2011年6月6日

制定法律- OCR准备对违反HIPAA的人施加伤害
Lisa A. Eramo著
郑重声明
第二十三卷第十一页

如今，医疗保健组织无需费力就能找到证据，证明民权办公室(Office for Civil Rights, OCR)在遵守HIPAA方面是认真的。beplay最新备用网站

想想马里兰州乔治王子县的Cignet Health公司吧，该公司最近因违反HIPAA隐私规则而成为头条新闻，因为它未能在要求的30天内(不迟于60天)向41名患者提供医疗记录的副本。这些请求发生在2008年9月至2009年10月之间。由于Cignet未能向患者提供他们的健康信息，卫生与公众服务部(HHS)对其处以130万美元的民事罚款。

此外，在调查期间，Cignet没有遵守OCR。特别是，卫生系统拒绝与调查人员合作，并且未能在OCR的传票下提供记录。为此，信诺又被处以300万美元的民事罚款。

OCR发言人Rachel Seeger说，Cignet案很重要，因为它代表了HHS对违反HIPAA隐私规则的第一次民事罚款，基于hiech法案授权的罚款金额增加。她补充说，HITECH大幅修改了违反HIPAA的类别、民事罚款金额的范围以及对HIPAA诉讼的可用辩护。

为了对Cignet处以总计430万美元的民事罚款，OCR追踪了41名患者的就诊截止日期。然后，在2010年4月7日之前，每天对违规行为处以罚款，这一天是Cignet亲手向司法部交付41名患者每人59箱原始医疗记录的日子。箱子里还装有大约4,500个人的医疗记录，OCR没有对这些人提出要求或要求，Cignet也没有向卫生与公众服务部披露其受保护的健康信息的依据。

在2009年2月18日(HITECH颁布的日期)之前，OCR对每次违规行为处以每日100美元的罚款。在2月18日当天或之后，OCR可以对每次违规行为处以每日50,000美元的罚款，详见HITECH第13410(d)条。

达拉斯杰克逊沃克律师事务所(Jackson Walker LLP)的律师杰弗里•德拉蒙德(Jeffrey Drummond)说，医院和供应商必须记住，Cignet拒绝与OCR合作是该系统被处以巨额罚款的很大一部分原因。“罚款的数额完全与拒绝合作有关，所以我对结果一点也不感到惊讶。“我对巨额罚款感到惊讶，只是因为我对Cignet明显的阻挠努力和缺乏合作感到惊讶，”他说。

数据存档和存储管理软件及解beplay最新备用网站决方案提供商KOM Networks的销售副总裁Al Shaath表示:“合规成本(比罚款)要少得多，我认为这正是OCR试图表达的观点。”

OCR确实明确表示，它将追究不合规的提供商，包括那些无视其请求的提供商。

OCR主任Georgina Verdugo在2月22日正式宣布对Cignet的处罚的新闻稿中说:“受保实体和商业伙伴必须坚持自己的责任，向患者提供他们的医疗记录，并严格遵守HIPAA的所有要求。”“美国卫生与公众服务部将继续调查并对那些故意无视这些规则所规定义务的组织采取行动。”

2月24日，在宣布对Cignet的处罚后不久，OCR宣布对波士顿的马萨诸塞州总医院(Massachusetts General Hospital)进行100万美元的和解，该医院在一起事件中丢失了192份患者记录。这些记录属于医院的传染病协会门诊实践，包括艾滋病毒和艾滋病患者的信息。

“如果一个受保实体没有认真对待OCR最近的执法活动，那么他们应该认真考虑他们为合规所做的努力。西格尔说:“Cignet和麻省总医院都是OCR将继续推进积极执法努力的例子。”

然而，亚特兰大史密斯·摩尔·莱瑟伍德律师事务所的合伙人巴里·s·赫林(Barry S. Herrin)说，有很多医疗服务提供者——尤其是那些小型个人诊所或医生团体——不会花时间真正了解HIPAA的复杂性，除非他们亲自认识了因违反HIPAA而受到处罚的人。

Herrin说，医院比小型供应商更有可能遵守HIPAA，因为在医院环境中，患者记录的保密性和隐私性(包括遵守HIPAA)是联合委员会调查过程的一部分。beplay最新备用网站他补充说，个人实践或医生团体没有这种外部动机来采用政策和程序，并采取措施确保HIPAA得到遵守。

