2009年6月8日

看到红色
Selena Chavis著
郑重声明
第21卷第12页

新的“红旗规则”要求医疗机构在识别潜在的身份盗窃时保持警惕。

正如许多医疗保健和安全专业人士所预测的那样，美国政府正在继续采取措施，制定措施，以更有效地保护消费者免受市场安全漏洞和身份盗窃的影响。这些对医疗机构产生直接影响的最新努力是以8月1日生效的身份盗窃红旗规则的形式出现的。

作为2003年《公平准确信用交易法案》的产物，《红旗规则》特别关注组织防止身份盗窃和医疗身份盗窃的能力。

艾萨克森罗森鲍姆律师事务所(Isaacson Rosenbaum)驻丹佛的律师苏珊金丁(Susan Gindin)认为，美国联邦贸易委员会(FTC)估计，每年有900万美国人的身份被盗，其中医疗身份被盗占总数的4.5%，因此这一行动不足为奇。她说:“身份盗用是2008年消费者投诉最多的案件。”“红旗规定对全国数千家允许消费者支付服务费用的企业产生了广泛的影响。”

Chris Apgar, CISSP, Apgar and Associates(一家专门从事医疗信息安全的咨询公司)的总裁，建议许多消费者更容易将身份盗窃等同于信用卡或银行交易，尽管医疗身份盗窃也可能产生深远的影响。他指出，医疗身份盗窃的受害者可能会突然发现自己面临巨额医疗账单或保险被取消。他说:“(防止医疗身份盗窃)是各组织一直以来都应该做的事情。”“红旗规则本质上是主动的，而身份盗窃法本质上是被动的。”

该规则涵盖的实体包括向消费者提供信贷或支付计划的企业和组织，包括公用事业公司和慈善机构等各种各样的企业。马萨诸塞州健康信息管理协会主席、新英格兰西奈医院和康复中心HIM主任和HIPAA隐私官Sue Marre指出，它也适用于医疗机构，比如允许消费者分期付款或要求在特定账户上进行多次交易的医疗机构。

“最初，医疗机构认为我们不会被覆盖，”她说，并补充说，许多机构一开始都措手不及，截至3月份，统计数据显示，51%的医疗机构表示他们还没有准备好。“因为我们允许付款计划，所以我们作为债权人属于受保护的类别。我不认为医疗机构被故意排除在外。”

联邦贸易委员会将原定的合规截止日期从2008年11月1日延长beplay最新备用网站至2009年8月1日，因为包括医疗机构在内的许多实体不确定它们是否被列入受保护实体，特别是因为它们中的许多实体在其他情况下并没有被要求遵守联邦贸易委员会的规则。最后期限被延长到8月，以便给机构时间制定和实施书面预防方案。

虽然这一裁决让许多组织措手不及，争先恐后地遵守，但阿普加表示，这些规定是为了认真对待而制定的。在联邦贸易委员会的支持下，他补充说，根据他的经验，“如果你是一个被调查的实体，在被证明无罪之前，你是有罪的。”这就是联邦贸易委员会的运作方式。”

规则是什么
根据阿普加的说法，归根结底就是要有一个书面的程序，并按照它去做。他补充说，如果没有记录在案，那么它就没有在法律界发生过。

“作为一家负责任的医疗机构，我可能在做正确的事情，但如果我没有记录下来，在外人看来，我什么都没做，”他解释说。

规则指出，一个组织必须有一个“计划”，而不仅仅是一套政策和程序，虽然许多专业人士不清楚如何定义，但Marre指出，计划应该包含什么内容的关键与组织的规模直接相关。她说:“我在西奈的项目规模要比马萨诸塞州总医院小得多。”她将自己的212张病床与新英格兰最大的医院进行了比较。

阿普加说，该计划旨在覆盖所有账户，而不仅仅是那些属于付款计划或多次交易条件的账户。他说:“联邦贸易委员会的立场是，即使只有1%的账户属于这一定义，也没关系。”

规则指出，组织需要识别模式、实践和特定形式的活动——红旗——表明可能存在身份盗窃。金丁指出:“该规则提供了一个广泛的潜在危险信号列表，供组织在识别危险信号时使用。”“对于医疗实践来说，在提供医疗服务之前，适当的第一步是检查带照片的身份证、保险信息或信用卡，以确保他们与账户上的人和名字相符。”

她补充说，潜在的违法行为可能包括试图使用影印的驾驶执照、不寻常的账户活动或可疑的地址更改请求。

组织还需要提供在日常操作中检测潜在威胁的具体程序。金丁说，行动可能包括监控访问病人档案的人，并注意病人账户中的可疑活动。

当检测到危险信号时，还应该有相应的响应程序。金丁提供了一些可能的应对措施，包括确保窃贼的相关信息不会与受害者的信息混淆，联系保险公司以防止进一步的问题，并通知患者。

定期对员工进行培训是一项要求，同时还要监督与机构合作的其他服务提供者。Marre指出，新英格兰西奈医院定期进行员工发展培训，并在员工入职培训议程上安排了识别危险信号的具体培训。

规则中的其他条款要求对项目的有效性进行定期监测，并制定由董事会签署、执行和管理的文件完备的政策。

责任止于顶端
阿普加说，这些规则是专门制定的，要求在设施内采取自上而下的方法。他解释说:“这需要高级管理层采取一项政策，并注意该公司在做什么或不做什么。”“他们被要求每年对该项目进行审查。”

