首页|订阅|资源|再版|作家的指导方针

3月15日

挑选垃圾
安妮·马西奥斯
郑重声明
第22卷第5页

最近的IT进步加上政府法规的加强,为选择文件销毁供应商带来了新的意义。

由于国家医疗保健机构中存在大量的纸质和电子保护的健康信息(PHI),当需要销毁这些机密记录时,提供商可以做些什么?可以采取哪些步骤来确保以安全、合规、经济有效的方式销毁文件,从而在发生违规行为时不仅保护PHI,还保护工厂?

选择一个可靠的文件销毁供应商可能是一项艰巨的任务,但是在签订合同之前用正确的知识武装自己会使一切变得不同。

交战规则
费城Post & Schell律师事务所的合伙人爱德华·谢伊(Edward Shay)建议,在选择文件销毁供应商时,应进行基本的尽职调查。“问问周围的人,找到一个在医疗保健领域有经验、了解医疗保健信息敏感性、声誉良好的供应商。下一步是与供应商协商某种服务协议,包括一份列出条款和条件的书面协议。”

密歇根州安娜堡Miller, Canfield, Paddock and Stone, PLC高级法律顾问Rachel Nosowsky说。他说,医疗机构的首要任务是确保员工——尤其是那些负责征求建议书(rfp)和合同的员工——理解当前的文件销毁指南和标准,以及管理PHI处理的隐私和安全规则。

HITECH法案有一个章节专门用于加强PHI的安全和隐私保护。“这反映了公众对HIPAA的不满,因为HIPAA并不适用于所有实体,”诺索夫斯基说。例如,根据Nosowsky的说法,该法律通过商业伙伴条款适用于从业人员、健康计划及其供应商,但却将大量参与者排除在外,包括那些自行销售PHRs等服务的人。

她说:“所以现在的风险比以前更高了。”“在处理像HIPAA这样广泛的规则时,你希望你的合同正确,为你的设施提供正确的保护。但首先,你必须让公司内部的人知道这些风险是什么。”

为了在做出最终决定时感到安心,专家建议遵循建议的最佳做法。

Nosowsky说:“进行RFP流程,进行典型的背景调查和背景调查,并检查相关的制裁名单,以确保供应商不在其中。”“你还应该要求供应商遵守对员工进行背景调查的最低标准。确保报价中包含供应商将遵守指南更新的承诺。在RFP中,要求供应商预先指定涵盖实体标准合同的任何例外情况。”

破坏细节
接下来,重要的是与供应商讨论,鉴于文件的性质,将发生何种类型的销毁。

HITECH要求民权办公室(OCR)发布指南,描述“使受保护的健康信息对未经授权的个人无法使用、无法读取或无法破译的技术和方法”。这包括适当地破坏PHI。由于违规通知规则不适用于适当销毁的信息,因此理解指导方针和遵从性的实用性非常重要。beplay最新备用网站

根据美国国家标准与技术研究所(NIST)媒体消毒指南,有两种常用的主要媒体类型:硬拷贝和电子或软拷贝。硬拷贝包括纸质打印输出,打印机和传真色带和鼓。NIST指出,这些类型的媒体通常是最不受控制的。这些格式包含的信息,如果被扔进回收箱或垃圾桶,就有可能被“拾荒者”和过于好奇的员工意外泄露。

电子媒体包括存储在硬盘、磁盘、存储设备、电话、移动计算设备和网络设备等中的比特和字节。在医疗保健设施中,信息系统使用各种各样的媒体捕获、处理和存储信息。这些数据不仅位于预期的存储介质上,而且位于用于创建、处理或传输该信息的设备上。NIST建议,为了降低信息未经授权泄露的风险,并确保其保密性,对IT系统从开始到处置的整个生命周期中创建、处理和存储的信息进行高效和有效的管理,必须成为供应商的首要任务。