赫林说:“在我见过的大多数情况下，(医疗服务提供者)从咨询师那里购买的隐私实践通知，在州法律下通常是严重不足的。”“他们仍然没有对自己的记录进行适当的物理保护。他们不像HIPAA规定的那样与患者进行对话。”

重温HIPAA防御
专家说，鉴于Cignet和Mass General的案例，现在是组织重新评估其HIPAA合规工作的时候了。beplay最新备用网站

德拉蒙德说:“所有受保护的实体和商业伙伴都应该重新评估他们的合规工作，特别是他们的事件响应工作。”beplay最新备用网站Cignet没有对客户投诉表示违反HIPAA的行为做出回应。然后，当OCR开始调查时，Cignet没有回应。雪茄没有遵守，但它也没有回应，后者是更大的问题。OCR可能会决定收取像这样的巨额罚款，所以任何必须遵守HIPAA的人都应该关注他们的合规和响应努力。”beplay最新备用网站

德拉蒙德说，企业可以从雪茄事件中学到的最重要的一课就是做出回应。这包括在调查期间响应患者对信息的请求以及响应OCR。“要乐于助人，并表现出你在努力顺从，做正确的事情。在Cignet案例中，特别有趣的是，它甚至没有违反HIPAA。Cignet没有向公众泄露任何人的数据，也没有让任何人面临身份被盗的风险。它只是拒绝让病人拥有自己的信息，”德拉蒙德说。

Shaath说，Cignet案例还应该提醒医院，它们需要一种基础设施，使它们能够长时间保护和保留受保护的健康信息，提供对电子信息的即时访问，并根据新的和更新的法规快速生成记录。他补充说:“这个(案例)不仅应该给医疗机构敲响警钟，也应该提醒所有受到严格监管的企业，要长期、认真地审视信息生命周期管理和法规遵从性。”beplay最新备用网站

组织也可以从麻省总医院的解决方案中学习。OCR宣布的和解特别提到了符合HIPAA计划的这些核心组成部分:

•员工培训;

•严格执行政策和程序;

•定期内部审计;和

•应对突发事件的快速行动计划。

Herrin说:“这就是OCR希望看到的一个功能齐全、符合HIPAA隐私和安全计划的输出。”“他们以前从未这么说过。在此之前，没有任何公开发布的内容涉及(OCR)期望(医院和供应商)如何执行合规任务。”beplay最新备用网站

Herrin说，这一指导性指南将帮助医院制定符合OCR期望的合规计划，并为监管机构提供在审计过程中所寻找的东西beplay最新备用网站，他希望该指南还能在医院内部引发对话，讨论满足这些期望的具体方法。

进行内部审计
专家说，从这些案件和其他涉及巨额和解的案件中，总的信息是，HIPAA的执行正在以一种过去可能从未有过的方式占据中心地位。事实上，根据HITECH的说法，联邦政府必须对医院进行定期的HIPAA审计，尽管许多细节仍然未知。

“OCR正在制定一个健全的战略审计计划，以补充我们正在进行的执法活动。目前，该项目的细节仍处于预先决定阶段，OCR也没有更新实施时间表。”

显然，OCR正变得越来越激进，仅仅是因为法律要求它这样做，Herrin说。根据HITECH, OCR必须正式调查任何因故意疏忽而违反HIPAA的投诉，故意疏忽指的是有意识的，故意的失败或鲁莽的无视遵守行政简化规定的义务。Herrin说，这意味着医院应该首先尽最大努力防止违规行为的发生，并在发生不幸事件时与OCR合作。

进行风险评估
HIPAA遵从性最重要的方面之一是风险评估，因为它可以帮助组织确定漏洞所在。beplay最新备用网站

根据已发布的CMS风险分析和风险管理指南，组织应采取以下步骤:

确定分析的范围。

•收集数据。

•识别和记录潜在的威胁和漏洞。

•评估当前的安全措施。

•确定威胁发生的可能性。

•确定威胁发生的潜在影响。

•确定风险水平。

•确定安全措施并最终确定文件。

Shaath说，对潜在威胁的持续评估是成功的风险管理计划的关键组成部分。“过程评估必须包含更严格的一致性，以保护和保存信息的完整性和保护隐私。对资产的保护不能再是事后诸葛，如果做不到这一点，将产生严重的后果。”

