什麼是 HIPAA 合規性以及為什麼它很重要？

HIPAA 是什麼意思？

HIPAA 到底是什麼？作為一家公司，您需要做些什麼來保持其相關法規的正確性？

HIPAA 代表健康保險流通和責任法案，該法案於 1996 年由國會通過。

自那以後，HIPAA 得到了更新和建立，最引人注目的是 2009 年 HITECH 法案（經濟和臨床健康的健康信息技術）和 2013 年綜合規則。

這些共同擴展了對業務夥伴及其分包商的責任，以及對如何將 PHI 用於營銷和銷售的更嚴格的保護。

雖然 HIPAA 涉及​​許多領域，包括失業或換工作的人的醫療保險以及與稅收相關的規定，但我們的主要關注點將放在法律的第二章，它是關於健康數據的交換、安全和隱私的，以及在合規方面，絕大多數企業都關心什麼。

讓我們直接進入並了解您需要了解的有關 HIPAA 的所有信息以及 HIPAA 合規性的成功關鍵。

HIPAA 的目的是什麼？

正如我們剛剛提到的，HIPAA 在數據保護之外還有幾個目的——特別是與健康保險法改革有關。

然而，對於大多數研究 HIPAA 的組織來說，他們的主要目標是了解他們需要做什麼才能遵守其法規並避免因不合規而導致的罰款。

HIPAA 的這一領域與披露和使用受保護的健康信息或 PHI 相關的數據保護和隱私有關。

HIPAA 合規性和 PHI 的安全性對於當今的衛生組織至關重要。

誰必須遵守 HIPAA？

必須遵守 HIPAA 合規性的實體稱為涵蓋實體。

涵蓋的實體是存儲、處理和處理 PHI 的個人或公司。

涵蓋實體除了遵守 HIPAA 外，還負責報告與之相關的違規行為。

以下個人和組織構成涵蓋實體：

醫療保健機構

• 醫生
• 診所
• 心理學家
• 牙醫
• 脊醫
• 療養院
• 藥房
• 健康計劃

健康保險公司

• HMOs
• 公司健康計劃
• 政府提供的醫療保健計劃

醫療保健信息交換所

• 這些實體有助於將非標準健康信息處理成標準數據元素。 這些實際上是醫療保健提供者和保險支付者之間的中間人。

生意合夥人

• “業務夥伴”代表受保護的實體或作為分包商的其他業務夥伴創建、接收、維護或傳輸受保護的健康信息 (PHI)。

分包商

• 代表業務夥伴創建、維護或傳輸受保護的健康信息 (PHI) 的分包商與 HIPAA 下的業務夥伴負有相同的法律責任。 換句話說，與隱私和安全相關的法律責任“順流而下”流向為業務夥伴執行工作的分包商。

混合實體

• 作為其業務的一部分，混合實體同時執行 HIPAA 涵蓋和未涵蓋的功能。 為其員工製定了自我保險健康計劃的大公司可以選擇被視為混合實體。 其他例子是有醫療中心的大學或有藥房的雜貨店。

PHI 包括什麼？

個人健康信息 (PHI) 是指可用於識別患者、客戶或其他實體的任何人口統計信息。

有 18 個標識符將與健康相關的信息視為 PHI。 這些是：

1. 名稱
2. 日期，年份除外
3. 地理數據
4. 傳真號碼
5. 社會安全號碼
6. 電子郵件地址
7. 病歷編號
8. 帳號
9. 健康計劃受益人號碼
10. 證書/執照號碼
11. 車輛標識符和序列號，包括車牌號
12. 電話號碼
13. 網址
14. 設備標識符和序列號
15. 互聯網協議 (IP) 地址
16. 全臉照片和可比圖像
17. 生物識別標識符（例如指紋）
18. 唯一標識某人的任何數字或代碼

為了保持 HIPAA 合規性，必須保護這些類型的數據和信息。

什麼被視為違反 HIPAA？

當實體沒有遵守 HIPAA 合規性時，就會發生 HIPAA 違規，並且個人和組織實際上有數百種方式違反 HIPAA 合規性。

常見的 HIPAA 違規行為通常涉及以下其中一項：

• 未經授權、不允許或不必要地披露 PHI
• 未經授權訪問 PHI
• PHI 處置不當
• 主體缺乏進行的風險評估
• 缺乏對 PHI 的風險管理
• 在提供對 PHI 的訪問時未能與第三方建立 HIPAA 合規協議
• 未能向員工提供 HIPAA 培訓的安全意識
• PHI 盜竊
• 未經事先許可共享 PHI
• 處理不當/無正當理由郵寄 PHI
• 未在發現違規後 60 天內通知個人涉及 PHI 的安全事件
• 沒有合規協議、程序和管理的文件

