8月2016

有待检讨
Selena Chavis著
郑重声明
第二十八卷第八页

第二阶段HIPAA审计对被覆盖实体和商业伙伴的影响。

就像电影续集一样，对HIPAA第二阶段审核的期待让观众既焦虑又怀疑。为了回应监察长办公室(Office of Inspector General)对该法律执行情况的批评，民权办公室(Office for Civil Rights, OCR)已着手开展一项计划，重点关注受调查实体(CEs)及其商业伙伴(BAs)采用的政策和程序。

总部位于德克萨斯州的Scrypt的合规官兼技术副总裁吉恩•弗莱(Gene Fry)表示:“毫无疑问，这些最新审计的最大变化是纳入了BAs。”beplay最新备用网站“无论是首席财务官还是首席财务官，熟悉OCR最新的审计协议都是明智的，该协议提供了广泛的指导，明确了每种类型的审计需要采取什么行动以及由谁采取行动。”

Alston & Bird律师事务所的医疗保健律师保拉·斯坦纳德(Paula standard)博士指出，OCR要求ce在提出审计请求之前提供一份ba名单及其联系方式。“识别ce相当容易，因为在医疗保健方面，你有国家供应商标识符。在医疗保险方面，现在卫生与公众服务部(HHS)正在监管私营保险公司和医疗保险优势(Medicare Advantage)，他们知道谁是大玩家，”她说，并补充说，识别BAs要困难得多。“他们要求首席执行官做的一件事是提供一份他们的首席执行官名单，我的假设是，如果首席执行官不能做到这一点——或者不能轻易做到这一点——那可能意味着一个更大的问题。”

OCR负责健康信息隐私的副主任Deven McGraw表示，在最初的数据收集过程之后，“办公桌审计”于6月份开始审查组织政策和程序。她说，明年将开始进行更全面的现场审核。

选定的数据中心收到一封通知信，并要求其提供证明遵守选定的隐私、安全和违规通知规定的文件。beplay最新备用网站McGraw说:“实体应该继续监控他们的电子邮件帐户，以防OCR要求他们验证联系信息的通知。”他还补充说，首席安全官和助理都应该定期检查垃圾邮件和垃圾文件夹，以确保卫生与公众服务部的电子邮件不会无意中被转到这些文件夹。“此外，部分行政主任及行政主任已接获要求填写我们的审计前筛选问卷。”

认证机构必须在10天内通过将文件上传到OCR的安全门户网站来响应提供信息的请求。一旦审计员审查了所提供的文件并提交了调查结果草案，行政主管人员还有10天时间对初步调查结果作出回应。麦格劳表示，审计员随后会在30至60天内编写一份最终报告，其中包括行政长官的意见，由OCR审核后提交给行政长官。

McGraw指出，OCR正在审查一套特定的案头审计条款，包括:

•安全:风险分析与风险管理;
•违反:通知的内容和及时性;和
•隐私:通知和访问。

McGraw表示:“在对ce和ba进行现场审计时，OCR将对隐私、安全和违规通知条款进行更全面的审查。”“这些条款尚未确定。”

实体应查阅审计协议，查看审核员可能就每项规定询问的查询类型。

BAs:来龙去脉
Sheba E. Vine, JD, CPCO, First Healthcare compliance的法规beplay最新备用网站遵从性高级主管，将BA定义为“CE允许创建、接收、维护或传输受保护健康信息(PHI)的任何供应商”。HIPAA隐私规则将任何执行以下功能、活动或服务的供应商视为BA:

•索赔处理或管理;
•数据分析、处理或管理;
•利用审查;
•质量保证;
•计费;
•福利管理;
•实践管理;
•重新定价;
•法律服务;
•精算服务;
•会计服务;
•咨询服务;
•数据聚合;
•管理服务;
•认证服务;或
•金融服务。

standard表示，BA的定义可以扩展到“任何人，从像我这样的律师到会计师、账单服务、顾问、数据分析公司、实践管理公司，以及几乎任何在CE下执行的涉及使用PHI的服务。”

为了遵守HIPAA, BA必须签订BA协议(BAA)，这是一份书面文件，确保PHI将按照HIPAA指导方针得到保护。弗莱解释说:“它详细说明了英国广播公司将如何处理他们可以访问的信息，以及他们将采取哪些措施来保护这些信息。”他说:“行政长官有责任确保所有的基础设施管理协议都落实到位，并定期进行检讨。如果不这样做，则会大大增加发生违规行为的可能性。”

