他恶意软件
泄露的用户凭据
通过电子邮件、社交媒体等意外共享数据。
实体办公室闯入
违反电子健康记录(EHR)
微信扫一扫打赏
支付宝扫一扫打赏
