AHIMA特别版2013年9月

新综合规则
苏珊·查普曼
郑重声明
第25卷第13页

专家们阐明了一些可能引起恐慌的灰色地带。

卫生与公众服务部(HHS)加强了根据HIPAA建立的受保护健康信息(PHI)的隐私和安全保护。9月23日生效的《综合最终规则》不仅加强了对患者隐私的保护，而且为个人提供了获取健康信息的新权利，并加强了政府执法的能力。

这些变化增加了公众对PHI的保护和控制。过去，HIPAA的隐私和安全规则侧重于医疗保健提供者、健康计划和其他处理健康保险索赔的组织。当前的变更将许多需求扩展到附属的业务伙伴，例如有权访问PHI的承包商和分包商。

根据新规定，对违规行为的处罚将根据疏忽程度而定，在一个日历年内，每次违规beplay最新备用网站最高罚款5万美元，每次违规最高罚款150万美元。这些变化还加强了HITECH法案的违规通知要求，澄清了何时需要报告不安全健康信息的违规行为。

该规则在重要方面扩大了个人权利。例如，患者可以要求电子形式的医疗记录副本。此外，当患者全额支付治疗费用时，他们可以指示提供者将治疗信息从他们的健康计划中保密。该规则还为如何使用和披露信息用于营销和筹款目的设定了新的参数，禁止未经许可出售个人健康信息，并简化了患者授权将PHI用于研究目的的能力。

尽管综合规则确实进一步澄清了HIPAA，但仍有一些模糊的领域让一些HIM专业人士寻求更多的澄清。

安全事故与违规
当违规行为必须报告时，规则进行了修改。然而，对于安全事件和破坏之间的区别存在混淆。

Beacon Partners的全国业务主管里奇•坦普尔(Rich Temple)表示:“数据泄露意味着有人访问了或者可能做了不该做的事情。”“安全事件意味着某人可能看到或拿走了他不应该看到的东西。这也可能意味着他不知道自己在看什么。”

Apgar & Associates首席执行官兼总裁、信息安全顾问克里斯•阿普加(Chris Apgar)表示:“对于受保护的实体来说，在数据被泄露之前，一起事件不会成为数据泄露。“如果数据是加密的，那么信息就没有被泄露。比如，如果硬盘没有加密，我就得通知别人。根据卫生与公众服务部2009年发布的指导意见，如果是纸质的，就永远不安全。”

关于后一点，邓波儿指出，要找到一个没有把文件放在显眼位置的组织是很有挑战性的。他说:“通常，这些地区都是安全的，有授权的人可以查看。”“但是，例如，看门人可以看到一些东西，应该采取预防措施来防止这种情况发生。一般来说，常识应该占上风。美国国家标准与技术研究所(NIST)有一个评估事件对功能影响的指南。重要的是要应用一组有意义的可靠参数。”

阿普加说，新规定要求组织假设，如果不安全的PHI泄露发生，他们必须提交报告并证明相反的情况。他解释说:“如果在调查情况后，确定PHI已经被泄露，无论是电子的还是纸质的，活动组织需要假设它是可报告的。”“如果组织是受保护的实体，它必须进行四因素风险评估，除非风险非常低，否则需要报告违规行为。”

Redspin的总裁兼首席执行官Daniel W. Berger对此表示赞同，他指出，组织必须首先确定安全事件是否涉及或可能涉及phi。根据综合规则，受保实体必须对涉及不安全PHI的每次违规行为进行风险评估。业务伙伴还必须向负责进行风险评估的承保实体报告任何违反不安全PHI的情况。

“在确定妥协的可能性时，必须考虑四个因素，”伯杰说。“首先，PHI涉及的性质和范围，包括标识符和重新标识的可能性。其次，未经授权使用PHI或向其披露PHI的人员的身份。其次，是否实际获得或查看了PHI，最后，该PHI的风险已减轻到何种程度。虽然这仍然留下了解释和主观性的空间，但这种灵活性可能是必要的，因为在这一治理领域，往往无法划定强硬的界限。”

伯杰补充说，如果受保机构认为PHI被泄露的可能性很低，它可能会选择不向受影响的个人或民权办公室(OCR)披露这一事件。然而，该组织仍然必须保留如何做出该决定的记录。除非通过合同授权给业务伙伴，业务伙伴不确定风险以及是否需要报告违约行为。

