2009年9月14日
齐心协力-高科技法案和HIPAA
伊丽莎白·s·鲁普著
郑重声明
第21卷第17页
HITECH法案填补了空白,并加强了HIPAA隐私和安全法规的执行。
描述HIPAA下隐私和安全法规的执行可以用一个词来完成:松散。
自2003年法律生效以来,向卫生与公众服务部(HHS)民权办公室(OCR)提交的近45,000起投诉中,只有约775起案件被提交给司法部或医疗保险和医疗补助服务中心(CMS)进行调查。没有一起案件导致直接民事罚款。
然而,潮流可能正在转变。《HITECH法案》(HITECH Act)进行了全面改革,消除了许多使执法复杂化的漏洞,并增加了加强问责制和对违规行为的处罚的法规。医疗保健行业的许多人都对这些变化表示赞赏,因为它们为隐私和安全法规提供了必要的清晰度和有效性,以推动HIT的发展。
“总的来说,我们认为[这些变化]是朝着建立公众信任迈出的非常积极的一步,这是支持广泛采用健康信息技术所必需的,”民主与技术健康隐私项目中心主任德文·麦格劳说,该项目专注于开发和促进可行的个人电子健康信息隐私和安全保护。
她补充道:“我们仍需要采取一些严肃的步骤来实施。向医疗服务提供者和公众提供有关这些变化的信息,并让医疗服务提供者和健康计划跟上速度,这将是一场斗争。我不是naïve关于我们面临的实施挑战,但总的来说,这是一件好事。我们现在的情况比六个月前好得多。”
McGraw也是联邦咨询健康信息技术政策委员会的成员,他认为HITECH法案下最重要的变化是那些与执法有关的变化。她特别指出,加大了惩罚力度,执法权力扩大到州检察长,以及更明确的联邦执法授权,这些都是HIPAA执行不力的主要原因。
“在没有明确授权在某些情况下实施处罚的情况下,卫生与公众服务部正在慷慨地利用其权力非正式地解决投诉。因此,OCR和CMS仅在两起案件中使用其权力提取货币结算。很难相信,五年来,这是仅有的两起涉及严重违反HIPAA的案件,”她说。
加强私隐执法
HITECH法案不仅引入了“故意忽视”的概念,而且还增加了民事罚款。在最低的情况下,如果违规行为不是故意的或在违规者不知情的情况下发生,则每次违规罚款100美元,每个日历年的罚款上限为25,000美元。在最高的情况下,对于故意忽视而没有纠正的违规行为,每次违规的罚款为5万美元,每个日历年的罚款为150万美元。
“这一变化意味着,卫生与公众服务部听说,一些医疗机构或医生只是说,如果他们从严格的商业角度来看,全力以赴遵守规定是不值得的。”这值得一试,因为到目前为止,HHS还没有对违反安全规定的民事处罚进行评估,”专门帮助医疗机构了解和遵守隐私和安全法规的Marblehead Group总裁凯特•博尔顿(Kate Borten)说。
卫生与公众服务部允许违规者纠正问题,而不是征收罚款。然而,现在,随着对什么构成应受惩罚的违法行为有了更明确的规定,这种做法有望改变。进一步推动这些期望的是执法权力扩大到州检察长,这一变化意味着有更多的资源来对违规者采取行动。
同样重要的是HITECH在违规通知方面所做的改变,这些改变将于本月生效。虽然许多州颁布了通知法令,但此类行为从未成为联邦层面HIPAA的一部分。虽然HITECH并没有取代州一级的通知规定,但它确实确保了所有违规行为都被报告,无论违规者或受害者位于何处。
根据HITECH法案,受数据泄露影响的个人必须在“不合理延迟”的情况下得到书面通知,但在60天内:
•对于涉及500人或以上的违规行为,卫生与公众服务部也必须立即得到通知,并将通知发送给当地主要媒体。卫生与公众服务部将在其网站上列出涉及此类严重违规行为的组织名单。
•对于较小的事件,组织可以保留违规日志,每年提交给HHS。
对于许多医疗保健组织来说,遵守违规通知法律可能意味着从头开始准备正式流beplay最新备用网站程和程序,以确定何时发生违规行为以及应如何处理由此产生的通知。
Borten说:“我确实认为这是一个许多组织一开始就没有做得足够彻底的领域。”违规通知组件逻辑上位于事件处理中。HIPAA已经要求组织有一个正式的流程来定义事件,教育员工识别和报告事件,然后采取响应步骤,其中应包括违规通知(如果适用)。所有这些都应该已经到位,但相当多的组织根本没有这种结构。他们可能有政策,这是一个很好的起点,但这还不够。”
商业伙伴
违约通知要求也延伸到业务伙伴(ba)。根据HITECH, BAs现在对违规行为负有直接责任。此外,广管局如知悉与其合作的受管实体(行政长官)有违规行为,如行政长官未有采取措施补救,则有责任举报有关违规行为。
因此,尚未这样做的BAs将需要实施自己的安全和通知政策和程序,并与ce合作,就如何处理通知达成协议。
在大多数情况下,这将要求ba仔细评估和修改现有的合同,不仅是与ce签订的合同,还包括与可能代表客户处理个人健康信息(PHI)的任何分包商签订的合同。