Shaath说，风险评估应该检查HIPAA合规性的各个方面，包括谁有权访问信息，以及采取了哪些物理安全措施来保beplay最新备用网站护传输中的数据和静止的数据。“数据加密和数据冗余对于证明安全性非常重要。HIPAA合规步骤的文档也很重要，因为审核员会beplay最新备用网站要求这些[信息]。员工了解医院的隐私和安全政策和程序也很重要，”他说。

德拉蒙德说，尽管HITECH并没有重新定义风险评估，但它强调了对特定设施进行控制的必要性。他说，风险管理项目的最大演变发生在《安全规则》的采用之后，该规则为物理、技术和行政保障制定了具体标准。它还要求所涉实体制定和执行风险分析，并将这些分析草拟成正式的政策和程序。

“从那以后，除了违规通知程序之外，规则并没有发生太大变化。德拉蒙德表示:“风险管理的演变应该更多地由实体的具体情况驱动。”

Herrin对此表示赞同，并补充说，进行风险评估最重要的方面可能是理解没有千篇一律的方法。他补充说，评估——以及整个HIPAA合规计划——必须针对具体的医院及其独特的需求进行调整beplay最新备用网站。

“规则是一样的，但合规任务是不同的，”Herrin说。beplay最新备用网站“让我们感到沮丧的是，当(供应商)从夏威夷、阿拉斯加或加利福尼亚的一些医院的互联网上提取合规政策，然后在他们的医beplay最新备用网站院采用它。那项政策与他们如何行医毫无关系。政策需要由内而外设计。”

Herrin说，同样，每个机构应该单独决定谁可以访问记录以及在什么情况下可以访问记录。各设施之间的管理权限通常是相同的;然而，临床使用可能会有所不同。

例如，一家独立医院的访问控制可能会受到限制，这样那些进行协作但在患者护理方面没有必要整合的医生只能访问他们自己的患者信息。Herrin说，这种访问控制模式可能看起来与大型综合医疗实践(例如梅奥诊所)使用的模式不同，在后者中，允许所有医生访问信息可能会使患者受益。

设施应该采取团队方式来创建用户访问控制，以帮助确保符合HIPAA并阻止窥探者，Herrin说。beplay最新备用网站涉及以下人员:

IT/安全人员可以帮助确定是否可以创建某些级别的访问控制以及这些级别的例外情况。例如，一些医院可能希望限制医生提供的患者信息，除非他们正在咨询医生，否则他们不会治疗患者。

•临床医生可以解释为什么他们可能需要访问某些类型的信息背后的基本原理。这些事实对IT人员来说不一定是直观的。

•HIM可以确保通过基于角色的访问提供的信息是完整和准确的。

德拉蒙德说，这个团队也应该定期(至少每年一次)开会，重新评估公司如何识别和处理风险。“如果你不能让所有人都参与进来，你就会错过威胁和可能的解决方案。让某人负责确保HIPAA政策制定过程不断发展和修订，”他说。

超越政策和程序
德拉蒙德说，制定包含全面风险评估的政策和程序是有帮助的，但组织应该记住，审核员可能会关注事件报告之外的文件，以及如何积极处理HIPAA投诉。

“你需要展示你有典型的HIPAA表格和策略的三环活页，但(审计人员)可能会更多地关注你如何处理不断变化的威胁环境。为HIPAA审计做准备的最好方法是准备处理一个严重的HIPAA问题。”

“政策和程序不只是架子上的一堆活页夹。它们必须成为企业文化的日常组成部分。”西格说。“OCR强烈鼓励所覆盖的实体和商业伙伴通过定期审查其政策和程序来建立和维护其组织内部的合规文化，以确保完全符合HIPAA。beplay最新备用网站虽然HITECH可能是对受保实体的一种激励，但自我评价应该是标准做法。为了确保合规性，受保beplay最新备用网站护的实体和商业伙伴应该定期进行内部审计，定期对员工进行培训，并制定及时的行动计划来应对事件。”

Lisa a . Eramo是罗德岛Cranston的自由撰稿人和编辑，专门研究医疗监管、HIM和医疗编码主题。