谢伊说,纸质文件应该被粉碎,而处理电子记录则需要更多的思考。提供者必须意识到,不仅需要销毁或删除电子记录,而且可能还需要销毁创建和存储该记录的媒体。例如,cd、硬盘驱动器和笔记本电脑可能必须被粉碎。因此,重要的是要在合同语言中包含销毁媒体的内容,并指定完成该过程的时间框架。

对于纸质记录,必须销毁硬拷贝,使PHI无法读取或重建。删节是不够的,”诺索夫斯基说。在电子方面,她建议使用会根据NIST指南销毁记录的供应商。

Shay建议医疗机构审查NIST的特别出版物800-88:媒体消毒指南,该指南可帮助组织根据其信息的保密级别做出实际的消毒决策。

另一个需要考虑的方面是供应商在传输记录时会提供什么样的物理安全。谢伊说:“要明确地确保它得到保护。”“例如,在我们的律师事务所,我们的文件销毁供应商在每层楼都放置了上锁的垃圾箱,所以任何有需要销毁机密信息的人都可以把它放在垃圾箱里,每两周他们就会把它捡起来,当场粉碎。”

记录保留法规规定医疗机构必须将某些医疗记录保存10至20年,这给供应商协议增加了一层复杂性。因此,合同中有时也包括保管规定。

保护你自己
自1996年成立以来,HIPAA就因缺乏约束力而饱受诟病。批评人士说,隐私和安全规则并没有像设计的那样得到执行,他们指出,医疗机构几乎不用担心会受到重大处罚。诺索夫斯基表示,HITECH法案可能会改变这一切。

“以前,联邦政府没有要求受保实体报告或通知患者或健康计划成员隐私泄露。因此,国会通过新的HIPAA规则,制定了违规通知要求,”她指出,并补充说,HITECH还要求商业伙伴直接负责遵守某些隐私和安全保护措施。beplay最新备用网站诺索夫斯基解释说:“现在,如果违反这些规定,政府可以直接追究商业伙伴的责任。”

新规定还大幅增加了根据HIPAA可能评估的罚款,将其从每次违规100美元和每年25,000美元的限额提高到每次违规50,000美元和每年150万美元。

Nosowsky说,在构建合同本身时,考虑使用与HIPAA相同的语言,并参考OCR指南和NIST标准。此外,要求供应商在整个合同期限内使用这些标准以及可能发布的任何更新。

谢伊说,利用HITECH,让供应商成为商业伙伴,这实际上使其在发生安全漏洞或面临处罚时必须遵守法律。他说:“因此,对于业务伙伴,如果受保实体发现出现了违反保密规定的情况,受保实体必须向OCR报告,并有权对未遵守服务合同的供应商采取行动。”beplay最新备用网站

Nosowsky指出,根据HIPAA和HITECH,代理的违规行为可以归因于受保护的实体,根据执行规则,实体可以对其代理的行为提出指控。她指出:“根据普通法,受保护实体无法清楚或容易地决定谁是代理人,谁不是代理人。”

因此,一个机构越能与代理关系保持距离,它的情况就越好。因此,Nosowsky建议在合同中加入条款,规定供应商不是承保实体的代理,并且供应商的行为不符合适用的HIPAA/HITECH要求和任何额外的合同规范,都不在承保实体的“合同范围之内”。beplay最新备用网站

她补充说:“所以基本上,如果他们不符合标准,你就在说,‘你自己看吧’。”这可能有助于承保实体提出卖方不是其代理人的论点,这在发生违约或强制执行行动时可能会有所帮助。

Nosowsky还指出,通常在一般合同中发现的通用合规条款并不约束供应商遵beplay最新备用网站守代理指导,因此在构建合同时使用具体的语言非常重要。

如果出现问题,请考虑要求供应商赔偿医疗保健提供者与违规行为有关的任何责任。这也是一个好主意,要求供应商携带足够的保险水平,并包括一个条款通知,如果其保险失效。此外,要求供应商迅速报告任何违规行为——五天内是理想的。Nosowsky说:“在卖方违反其义务的情况下,合同中强有力的赔偿和保险条款是很重要的。”