福克斯罗斯柴尔德律师事务所(Fox Rothschild LLP)的卫生法律师、法学博士海伦•奥斯斯劳斯基(Helen Oscislawski)表示:“协议必须修改,以反映业务伙伴与承保实体之间关系的性质已经发生了变化,这样,英国监管局实际上就有采取某些措施的积极义务。”“首先,如果行政长官没有采取措施纠正违约行为,而终止合同是不可选择的,那么BAs现在有直接义务,如果他们意识到受保护实体已经从事违约行为,就向卫生与公众服务部报告违约行为。”以前的情况正好相反。现在我们在两端都有了双边的、镜像的义务。它在很多方面改变了这些政党之间的动态。”
此外,虽然以前英国航空公司是否对违规行为负责的决定是在合同中处理的,但它们现在直接面临与相关实体相同的法定和民事罚款的风险,包括被州检察长追究的罚款。
考虑到BA提供的服务范围,从人员配置和IT到转录、信息发布和计费,实现遵从性的最大挑战之一将是识别和修改所有属于新法规的BA合同。beplay最新备用网站对于ba来说,更大的挑战是需要确保与分包商和第三方供应商签订的合同得到修改。
奥西斯劳斯基表示:“(BAs)在这方面有点松懈,因为他们不直接负责遵守HIPAA的标准,他们不会受到惩罚,而且许多受保护的实体没有用合同语言充分保护自己。”“现在,那些从事分包给第三方供应商的BAs需要确保他们有高层保证,这些第三方将以(与BA)相同的高层运作……因为这是BAs的直接风险真正来源。”
专门从事数据泄露预防和补救的ID Experts公司总裁Rick Kam表示,受新法规影响的BAs数量庞大,他估计大约有50万家,这意味着BAs和ce都需要从现在开始确保他们的合同符合规定。
他们的第一个重点应该是识别和解决面临最大挑战的领域,无论是就一套通知政策达成一致,还是评估和纠正PHI安全漏洞。关键是要确保双方商定的行动在合同中得到充分落实,以及任何惩罚措施。
“这是一种金融强迫功能,”卡姆说。“在合同中,如果他们被追究违约责任……这将迫使英国航空管理局在HITECH法案最终确定之前重新评估其如何保护这些信息。”
加密的安全港
在保护电子PHI方面,HITECH法案为ce和BAs提供了免受违规通知的安全港。根据新法规,如果使用普遍接受标准的加密使未经授权的个人无法使用、无法读取或无法破译PHI,则组织可以免除违约通知义务。
提供电子邮件加密和电子处方服务的Zix公司企业营销副总裁杰夫•毕比表示:“这是他们采用基于策略的加密的动机,这样他们就不必为泄露通知带来相当大的负担。”
然而,这并不像在PHI数据所在的位置加密那么简单。Bibby指出,电子邮件是目前医疗保健组织交换信息的最有效的电子手段。因此,确保PHI在从一个组织转移到另一个组织时保持加密是很重要的。
Zix对73家医疗保健组织发送或接收的800多万封电子邮件进行了抽样,这些组织都没有安全的电子邮件消息传递解决方案,从中可以看出这样做的重要性。他们发现,在出站电子邮件流中,保守的平均曝光率约为2%。对于每周发送5,000条消息的小型组织,这表示每周有100次不安全的PHI离开组织,或者每年超过5,000次。对于较大的组织来说,这种暴露率每年很容易高达50,000次。
“电子邮件的价值也是它最大的危险;它很容易使用,也很容易出错,”毕比说。“电子邮件仍然是许多小型流动诊所的主要通信支柱,也是受保实体与其业务伙伴之间的交易支柱。在电子邮件中发送ePHI将触发对违规通知的需求。但像基于策略的电子邮件加密这样简单的东西……可以避免这种情况。”
Kam还建议医疗机构不仅要加密PHI,还要加密所有相关的个人身份信息。这样的策略是必要的,因为今天的技术使得重新组装以前加密的数据成为可能,而且PHI和个人身份信息同样容易受到欺诈。
第一步是进行风险评估,以了解数据的位置,谁拥有控制和访问权限,以及数据目前在行政总裁和行政管理人员级别上的保护情况。这将确定最大的脆弱性领域,这些领域通常是可以访问数据的人和控制如何利用和共享数据的过程的人。
“正如我们与数十家供应商合作应对入侵一样,他们的IT系统通常受到很好的保护。试图获取数据的犯罪者非常聪明。他们会去到最薄弱的地方。纸质文件更容易被泄露,就像工作过度、薪酬过低的医疗保健专业人员一样。”他补充说,在许多情况下,一个简单的流程计划规定了如何处理违规行为,这是组织安全中缺失的一环。
Kam预计,在根据HITECH条款征收几笔巨额罚款之前,不会采取什么实质性行动。然而,等待是在冒不必要的风险。
“有些人在感受到痛苦之后才会注意到。医疗机构和他们的商业伙伴可能会想,“这不会发生在我们身上。”但当他们看到一连串的新闻报道时,他们就会清醒过来。”“这不是会不会发生的问题,而是何时发生的问题。”
——伊丽莎白·s·鲁普来自佛罗里达州坦帕市。专门从事医疗保健和HIT的自由撰稿人。
