12月2014

用于OCR审核的mtso齿轮
苏珊·查普曼
郑重声明
第二十六卷第十二页

虽然安全一直是重中之重，但随着访问的临近，安全问题将更加受到重视。

最新一轮HIPAA审核预计将是迄今为止最严格的。与2011年开始的试点审计不同，这些审计将影响医疗转录服务组织(mtso)，这些组织被视为受保实体(ce)的业务伙伴(ba)。随着审计的进行，mtso正在勤奋地工作，为他们需要回答的问题做好准备。

试点审计
根据HITECH法案的要求，OCR (Office for Civil Rights)必须定期对ce和ba进行审计，以确保其符合HIPAA。beplay最新备用网站为了满足这一要求，它在2011年创建了一个试点项目，以分析115家ce的HIPAA合规性。beplay最新备用网站

Daniel F. Gottlieb, JD, McDermott Will & Emery LLP的合伙人说，在过去的两三年里，HIPAA合规已经成为beplay最新备用网站奥巴马政府的一个优先事项。“虽然没有多少执法行动导致民事或刑事处罚的报道，但自2008年以来，已有20多项和解协议导致支付和解金额，其中包括2014年的5项。OCR无疑已经加强了执法力度。

Gottlieb认为，第一批审计更具教育性，允许OCR评估各个ce的HIPAA遵从性工作。beplay最新备用网站除了帮助OCR理解ce用来确保遵从的机制之外，该程序还帮助揭示了漏洞、风险和最佳实践。beplay最新备用网站

在试点审计期间，所有ce都符合资格。从保险计划和医院到整骨治疗师和卫生保健信息交换所等组织被选中，以提供不同的合规情况。beplay最新备用网站该方案分为三个阶段:制定方案，确定审计哪些ce，并根据修订后的方案进行全面审计。这一过程包括实地访问，其间审计员与主要工作人员进行面谈，并观察各组织的业务和程序。在访问之后，审计员向每个行政长官提供了一份报告草稿，该组织有机会在最后报告提交给行政首长办事处之前作出答复。审计试点于2012年正式结束。

Just Associates的顾问兼首席隐私官苏珊•卢奇(Susan Lucci)表示，试点审计发现了几个与安全风险分析相关的问题，这些问题要么没有完成，要么执行不当。她表示:“这肯定会成为下一轮审计的重点。”

“OCR正在创建一个商业伙伴的数据库，预计OCR下次对违规行为的罚款将会高得多。”beplay最新备用网站

飞行员透露了什么
根据OCR的说法，在115个被审计的ce中，只有13个没有不利的发现或观察结果。卫生保健提供者占审计条目的53%，但占总发现和观察的65%。安全违规占调查结果或观察结果的60%以上，59家被审计的供应商中有58家至少存在一项安全故障。三分之二的被审计企业没有制定准确的风险评估流程。其他问题领域包括受保护的健康信息(PHI)访问管理、安全事件过程、应急计划和备份、工作站安全性、媒体移动和销毁、加密以及审计控制和监视。

当有必要通知个人安全漏洞时，需要解决许多问题，包括及时性、通知方法和举证责任——确定是否发生了漏洞以及是否需要通知。审计还发现，较小的实体比较大的组织更难以遵守规定。beplay最新备用网站

有趣的是，组织发现提前处理合规性比等到审计信到来更好。beplay最新备用网站吸取的其他教训包括:

•修订后的试点审计协议可作为评估现有合规措施的有效工具。beplay最新备用网站

•可寻址的安全措施——最明显的是加密——是必不可少的。

•政策和程序必须正确使用才能有效。

第二阶段审核
今年夏天，OCR对大约800个ce进行了预审计调查，以确定每个组织的位置、规模、联系方式、提供的服务和BAs的信息。根据结果，OCR将选择大约350家实体进行审计，并在2015年轮流进行审计。

第二轮审计将在几个方面与第一轮不同。例如，OCR将要求ce和ba提供信息，而不是访问网站，这有效地消除了这些团体解释任何发现的违规行为的机会。为了防止欺诈，这些被审计的组织面临较短的周转时间，并且只需要提供当前的文件。OCR也在雇佣自己的审计员，而不是依靠承包商。

第2阶段集中在试点项目中不合规的高比例区域，包括PHI访问、风险评估不准确、隐私通知问题，以及违规通知发生的方式。beplay最新备用网站

第二阶段的准备工作
意识到不遵守规定将付出高昂的代价，mtso已采取措施，确保为最新一轮审计做好准备。beplay最新备用网站“过去，一些组织声称符合HIPAA的安全措施，但实际上并非如此。这些组织现在已经注意到了，”Lucci说。

Keystrokes转录服务公司的首席执行官Lee Tkachuk表示，最近总部位于加州的GMR转录服务公司与联邦贸易委员会(FTC)之间的和解是政府关注MTSO合规性的一个例子。beplay最新备用网站根据联邦贸易委员会的网站，该机构声称GMR“从事欺骗性和不公平的信息安全做法，在网上暴露了数千名消费者的个人信息，其中包括消费者的病史和检查记录。”在诉状中，该机构声称GMR的数据安全措施不充分，导致GMR客户提供的音频文件转录被一家大型搜索引擎索引，并公开提供给使用该搜索引擎的任何人。”

