HIPAA风险评估的回报

9月2014

HIPAA风险评估的回报
朱莉·克努森著
郑重声明
第二十六卷第九页

随着3月份发布的新的安全风险评估(SRA)工具——国家卫生信息技术协调办公室(ONC)和公民权利办公室(OCR)合作的结果——供应商组织现在有了一种新的方法来识别潜在的风险领域并制定策略来减轻风险。该工具并不完美，但专家表示这是一个良好的开端。

岁月的流逝
四年前，ONC与地区推广中心项目受助人一起开发了一份电子表格，帮助卫生组织进行风险评估。“这是一个提高意识的工具，”劳拉·罗萨斯(Laura Rosas)，法学博士，公共卫生硕士，ONC首席隐私官的高级顾问回忆道，并补充说，最初的40多个问题，旨在为受助者提供指导，后来将成为新的SRA工具的基石。

大约在同一时间，OCR正在与美国国家标准与技术研究所合作开发一种名为安全内容自动化协议的SRA工具。罗萨斯说:“我们的网站上仍然可以买到。”“大型机构大约有800个问题，小型机构大约有600个问题，所以这是非常全面的，但对于小型供应商来说也是压倒性的。”随着这些工具开始得到更广泛的使用，出现了更有针对性的需求。她说:“对于区域推广中心项目的重点所在的小型组织来说，显然需要一个更强大的工具。”

社区卫生中心、农村诊所和关键医院——通常资源有限的小型提供者团体——都在大声疾呼，要求得到更符合他们需求的东西。“我们开始探索如何与OCR合作，开发一个更强大的工具，它不是基于Excel电子表格，而是一个实际的应用程序，”罗萨斯说。在过去的几年中，ONC与OCR密切合作，以早期的安全内容自动化协议和区域扩展中心问题为基础，开发了当前的SRA工具。罗萨斯说:“我们坐下来，把事情整理起来，我们试图整合，我们试图减少一些对小公司来说是多余的，但对大公司来说可能是完全合理的。”

这些努力在应用程序中发挥了重要作用，该应用程序旨在利用该内容并为通过风险评估过程的提供者提供上下文。

新的SRA工具旨在帮助组织将风险和补救步骤联系起来，并回答诸如“如果我不进行评估，会有什么威胁和漏洞?”以及“可以实施哪些保障措施?”

该工具在具体程度上是有限的。罗萨斯说:“我知道人们总是想要更具体的东西，但医疗保健是非常多样化的。”他补充说，组织的规模和类型只是众多参数中的两个。“我们试图在特殊性和灵活性之间取得平衡，这实际上是安全规则应该建立的基础。”

真实世界
在组织手中花费了几个月的时间后，SRA工具正在从其目标受众那里生成反馈。Rita Bowen, MA, RHIA, CHPS, SSGB, HIM高级副总裁和HealthPort的隐私官说:“它是为小型实践和那些难以确定安全风险评估是什么而设计的。”她认为一些用户没有完成彻底的风险评估，但在衡量合规性时仍然会选择“是”。beplay最新备用网站对于这些提供商，该工具允许他们进行风险评估，并至少在基本级别上覆盖其安全流程。她说:“现在将会有许多更先进的组织，他们会根据自己的需求超越这个水平，但我认为这至少涵盖了基本的东西，可以说，‘是的，我已经达到了核心的最低要求。’”

PerfectServe的总裁兼首席执行官Terry Edwards表示，SRA工具非常全面，针对不同的监管要素采用了有组织的结构，提出了适当的问题，并允许对每个适当领域的保障措施进行额外的评论。然而，当他在iPad上使用导航时，他将其描述为“可怕的”，并指出完成评估的时间承诺——已经是一项重要的工作——可能会让用户难以承受。爱德华兹说:“在这种情况下，我可以看到一个小型或中型的实践管理员因为导航方面的挑战而变得不知所措，感到沮丧。”