实用的视角
总部位于多伦多的Shred-it公司战略客户总监Andrew Lenardon分享了医疗机构在选择文件销毁供应商时可以使用的几个实用想法。

莱纳登指出,大多数安全漏洞都是内部问题。医疗保健提供商可以采取简单的步骤,通过使用锁定的、不可弯曲的容器来减少内部人员对PHI的访问,这些容器除非绝对必要,否则不能移动,但仍然可用。他还建议客户制定“全部销毁”政策,而不是让员工自行决定销毁什么。

平衡成本管理与风险规避是另一个需要考虑的重要领域。“在今天的医疗环境中,成本是王道,但文件销毁不是要削减的领域。乍一看,降低成本似乎是一件正确的事情,但在这一领域削减成本可能是短视的,因为与适当合规相关的风险很高,违反规定的处罚也很高,”Lenardon说。beplay最新备用网站内包可能看起来是一个有吸引力的选择,但是没有审计跟踪,与员工不合规相关的风险,以及设备可能损坏的事实,在评估成本和风险规避之间的平衡时必须考虑到。beplay最新备用网站

Lenardon说,让供应商在现场销毁文件有很多好处,包括与HIPAA法规相关的问题,以及确保适当的合规性。beplay最新备用网站“任何提供现场销毁的人都能提供更好的监管链,降低设施的风险。根据HIPAA法案,如果销毁工作是在房屋内完成的,供应商被认为是劳动力的一部分,你不需要商业伙伴协议,”Lenardon说。“虽然我们仍然建议你的供应商签署商业合作协议,但这在很大程度上说明了,当你在公司内部销毁文件时,风险会降低。”此外,许多医疗保健组织希望确保其材料已被适当销毁,而现场销毁则有助于实现这一点。

医疗机构还必须找到能够满足其不断变化的文档销毁需求的供应商。Lenardon说:“如果你需要一个供应商满足特定的销毁规格,就对他们进行审核,以确保他们能够达到你的销毁指标要求。”例如,如果一个工厂目前使用的是标准的碎片大小,但是他们的需求改变为更小的大小,那么一定要找到一个有能力执行这些任务的供应商,即使目前没有需求。如果文件销毁需求发生变化,这将消除更换供应商的需要。

设施还经常试图在安全与破坏方法对环境的影响之间取得平衡。“寻找一种减少对环境影响的方法很重要,但如果这意味着要承担额外的风险,比如额外的手工分类,保留某些文件直到收集到足够的文件,或者使用可能在数百英里之外的销毁方法,从而增加了被破坏的风险,那么就不要这样做。”Lenardon说,他建议选择一家不会以这种方式将设施置于危险之中的供应商,同时通过优化服务路线或破坏频率来保持环境友好。

莱纳登说,如果所有员工都不遵守工厂关于如何处理PHI的政策,那么这些措施都不重要。“这项政策必须自上而下。医院管理者必须制定政策,员工必须知道他们每个人都有责任遵守政策。”

在选择供应商的过程中,不仅仅是采购部门的人加入决策团队,以确保成本不是唯一考虑的问题。“你需要包括来自风险管理、物理安全、信息安全和合规部门的个人;beplay最新备用网站包括那些在违规事件中负责决策的人,”Lenardon说。

通过与信誉良好的公司签订一份结构良好的合同,并从一开始就包含正确的条款,医疗机构更有可能找到一家供应商,该供应商将确保其纸质和电子医疗记录的安全性和适当销毁。

安妮·马西奥斯是宾夕法尼亚州多伊尔斯敦的自由撰稿人。

beplay电竞
斯库尔基尔路3801号
宾州春城,1975年
版权所有©2023
的出版商郑重声明
版权所有。
联系
 关于我们
作家的指导方针
隐私政策
条款与条件