伯杰说，无论潜在的漏洞是黑客事件还是停电造成的，都必须进行风险评估。

Holland & Knight数据隐私和安全团队联合主席香农•哈茨菲尔德•萨利莫尼表示，注意安全事件很重要，即使它们不会导致数据泄露。她说:“被盗的加密笔记本电脑可能表明，即使信息无法访问，也可能存在必须关注的物理漏洞。”“是否有门上的锁坏了或其他情况使PHI易受攻击?”这不仅仅是关于信息本身;这也是为了保持整体环境安全。”

Bryan Cline博士是健康信息信任联盟(Health information Trust Alliance)首席信息安全官兼共同安全框架开发和实施副总裁，他说必须仔细评估安全事件，以确定它们是否上升到违规的程度。“必须首先对这些事件进行评估，以确定它们是否对信息资产构成威胁，”他解释说。“据我们所知，有些事件不会上升到安全事件的程度。例如，每天可能对组织的防火墙进行数千次扫描。

“但一个事件很容易变成一个事件，”他继续说道。“假设一个组织收到了大量的垃圾邮件。你训练用户不要回应，所以你收到垃圾邮件这个简单的事实并不构成事件。现在让我们假设您发现有人回复了电子邮件中的链接。现在您有了一个潜在的安全事件，需要进一步调查，因为如果PHI存在于个人的机器上，这可能会影响PHI的安全性。如果可以证明恶意软件已被成功下载到该人的计算机上，则需要进行调查以确定是否发生了违规行为。然后，您将通过HITECH/综合规则评估来确定违规是否可报告。如果你能证明造成伤害的可能性很低，那么你就不需要报告这一事件。”

克莱恩举了一个例子，一个人收到了错误的纸质记录，但他立即把它放回了原来的地方。在这种情况下，如果不能合理地保留信息，则该事件可能不被视为违规行为。如果是这样的话，那么这个事件就不应该报告。

另一个必须评估的风险是，个人可以访问他或她没有被授权查看的信息。例如，病人的账单被发送到错误的地址，或者诊所的接待员获得了病人的心理健康信息。在过去几年中，大医院的工作人员偶尔会故意查看PHI。阿普加说:“访问应该是必要的最低限度。“如果我给某人提供的信息超过了他们完成工作所需的信息，这就构成了违约。他们没有商业或临床理由去看这些信息。由于发生了员工获取名人信息的事件，现在应该制定政策和程序来确保贵宾的隐私得到维护。”

在大多数医疗机构中，访问权是一个棘手的问题，有时甚至令人困惑。“未经授权的访问确实有一些模糊的方面，”坦普尔说。“HIPAA规定，每个有权访问的人都应该看到完成工作所需的最低限度。如果个人的用户ID不允许她看到不是她照顾的病人的[记录]，那么她就不应该看到。有些人还共享密码，这是未经授权的访问。如果您去了不属于您的地方或以虚假的借口访问系统，这些活动将被视为未经授权的访问。即使对HIPAA的认识有所提高，人们仍然把密码留在电脑上的便利贴上。共享者和被共享者都要为密码共享承担责任。”

Salimone认为，尽管综合规则提供了指导，但它缺乏明确性。她说:“总的来说，这个规定是经过深思熟虑的，很有帮助。”“这将导致更多的违规报告，但它仍使安全事件的定义有待解释。”

Agpar说，缺乏定义一直是HIPAA的一部分。他说:“HIPAA安全规则并没有包括安全事件的定义，以支持灵活性。”2009年，HITECH法案定义了可报告的违规行为:PHI泄露。如果它是电子的，没有按照NIST标准加密，或者它没有完全被摧毁，那么它就不是完全安全的。如果它是非电子的，除非它被彻底摧毁，否则它是不安全的。”

业务伙伴的义务
《综合规则》要求业务伙伴“向所涉实体报告其所了解的任何安全事件，包括违反不安全的受保护健康信息的要求……”