事实上，该工具的目标受众——拥有多达10名从业人员的中小型实践——可能只有最少的时间来使用它。“小型诊所和小型护理机构的提供者实际上非常沮丧，因为他们正在寻找一些使他们的工作更轻松的东西，而不仅仅是增加他们一天的工作量，”哈利·b·罗兹(Harry B. Rhodes)说，他是MBA、RHIA、CHPS、CDIP、CPHIMS、FAHIMA的HIM实践卓越主管。“在未来的迭代中添加额外的功能将是这个时间紧迫的团队所欢迎的。”

罗兹说，基于首次评估做出改变的组织可能会发现很难确定工作是否得到了回报。他说:“除非你把原件打印出来，否则你不可能真正重新评估并与之前的文件进行比较。”该工具不需要添加新数据来与以前的基准测试进行比较，而是要求用户键入在以前的评估中输入的信息。罗兹说，打印和比较是一种效率低下的做法，规模较小的供应商团体没有足够的时间来支持。

罗萨斯说，这个工具确实提供了必要的途径。“有一个审计功能可以记录这些更改。此外，打印出时间/日期标记评估，”她指出。“如果我们不允许用户更改信息，那么工具和报告将非常笨拙。”

优点,缺点
Bowen很欣赏SRA工具的简单性。即使是深度安全知识通常不是强项的小型实践，使用该工具也不会有太大问题。她说:“对于一个可能没有完全深入了解安全流程的外行来说，这很简单。”她补充说，该工具将帮助用户“提出正确的问题或研究正确的组件”，即使他们没有采用电子病历或其他复杂的功能，如在患者门户网站上共享信息。“这有助于他们确定他们应该问的问题，以确保隐私和安全。”

EvriChart总裁、MBA罗伯特•林奇(Robert Lynch)表示，对于仍然依赖传统数据平台和纸质记录的医院系统，SRA工具必须通过旨在确定风险领域的额外解决方案得到增强。“(该工具)需要成为更广泛的安全风险评估计划的一部分，”他表示。医院的存储要求范围很广泛，有些要求将记录保存多年(如婴儿的情况)，但Lynch指出，该工具“无法识别不符合要求的纸质存储设施”，并补充说，其他识别潜在安全弱点和可能的合规漏洞的方法是必要的，以确保所有形式的记录都得到适当的保护。beplay最新备用网站

爱德华兹说，供应商组织可能希望把这个工具当作一个活生生的文件来对待。“遵守HIPAA并不是一劳永逸的事情，”他说，并指出这一过程的持续性使其成为一种可以长期使用的工具。在这方面，Edwards认为，如果SRA工具能够跨多个设备上传和共享数据，那么它将更具吸引力，这是当前版本不支持的功能。

意想不到的用户基础
考虑到SRA工具的目标受众，看到这么多大型组织使用它可能有点令人惊讶。但是，随着对安全性和数据保护的日益重视，提供商团体渴望利用每一个可用的资源是有道理的。CISM董事长、首席执行官兼CynergisTek联合创始人Mac McMillan表示:“我认为最大的原因可能是他们希望在内部进行更多的风险分析，或者用自己的内部分析来增强外部评估。”另一个潜在的原因是，较大的团体可能正在评估该工具对较小的医生实践或属于该组织保护伞下的其他附属机构的可用性。“这是一个合适的工具应用，因为它是为这个社区开发的，”他说。“希望在这个关键时刻，不是因为他们真的认为这是一个适合他们环境的工具。”

一个常见的假设是，通常拥有更多可用资源的大型医疗保健组织会定期使用外部专家来管理其安全状况和风险概况。然而，波耐蒙研究所(Ponemon Institute)今年早些时候发布的关于患者隐私和数据安全的第四次年度基准研究表明，情况并非如此。罗兹说:“他们实际上分解了手工进行评估的受访者人数……有趣的是，去咨询顾问或it专家的人数非常少。”事实上，对于那些按照最终规则的要求报告进行和记录事件后风险评估的组织，最大的一组(34%)表示他们使用了手动流程或内部工具。

罗兹说:“如果这个篮子里的公司能够利用一种免费的工具来帮助他们保持合规，你可以打赌他们会使用它。”beplay最新备用网站“组织选择手动和内部工具，因此免费且全面的工具将引起他们的注意。”