如果違反 HIPAA 會發生什麼？

當違反 HIPAA 標準和規定的任何方面時，就會發生 HIPAA 違規。

您可以在此處找到由衛生與公眾服務部民權辦公室發布的所有 HIPAA 法規的完整概要。

如果舉報違規行為，所涉實體將受到處罰，無論是民事還是刑事處罰——處罰可能因違規行為而有很大差異。

通常情況下，美國衛生與公眾服務部民權辦公室 (OCR) 將調查違規行為——他們將調查所有報告違規行為超過 500 條記錄的涵蓋實體。

如果 OCR 確定特定案件是刑事案件而非民事案件，他們會將其提交給司法部。

在大多數情況下，個人可以預期每次違規支付 100 美元； 重複違規可能導致高達 25,000 美元的罰款。

如果個人故意忽視 HIPAA 法規並且未嘗試糾正其政策和程序，則可能會被處以最低 50,000 美元的罰款，最高可達 150 萬美元。

在刑事案件中，50,000 美元的較輕刑罰和最高 1 年的監禁是可能的——最高可處以 250,000 美元的罰款和最高 10 年的監禁。

對於民事訴訟，違規行為分為等級，其中 4 級是最嚴重的。

它們如下：

• 第 1 層：涵蓋實體不知道且無法避免的違規行為。
• 第 2 層：涵蓋實體應該知道但無法避免的違規行為。
• 第 3 層：由於故意疏忽而直接導致的違規行為，但已嘗試糾正違規行為。
• 第 4 級：構成故意疏忽的違規行為，未嘗試糾正違規行為。

對每個級別的 HIPAA 違規行為的處罰如下：

• 第 1 級：每次違規最低罰款 100 美元，最高 50,000 美元
• 第 2 級：每次違規最低罰款 1,000 美元，最高 50,000 美元
• 第 3 級：每次違規最低罰款 10,000 美元，最高 50,000 美元
• 第 4 級：最低罰款 50,000 美元

刑事訴訟略有不同，分為三層，比民事訴訟要嚴厲得多。

它們如下：

• 第 1 層：合理原因或不知道違規
• 第 2 層：以虛假名義獲取 PHI
• 第 3 層：為個人利益或惡意獲取 PHI

刑事處罰：

• 第 1 級：最高一 (1) 年監禁
• 第 2 級：最高五 (5) 年監禁
• 第 3 級：最高 10 年監禁

我可以通過 HIPAA 認證嗎？

在撰寫本文時，還沒有 HIPAA 合規性認證或驗證之類的東西。

第三方可能會提供某種形式的“HIPAA 認證”，但 HHS 沒有提供官方認可或強制的認證。

沒有標准或實施規範要求涵蓋實體“證明”合規性。 評估標準§ 164.308(a)(8) 要求相關實體執行定期技術和非技術評估，以確定實體的安全策略和程序滿足安全要求的程度。 –民權辦公室 (OCR)

因此，雖然沒有 HIPAA 認證，但許多第三方 MSSP 可以在必要時進行定期評估，並確保您遵守 HIPAA。

什麼是 HIPAA 官員？

HIPAA 官員是合規官員。

無論他們是內部人員還是受僱為第三方，他們的主要工作都是通過確保正確執行 PHI 數據的安全和隱私協議來確保您的 HIPAA 合規性。

在沒有此類政策的情況下，HIPAA 官員將負責為個人或組織製定和實施合規計劃。

然後，他們將負責維護和監控該計劃，在法律上必要時進行調查和報告，並確保按照州和聯邦法律的要求保護患者或客戶數據。

HIPAA 合規性成功的關鍵是什麼？

如果您一直在閱讀這篇文章（或略讀），並且在查看違規行為的處罰時感到自己的脈搏有所提高，那麼請不要擔心。

確保您遵守 HIPAA 並不需要太多，但組織肯定會很好地遵循 HIPAA 合規性成功的一些關鍵。

首先，您應該尋找執行 HIPAA 評估的託管安全服務提供商來審核您的系統是否符合 HIPAA。

一旦他們執行了風險評估，他們將能夠推薦並執行您需要的實施，以確保您盡一切可能保持合規性。

什麼是 HIPAA 風險評估？

相關文章：網絡安全風險審計期間會發生什麼？

HIPAA 合規審計是由合規官執行的評估，它將深入了解您的系統和安全協議。

首先，他們需要與您合作確定審核範圍——主要與您的義務相關（在這種情況下，HIPAA 是主要優先事項，儘管您可能還需要遵守其他法規）。

然後，他們將製定審計時間表並進入下一階段； 執行。 這部分涉及漏洞掃描、滲透測試和差距分析。

在對 HIPAA 合規性進行風險評估的情況下，差距分析將是必不可少的，因為 HIPAA 合規官將詳細說明需要做什麼才能使您或您的公司合規。

一旦 HIPAA 合規審計結束，合規官將提出他們的建議，您可以清楚地了解需要做什麼。

您也可以藉此機會將這些建議的實施委託給 MSSP，在這種情況下，您可以與他們簽訂長期合同——讓您在託管安全服務提供商負責合規性的同時繼續開展業務.

如果您想詳細了解 HIPAA 合規性以及託管安全服務提供商可以為您做什麼，請查看我們的合規性服務頁面。