许多个人和组织都有商业伙伴的头衔。阿普加说:“商业伙伴可以是IT人员、律师、会计师事务所、程序员——任何代表受保护实体使用、披露、存储或传输PHI的人。”“市场上有很多云计算供应商。他们无意查看数据，但他们有机会查看数据。我是一个分包商，和一个受保护的实体签订合同。如果发生了违规行为，而我没有报告，我可能会被罚款。”

克莱恩说，商业伙伴必须确定是否发生了事故。如果是这样，他们必须将其报告给受保护的实体，然后由其决定是否上升到违规的级别并需要报告给HHS。他表示:“如果某件事差一点就发生了，并得到了补救，业务伙伴会想要向相关实体报告。”“也就是说，这取决于受保护实体在商业伙伴协议中说明哪些需要报告，哪些不需要报告。每个涵盖的实体使用不同的定义。在协议中明确什么是可报告的，什么是不可报告的，总是有帮助的。”

萨利莫尼说，许多受保实体都规定，商业伙伴必须报告任何导致不当使用或披露的情况。否则，业务伙伴可能单方面决定该事件是无害的。她说:“商业伙伴和保险实体都必须跟踪这些事情，并做出决定。”“双方都必须任命一名安全官员，并采取一切必要行动。”

邓波儿指出，这个过程可能会变得很麻烦。他表示:“由于涉及后勤和文书工作，试图对每一起上报的事件都采取正式、全面的补救程序，可能会适得其反。”“它占用了那些真正需要关注的事件的时间和资源。所有或大或小的事故都应按照综合安全条例进行记录。”

阿普加的观点更为严格。他表示:“如果我是一名商业伙伴，我知道了一起安全事件，我就必须考虑这家公司有多严格。”“我们总是建议业务伙伴向受保护实体报告，让他们做出决定，因为这是最终违规通知规则的要求。”

的指导方针
根据专家的说法，必须有适当的指导方针来确定事件是否可报告。阿普加说:“我每天都会有一些事情发生。“如果一台笔记本电脑被感染，我知道该怎么做，一直到‘我有一个重大灾难’，或者有人丢失了一台没有加密的笔记本电脑。我必须安排一个安全事件反应小组。通常，核心(团队)只会考虑it，然后他们会进入下一个层次，可能涉及营销、沟通、律师等。其中一个问题是，人们已经制定了政策来做这些事情，但是如果计划没有经过测试，当出现重大违规时，事情就会分崩离析。”

典型的测试场景包括创建一个涉及整个团队的违约事件。测试事件的开始就像它实际上发生在工作场所，当时还不知道多少信息。然后，随着调查的继续，更多的人被卷入其中。阿普加说:“人们不去测试，因为他们没有考虑过。“一般来说，在安全方面投入的资源不够;它不被视为一种保险政策，但它就是这样。”

克莱恩补充说，事故响应已经存在很长时间了。“这真的不是火箭科学;这很简单，”他说。“不幸的是，许多组织没有专门的人员来响应事件。这通常是一个特别的团队，他们会根据需要引入其他人。他们会遵循一些程序，但这不是他们每天都要做的事情，因为这些人有其他全职工作。”

不报告的后果
未能正确报告潜在违规行为的组织可能会收到OCR的电话通知。不过，这不应该是恐慌的信号。阿普加说:“只要你顺从，并能支持你的决定，你就可能没事。”如果OCR不同意你的程序，他们可能会要求你做出改变。如果你及时修理它，你就不会被罚款。然而，如果你不能证明你已经做了风险分析，没有执行政策和程序，等等，你将被罚款。这叫做故意忽视。”

缺乏遵从性可能会beplay最新备用网站付出昂贵的代价。例如，最近的安全漏洞给WellPoint和Affinity Health分别造成了170万美元和120万美元的损失。

坦普尔指出，违规后果可能超出罚款。他说:“公司应该关注刑事责任，对不遵守组织安全协议的个人应该进行制裁。”

为了减轻这种情况，坦普尔鼓励企业采取强硬措施，立即解雇任何涉及安全漏洞处理不当的人员，并在不披露身份的情况下公开此类行为。他说:“有一个零容忍的政策文件，并执行该政策，使其自我监管，更容易遵守新规定。”beplay最新备用网站

-苏珊·查普曼，洛杉矶作家。