什么是 HIPAA 合规性以及为什么它很重要？

HIPAA 是什么意思？

HIPAA 到底是什么？作为一家公司，您需要做些什么来保持其相关法规的正确性？

HIPAA 代表健康保险流通和责任法案，该法案于 1996 年由国会通过。

自那以后，HIPAA 得到了更新和建立，最引人注目的是 2009 年 HITECH 法案（经济和临床健康的健康信息技术）和 2013 年综合规则。

这些共同扩展了对业务伙伴及其分包商的责任，以及对如何将 PHI 用于营销和销售的更严格的保护。

虽然 HIPAA 涉及​​许多领域，包括失业或换工作的人的医疗保险以及与税收相关的规定，但我们的主要关注点将放在法律的第二章，它是关于健康数据的交换、安全和隐私的，以及在合规方面，绝大多数企业都关心什么。

让我们直接进入并了解您需要了解的有关 HIPAA 的所有信息以及 HIPAA 合规性的成功关键。

HIPAA 的目的是什么？

正如我们刚刚提到的，HIPAA 在数据保护之外还有几个目的——特别是与健康保险法改革有关。

然而，对于大多数研究 HIPAA 的组织来说，他们的主要目标是了解他们需要做什么才能遵守其法规并避免因不合规而导致的罚款。

HIPAA 的这一领域与披露和使用受保护的健康信息或 PHI 相关的数据保护和隐私有关。

HIPAA 合规性和 PHI 的安全性对于当今的卫生组织至关重要。

谁必须遵守 HIPAA？

必须遵守 HIPAA 合规性的实体称为涵盖实体。

涵盖的实体是存储、处理和处理 PHI 的个人或公司。

涵盖实体除了遵守 HIPAA 外，还负责报告与之相关的违规行为。

以下个人和组织构成涵盖实体：

医疗保健机构

• 医生
• 诊所
• 心理学家
• 牙医
• 脊医
• 疗养院
• 药房
• 健康计划

健康保险公司

• HMOs
• 公司健康计划
• 政府提供的医疗保健计划

医疗保健信息交换所

• 这些实体有助于将非标准健康信息处理成标准数据元素。 这些实际上是医疗保健提供者和保险支付者之间的中间人。

生意合伙人

• “业务伙伴”代表受保护的实体或作为分包商的其他业务伙伴创建、接收、维护或传输受保护的健康信息 (PHI)。

分包商

• 代表业务伙伴创建、维护或传输受保护的健康信息 (PHI) 的分包商与 HIPAA 下的业务伙伴负有相同的法律责任。 换句话说，与隐私和安全相关的法律责任“顺流而下”流向为业务伙伴执行工作的分包商。

混合实体

• 作为其业务的一部分，混合实体同时执行 HIPAA 涵盖和未涵盖的功能。 为其员工制定了自我保险健康计划的大公司可以选择被视为混合实体。 其他例子是有医疗中心的大学或有药房的杂货店。

PHI 包括什么？

个人健康信息 (PHI) 是指可用于识别患者、客户或其他实体的任何人口统计信息。

有 18 个标识符将与健康相关的信息视为 PHI。 这些是：

1. 名称
2. 日期，年份除外
3. 地理数据
4. 传真号码
5. 社会安全号码
6. 电子邮件地址
7. 病历编号
8. 帐号
9. 健康计划受益人号码
10. 证书/执照号码
11. 车辆标识符和序列号，包括车牌号
12. 电话号码
13. 网址
14. 设备标识符和序列号
15. 互联网协议 (IP) 地址
16. 全脸照片和可比图像
17. 生物识别标识符（例如指纹）
18. 唯一标识某人的任何数字或代码

为了保持 HIPAA 合规性，必须保护这些类型的数据和信息。

什么被视为违反 HIPAA？

当实体没有遵守 HIPAA 合规性时，就会发生 HIPAA 违规，并且个人和组织实际上有数百种方式违反 HIPAA 合规性。

常见的 HIPAA 违规行为通常涉及以下其中一项：

• 未经授权、不允许或不必要地披露 PHI
• 未经授权访问 PHI
• PHI 处置不当
• 主体缺乏进行的风险评估
• 缺乏对 PHI 的风险管理
• 在提供对 PHI 的访问时未能与第三方建立 HIPAA 合规协议
• 未能向员工提供 HIPAA 培训的安全意识
• PHI 盗窃
• 未经事先许可共享 PHI
• 处理不当/无正当理由邮寄 PHI
• 未在发现违规后 60 天内通知个人涉及 PHI 的安全事件
• 没有合规协议、程序和管理的文件