根据标准公司的说法，英国航空公司的规则中存在一些豁免。例如，当医疗保健提供者为了提供治疗服务而从另一个提供者接收PHI时，就不需要BA。此外，金融机构进行的支付处理活动也有HIPAA豁免。

Vine说，导管例外规则是在2013年添加的，用于解决那些提供快递服务的供应商，他们在没有实际访问日常信息的情况下运输或传输PHI。她解释说:“在确定这一相当狭隘的例外是否适用时，必须对所提供的传输服务的性质和PHI访问的范围作出事实性的确定。”“一个重要的区别是访问PHI的机会是短暂的还是持久的。传输或传输PHI但也维护PHI的供应商不是管道。”

Fry指出，管道例外规则主要适用于美国邮政服务、快递公司和互联网服务提供商等实体。“HIPAA规则明确规定，管道例外仅适用于提供‘单纯数据传输服务’的实体。除了这些被点名的例子，很少有实体可以合法地声称自己是一个渠道，”他指出。

斯坦纳德说，即使有了规则，也很容易在不知不觉中从免税服务转变为使实体成为BA的服务。她说:“在行政长官和其他实体都没有意识到他们关系的性质发生了变化的情况下，这种情况经常发生。”

斯坦纳德说，例如，一家一直在处理付款的金融机构，然后开始为首席执行官提供计费服务，可能不会考虑新的动态。然而，这种责任的转变使金融机构成为一个BA。

斯坦纳德说，数据的使用方式起着关键作用。医疗保健提供者可以从队列中获得PHI，以协助诊断或治疗。虽然此活动本身并不需要BA，但如果接收信息的提供者希望稍后将其用于数据分析，则需要一个遵从性的BA。beplay最新备用网站

认识潜在的陷阱
弗莱指出，未能签订BAA可能会带来灾难性的后果。他引用了今年早些时候的一个案例:北卡罗来纳州的一家骨科诊所在向潜在的商业伙伴交出1.7万多张x光片之前，未能执行BAA，因此同意支付75万美元的罚款。他表示:“这里要传达的信息很明确:在没有事先签订BAA协议之前，不要与任何外部方开展业务。”

斯坦纳beplay最新备用网站德说，不合规通常发生在未能认识到一个实体代表CE维护PHI的情况下。例如，对于云和软件服务提供商是否有资格成为BAs，往往存在混淆。由于云提供商存储的数据通常是加密的且不可访问的，一些ce认为这些因素消除了对BAA的需求。斯坦纳德说，还没那么快。她解释说:“有一些指导说，该供应商是BA，因为他们在维护数据，即使他们无法访问数据。”

Vine指出，管理医疗机构内部的所有关系可能是一项艰巨的任务。由于确定哪些实体是BAs并不总是直截了当的，许多ce只是感到困惑。出于这个原因，她强调“为了确定是否存在BA关系，单独查看每个供应商关系是至关重要的，需要书面的BAA，因为不遵守可能会付出高昂的代价。”beplay最新备用网站

Vine表示，这是BAs第一次遭受这种类型的OCR审计，做好准备是成功毫发无损的关键。她指出:“由于严格的审计时间表，这一点尤其正确，因为组织一旦被确定为受审核方，就会有有限的时间做出回应。”她强调，到目前为止，ce和ba都应该做好充分的准备。“应相应地审查和更新与HIPAA相关的内部政策和程序，应随时提供合规工作的文件，应审查OCR更新的审计协议，并应教育员工在进行审计时的责任。”beplay最新备用网站

标准指出，OCR仍在寻找未能进行风险评估的ce和ba，这是HIPAA的基本要求之一。她表示:“许多首席执行官和商业伙伴没有花时间了解(英国航空管理局的规定)，或者坦率地说，他们没有时间花很多时间考虑他们的供应商是谁，以及他们是否是官方的商业伙伴。”

Vine说，OCR计划利用第二阶段审计的结果来开发工具和指导，以帮助组织进行合规工作，并补充说，如果发现ce不合规，他们可能不得不付出高昂的代价。beplay最新备用网站她表示:“OCR表示，通过审计发现的违规行为将通过单独的合规审查进行调查，这可能导致法律责任。”beplay最新备用网站