沃勒律师事务所的合伙人安吉拉·扬伯格(Angela Youngberg)对大型诊所和医院以及小型诊所使用这种新工具并不感到惊讶。“这个工具适合所有人，”她说。她说，大型组织可能会从该工具中提取更多可操作的信息，因为“他们将拥有真正深入研究并实施这些信息的人员”。“更大的供应商可能会使用它进行更频繁的评估。”拥有额外的资源来进行粒度和常规的评估，可能是促使大型组织部署最初为小型设施设计的工具的另一个因素。

另一方面，Youngberg表示，小型供应商可能会使用SRA工具来帮助他们确定何时何地需要寻求额外的专业知识。

工具的使用≠合beplay最新备用网站规
对于许多提供商来说，这是问题的核心:使用SRA工具成功完成风险评估是否使组织符合要求?麦克米伦说:“首先要明白，风险评估并不能使你或你的项目合规。”“风险分析是一个过程，帮助组织了解他们在哪里有风险，以及他们的程序(合规)可能在哪里薄弱，需要加强。”beplay最新备用网站

正确评估风险区域可以确定需要修复的内容，但是评估本身实际上并不能解决潜在的安全性或遵从性问题。beplay最新备用网站麦克米伦说，一个执行良好的评估确实可以让组织“准确地识别风险，以便他们可以适当地制定政策、程序和控制措施”。

Rosas指出，执行SRA和减轻结果是有意义的使用任务的一部分，并补充说SRA工具“只有在人们投入时间和精力的情况下才有价值”。从本质上讲，工具是达到目的的手段，而不是目的本身。她说:“如果有人真的做了风险评估，并写了一份报告，并且真的试图减轻他们的发现，那么他们就很可能达到了(有意义使用)的标准。”

扬伯格建议医疗机构认识到该工具的局限性，他说，它可以作为内部专家或外部顾问专业知识的有用补充。她解释说:“如果你没有足够的经验、时间，或者没有足够的人员来真正详细地研究它，那么你就需要寻求外界的帮助。”

Youngberg补充说，由于有大量顾问可以协助sra，即使是内部资源很少的小型组织也可以利用该工具的实用性作为起点，然后在必要时与外部专家进行协调。

Julie Knudson是西雅图的一名自由撰稿人。

评估vs分析
国家卫生信息技术协调办公室(ONC)网站上的用户评论提出了一个问题，这个问题与新的安全风险评估(SRA)工具的可用性关系不大，而更多的是与它的名字有关。提供商组织注意到SRA名称中使用的语言与实际的HIPAA安全规则的差异;工具选择“评估”，而规则将其描述为“分析”。

为了澄清这个问题，法学博士、公共卫生硕士、ONC首席隐私官的高级顾问劳拉•罗萨斯(Laura Rosas)表示，这两个术语是可以互换的。她说:“如果你真的看了HIPAA安全规则，它说，‘进行安全风险分析，然后对风险进行评估。

罗萨斯说，最初将其称为评估的原因是，区域推广中心的提供者和其他人已经将其称为评估。该工具的创建者在内部反复讨论，最后决定进行评估。她解释说:“我们想，‘让我们把它命名为安全风险评估吧，因为每个人都这么称呼它，如果我们说分析，他们会感到困惑。’”“现在每个人都开始进行分析，我认为这很好，这也是法规所规定的。”

虽然这两个术语的意思是一样的，但Rosas说，这个工具最终很有可能被重命名为参考分析。

多个评估
许多组织，甚至是那些提供商相对较少的组织，都热衷于扩大新的安全风险评估范围的想法。“我们收到了很多关于多站点工具的评论，”Laura Rosas博士，公共卫生硕士，国家卫生信息技术协调办公室首席隐私官的高级顾问说。

虽然当前版本能够支持多人访问同一工具，但它仅针对单个站点设计。Rosas已经向许多组织介绍了在多个站点使用该工具的潜在解决方案，但希望它在不久的将来成为一个没有实际意义的问题。她说:“我们正在考虑第二个版本，看看我们是否真的可以创建一个多站点工具。”“我不知道这在当前版本中是否可行，也不知道需要编写多少代码，但这绝对是我要探索的东西之一。”