如果违反 HIPAA 会发生什么？

当违反 HIPAA 标准和规定的任何方面时，就会发生 HIPAA 违规。

您可以在此处找到由卫生与公众服务部民权办公室发布的所有 HIPAA 法规的完整概要。

如果举报违规行为，所涉实体将受到处罚，无论是民事还是刑事处罚——处罚可能因违规行为而有很大差异。

通常情况下，美国卫生与公众服务部民权办公室 (OCR) 将调查违规行为——他们将调查所有报告违规行为超过 500 条记录的涵盖实体。

如果 OCR 确定特定案件是刑事案件而非民事案件，他们会将其提交给司法部。

在大多数情况下，个人可以预期每次违规支付 100 美元； 重复违规可能导致高达 25,000 美元的罚款。

如果个人故意忽视 HIPAA 法规并且未尝试纠正其政策和程序，则可能会被处以最低 50,000 美元的罚款，最高可达 150 万美元。

在刑事案件中，50,000 美元的较轻刑罚和最高 1 年的监禁是可能的——最高可处以 250,000 美元的罚款和最高 10 年的监禁。

对于民事诉讼，违规行为分为等级，其中 4 级是最严重的。

它们如下：

• 第 1 层：涵盖实体不知道且无法避免的违规行为。
• 第 2 层：涵盖实体应该知道但无法避免的违规行为。
• 第 3 层：由于故意疏忽而直接导致的违规行为，但已尝试纠正违规行为。
• 第 4 级：构成故意疏忽的违规行为，未尝试纠正违规行为。

对每个级别的 HIPAA 违规行为的处罚如下：

• 第 1 级：每次违规最低罚款 100 美元，最高 50,000 美元
• 第 2 级：每次违规最低罚款 1,000 美元，最高 50,000 美元
• 第 3 级：每次违规最低罚款 10,000 美元，最高 50,000 美元
• 第 4 级：最低罚款 50,000 美元

刑事诉讼略有不同，分为三层，比民事诉讼要严厉得多。

它们如下：

• 第 1 层：合理原因或不知道违规
• 第 2 层：以虚假名义获取 PHI
• 第 3 层：为个人利益或恶意获取 PHI

刑事处罚：

• 第 1 级：最高一 (1) 年监禁
• 第 2 级：最高五 (5) 年监禁
• 第 3 级：最高 10 年监禁

我可以通过 HIPAA 认证吗？

在撰写本文时，还没有 HIPAA 合规性认证或验证之类的东西。

第三方可能会提供某种形式的“HIPAA 认证”，但 HHS 没有提供官方认可或强制的认证。

没有标准或实施规范要求涵盖实体“证明”合规性。 评估标准§ 164.308(a)(8) 要求相关实体执行定期技术和非技术评估，以确定实体的安全策略和程序满足安全要求的程度。 –民权办公室 (OCR)

因此，虽然没有 HIPAA 认证，但许多第三方 MSSP 可以在必要时进行定期评估，并确保您遵守 HIPAA。

什么是 HIPAA 官员？

HIPAA 官员是合规官员。

无论他们是内部人员还是受雇为第三方，他们的主要工作都是通过确保正确执行 PHI 数据的安全和隐私协议来确保您的 HIPAA 合规性。

在没有此类政策的情况下，HIPAA 官员将负责为个人或组织制定和实施合规计划。

然后，他们将负责维护和监控该计划，在法律上必要时进行调查和报告，并确保按照州和联邦法律的要求保护患者或客户数据。

HIPAA 合规性成功的关键是什么？

如果您一直在阅读这篇文章（或略读），并且在查看违规行为的处罚时感到自己的脉搏有所提高，那么请不要担心。

确保您遵守 HIPAA 并不需要太多，但组织肯定会很好地遵循 HIPAA 合规性成功的一些关键。

首先，您应该寻找执行 HIPAA 评估的托管安全服务提供商来审核您的系统是否符合 HIPAA。

一旦他们执行了风险评估，他们将能够推荐并执行您需要的实施，以确保您尽一切可能保持合规性。

什么是 HIPAA 风险评估？

相关文章：网络安全风险审计期间会发生什么？

HIPAA 合规审计是由合规官执行的评估，它将深入了解您的系统和安全协议。

首先，他们需要与您合作确定审核范围——主要与您的义务相关（在这种情况下，HIPAA 是主要优先事项，尽管您可能还需要遵守其他法规）。

然后，他们将制定审计时间表并进入下一阶段； 执行。 这部分涉及漏洞扫描、渗透测试和差距分析。

在对 HIPAA 合规性进行风险评估的情况下，差距分析将是必不可少的，因为 HIPAA 合规官将详细说明需要做什么才能使您或您的公司合规。

一旦 HIPAA 合规审计结束，合规官将提出他们的建议，您可以清楚地了解需要做什么。

您也可以借此机会将这些建议的实施委托给 MSSP，在这种情况下，您可以与他们签订长期合同——让您在托管安全服务提供商负责合规性的同时继续开展业务.

如果您想详细了解 HIPAA 合规性以及托管安全服务提供商可以为您做什么，请查看我们的合规性服务页面。