斯坦纳德说，除了满足CE与供应商建立BAAs以代表他们处理PHI的要求外，还有一个问题是，一旦协议签署，CE应该对他们的BAs进行多大程度的监督。她说:“从技术上讲，卫生与公众服务部已经说过，你不需要进行主动监控，但有很多动机和理由表明，首席执行官应该更主动地与一些BA合作。”她补充说，首席执行官在签订协议之前与BA进行尽职调查，并定期确保组织遵守BAA条款，将更能满足合规要求。beplay最新备用网站

standard指出，主动管理BAs有助于减轻联邦贸易委员会(Federal Trade Commission)的规定和诉讼带来的其他潜在并发症，如果BA遭受影响CE患者或受益人的重大违规行为。她说:“尽管卫生与公众服务部说过，但在某些情况下，家庭助理可能应该更主动地监督他们的家庭助理。”

- Selena Chavis是佛罗里达州的一名自由撰稿人，她的文章经常出现在各种贸易和消费者出版物上，内容涵盖从企业和管理到医疗保健和旅行的所有主题。

语言很重要
为了遵守HIPAA，业务伙伴(BA)协议必须包含特定的语言，First Healthcare compliance的法规遵从高级主管、CPCO法学博士Sheba E. Vine说。beplay最新备用网站每个BA协议必须包括以下规定:

•建立BA允许和要求的受保护健康信息(PHI)的使用和披露;

•确保BA不会使用或进一步披露PHI，除非协议允许或要求或法律要求;

•要求BA实施适当的防护措施，以防止未经授权使用或披露PHI，包括实施HIPAA安全规则中关于电子PHI的要求;

•要求BA向受保实体(CE)报告其协议未规定的信息的任何使用或披露，包括构成违反无担保PHI的事件;

•要求广管局按照协议规定披露PHI，以满足行政长官就PHI副本的个别要求所承担的义务，并使PHI可用于修订和核算;

•在广管局要履行行政长官在《私隐规则》下的义务的情况下，要求广管局遵守适用于该义务的规定;

•要求BA在任何卫生与公众服务部的调查中提供与PHI的使用和披露有关的内部实践、账簿和记录;

•如果可行，要求BA在协议终止时归还或销毁所有PHI;

•要求广管局确保其可能代表其聘用的任何可访问PHI的分包商同意适用于广管局的有关该PHI的相同限制和条件;和

•如广管局违反重要条款，行政长官可终止协议。

- - - - - - SC

商业伙伴接受65万hipaa赔偿
费城大主教管区天主教医疗服务中心(CHCS)同意解决可能违反HIPAA的问题，此前该中心的移动设备被盗，导致数百名养老院居民受保护的健康信息(PHI)泄露。CHCS作为商业伙伴(BA)为六家专业护理机构提供管理和IT服务。受这两起违规事件影响的个人总数为412人。和解协议包括65万美元的现金支付和一项纠正行动计划。

“商业伙伴必须对他们从受保护实体创建、接收、维护或传输的受电子保护的健康信息实施HIPAA安全规则的保护，”民权卫生与人类服务办公室(OCR)主任Jocelyn Samuels博士说。“这包括企业范围的风险分析和相应的风险管理计划，这是HIPAA安全规则的基石。”2014年4月17日，OCR收到通知称，CHCS的员工iPhone被盗，违反了PHI，随后OCR启动了调查。iPhone没有加密，也没有密码保护。iPhone上的信息非常广泛，包括社会安全号码、诊断和治疗信息、医疗程序、家庭成员和法定监护人的姓名以及药物信息。在事件发生时，CHCS没有关于从其设施中移除含有PHI的移动设备或在发生安全事件时如何处理的政策;OCR还确定CHCS没有风险分析或风险管理计划。

在确定决议金额时，OCR认为CHCS为费城地区的老年人，发育障碍者，脱离寄养的年轻人以及艾滋病毒/艾滋病患者提供了独特且急需的服务。

作为和解协议的一部分，OCR将对CHCS进行为期两年的监督，以帮助确保CHCS在继续担任BA的同时继续遵守其HIPAA义务。

-卫生和公共服务