Gindin补充说，联邦贸易委员会希望看到有文件证明董事会、董事会委员会或管理医生正在监督项目的实施和管理，这意味着高级利益相关者将需要审查有关项目的报告，并批准任何重大变更。

Marre建议，项目的日常管理可以归属于或包括任意数量的部门，包括HIM、遵从性和IT。beplay最新备用网站她说:“在很多地方，这可能是由HIPAA指派的隐私或安全官员负责的。”“IT总监和我一直在一起做我们的项目。根据我们为HIPAA所做的工作，大多数HIM员工都有一些经验。”

不要重新发明轮子
Gindin认为，大多数设施，如果他们采取了适当的政策来遵守HIPAA，应该为危险信号的后果做好充分的准备。她说:“我怀疑大多数人已经有了相应的程序，他们所要做的就是记录。”

Apgar提醒组织在实施这些计划时要避免重复工作。“你不需要采取一套全新的红旗规则政策，”他解释说，并指出HIPAA已经要求的风险分析等条款。“我可以做一个风险分析，为什么还要做两个呢?”

阿普加指出，在另一个可能出现重复的领域，大多数设施可能已经有了一个安全响应小组。他表示:“这些(风险分析和安全响应团队)是应该已经到位的两个更重要的领域。”“与其组建新的安全响应团队，为什么不利用现有的安全响应团队呢?”

执行
当涉及到红旗执法时，与hipaa相比，这是一个全新的游戏-至少，这是许多行业专业人士所建议的。当HIPAA在六年前生效时，医疗机构已经做好了应对民权办公室(OCR)影响的准备。到目前为止，还没有正式的民事处罚。

阿普加指出，虽然许多机构可能已经放松了对HIPAA的警惕，但联邦贸易委员会的执法部门却大不相同。“联邦贸易委员会倾向于非常严肃地对待事情，”他说。“他们更注重执法，而不是OCR。”

金丁对此表示赞同，他指出，到目前为止，联邦贸易委员会已经对违反各种隐私法的人采取了30多项执法行动。“对违规者的处罚高达1000万美元，”她指出。

每违反一次红旗规则，医疗机构将被处以2500美元的罚款。此外，金丁说，趋势是，一旦一个医疗机构被引用，事情似乎就像滚雪球一样。她解释说:“如果联邦贸易委员会对医疗服务提供者采取行动，那么医疗服务提供者可能会面临卫生与公众服务部(HHS)或医疗补助服务部门(Department of Medicaid Services)对其HIPAA程序的调查，州检察长可能会根据州法律提起诉讼。”“我们也看到了基于数据泄露的集体诉讼，所以这也是一种可能性。”

阿普加指出，最近的一项和解源于联邦贸易委员会和卫生与公众服务部的双重调查，指控CVS Caremark全国各地的药店将大量敏感的个人健康和财务信息丢弃在露天垃圾箱里。美国最大的零售连锁药店同意支付225万美元的和解金和一项纠正行动计划，以确保其不会侵犯数百万患者的隐私。

阿普加说:“如果你让一个员工扔掉12份文件，而且这种情况持续下去，很快就会变得非常昂贵。”

然而，阿普加表示，不要指望联邦贸易委员会的调查人员会开始定期的合规审计。beplay最新备用网站他指出:“联邦贸易委员会没有庞大的执法机构，但他们确实对投诉和头条新闻做出了强有力的回应。”

金丁解释说，联邦贸易委员会的执法通常是由一个事件触发的，比如数据泄露或涉及组织的重大身份盗窃。红旗规则的关键在于，它是在问题发生之前识别问题的积极努力，而不一定是为了防止问题发生。
金丁说:“如果医疗服务提供者能够证明他们有一个记录良好的项目，尽管他们有项目，但事件确实发生了，那么面临法律诉讼的可能性就小得多。”

阿普加同意，如果组织遵循指导方针，就不应该太担心后果。他说:“如果我的员工没有发现(危险信号)并采取适当的行动，那么我的组织就会陷入麻烦。”

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅行的所有主题。

常见的红旗类别
在一份操作指南中，联邦贸易委员会概述了五个具体的“危险信号”，将包括在一个正式的计划中:

1.来自信用报告公司的提醒、通知和警告:信用报告或消费者信用活动的变化可能是身份盗窃的信号，如欺诈或信用报告上的现役警报，响应信用请求的信用冻结通知，或地址不一致的报告。

2.可疑的文件:有时文书工作有身份盗窃的迹象，包括身份证件看起来被篡改或伪造，或者这个人与照片上的身份证件不像，也不符合实际描述。

3.可疑的个人识别信息:身份窃贼可能会使用不一致的信息。例如，地址与信用报告不符，使用的社会安全号码列在社会保障局死亡主档案上或尚未发布的号码，出生日期与社会保障局发行表上的号码范围不相关，已用于已知欺诈账户的信息，虚假地址或无效电话号码，一个已经被别人使用过的社会安全号码，一个已经被别人使用过的地址或电话号码，一个人遗漏了必要的信息，并且对申请不完整的通知没有回应，或者一个人不能提供认证信息。

4.可疑账户活动:有时，提示是如何使用该帐户。红旗模式包括当没有错过付款的历史时的不付款，发送给客户的邮件被反复退回为无法送达，尽管交易继续在帐户上进行，客户没有收到邮件中的帐户对账单的信息，或者关于帐户上未经授权的收费的信息。

5.其他来源的通知:有时，客户、身份盗窃的受害者或执法部门可能会发出账户被欺诈开立或使用的危险信号。

- - - - - - SC