根据和解协议，GMR不得歪曲其在维护消费者个人信息隐私和安全方面的表现。此外，联邦贸易委员会表示，GMR“必须建立一个全面的信息安全计划，以保护消费者的敏感个人信息，包括公司提供给独立服务提供商的信息”。此外，公司必须让认证的第三方机构在最初和每两年对项目进行评估。该协议将在未来20年内生效。”

卢奇说:“联邦贸易委员会的纠正行动是一个20年的计划，需要非常具体和昂贵的要求来证明GMR持续存在的安全问题。”“因此，他们要么服从，要么做他们所做的——他们取消了一个非常有利可图的部门，不再提供医疗转录服务。”

GMR案例是极端的，戈特利布在MTSO行业从未见过这种情况。他说:“我与mtso合作，我还没见过有人因为HIPAA合规问题而离开公司。”beplay最新备用网站

戈特利布说，beplay最新备用网站遵守HIPAA不应该那么复杂。“如果IT专业人士看一下HIPAA标准，它们是非常基本的。例如，有一个安全官员是有意义的。而且，大多数拥有任何机密或专有信息的企业都会以电子形式对其进行加密或使用其他安全措施。”“另一个要求是要有数据备份策略和程序。对于任何依赖数据进行一般业务活动的企业来说，备份信息都是有意义的。如果他们想要恢复信息，他们需要有可用的信息。因此，HIPAA的许多要求都是人们正在做的事情，而且它们非常明智。”

在行政保障、风险分析和风险管理方面，ce和ba必须定期对所有信息系统进行安全风险评估，并记录任何建议在合理的时间内得到解决。

在努力保护设备和媒体等物品时，Gottlieb建议mtso实施电子媒体消毒政策，以解决电子媒体的处置和再利用问题。他们还应该盘点信息系统资产，包括移动设备，以跟踪电子PHI的物理运动。ce和BAs还必须为每个可以访问PHI的位置采用物理安全计划。

Gottlieb说，当mtso传输信息时，他们必须审查安全措施，以防止未经授权访问通过互联网发送的电子PHI，并实施加密的电子邮件和/或短信应用程序。此外，组织必须要么加密传输的电子PHI，要么生成支持不加密的书面风险分析。

如果发生安全事件，ce必须遵守违规通知规则的内容和及时性要求。当BAs(包括mtso)必须向CE报告违规行为时，同样的要求也适用。

ce还必须制定书面政策，说明个人访问PHI的权利，包括适当的费用限制。此外，私隐措施公告必须符合私隐规则的内容要求，并刊登在行政长官的网站上。

ce和ba必须有合理和适当的保护措施来保护任何介质中的PHI，包括纸张。例如，组织必须使用碎纸机来销毁纸质PHI。

在培训方面，各组织必须拥有符合最终综合规则的培训材料，能够跟踪所需培训的完成情况，并定期审查记录，以确定所有工作人员都接受了各自工作职责所需的培训。

戈特利布建议采取其他准备措施。他说:“财务总监和财务总监应该有所有财务总监的完整清单，包括当前的联系信息和相关的已签署的财务总监协议清单，以备审计要求。”“如果行政长官及/或广播事务管理局没有为任何资讯系统或设施实施任何《保安规则》的可寻址实施标准，则机构应记录为什么实施规范不合理和不适当，以及所实施的替代保安措施。”

MTSOs机上
keystroke Transcription Service长期以来一直强调安全性，如果HIPAA审核员找上门来，MTSO的位置就会很好。Tkachuk说:“我们有七层的安全保护，对我们的转录员非常严格。”“他们必须知道HIPAA的合规性。beplay最新备用网站此外，我们还让他们观看安全视频，以加强他们的训练。”

线上和线下的预防措施都有考虑。“每当转录员登录我们的内部网时，他们都必须再次阅读HIPAA并在其上签字，”她说。“他们的电脑也必须只用于抄写，他们的办公室必须关好门，保证安全。他们不能打印任何文件，除非他们在一个设施里，而且没有任何东西可以保存到他们的电脑上。”

Tkachuk指出，客户越来越意识到安全和合规问题。beplay最新备用网站“我们从客户那里收到了很多带有新英航协议的认证信件。不是电子邮件，不是普通邮件，是认证邮件。”

新英格兰医学转录(NEMT)公司总裁、CHPS琳达·阿拉德(Linda Allard)说，不考虑被审计的可能性。她指出，应该每天都养成适当的安全习惯。她说:“我认为，无论我们是否预期会受到审计，我们都需要确保自己是合规的。”“审计提醒我们要问自己一些重要的问题，这些问题我们每天都应该问。我们都做过安全审计了吗?我们解决了所有问题吗?我们的训练是应该的吗?”

尽管如此，潜在的审计可以作为一个组织提醒，安全应该是员工的头等大事。阿拉德说:“利用这段时间对公司进行一次检查，确保我们做的一切都是正确的，这是件好事。”“我们都需要知道我们有书面文件，并且能够在分配给我们的两周内回答问题，无论我们是否被要求回答OCR的问题。确保我们的政策到位应该是标准做法。”

她建议mtso不要将OCR审核的前景视为某种形式的期末考试。“我告诉过同事，我们不应该死记硬背;我们应该一直做好准备，而不是等到最后或者只是为了审计。”Allard说。“我们希望一直遵守规定，我们希望每个beplay最新备用网站人都一直在考虑这个问题。积极主动会让我们更安全。我相信这些理念不仅对NEMT有利，对整个行业也很重要。”

-苏珊·查普曼，洛杉矶作家。