12月
2016
导航符合hipaa的文件共享
约翰·赫尔利
郑重声明
第28卷第12页
一旦卫生保健组织进入了被称为HIPAA的规章制度的迷宫,他们就很难找到出路。在每一个转折点上,他们都面临着不遵守规定的后果,包括数百万美元的罚款,一年的监禁,甚至更糟的是,完全失去公众的信任。beplay最新备用网站
当涉及到符合hipaa的文件共享时,在迷宫中导航就更加困难了,特别是当越来越多的提供商转向移动设备时。
医疗保健公司和企业如何克服符合hipaa的文件共享这一难题?也许最大的关键是全面了解影响文件共享的HIPAA技术规则。
HIPAA对我有影响吗?
HIPAA法规不仅涵盖医院和医生;任何以任何方式处理受保护健康信息(PHI)的企业都必须遵守法规。
想想音乐家普林斯的死讯是如何被报道的。毒品使用和用药的泄露和细节引发了人们对这位音乐传奇人物的HIPAA权利是否受到侵犯的猜测。这些泄漏是从哪里开始的?据称是匿名医疗机构人士向名人八卦网站透露的。这还没有得到证实,但如果这是真的,供应商可能会遭受严重的后果。
如果一个组织分发或接收PHI,它很可能必须遵守HIPAA规定。根据卫生与公众服务部(HHS)的说法,这些受保实体包括:
•健康计划,包括健康保险公司、hmo和医疗保险和医疗补助等政府项目;
•大多数医疗保健提供者,包括那些以电子方式开展业务的机构,如诊所、医生、医院、心理学家、脊椎按摩师、疗养院、牙医和药房;和
•保健信息交换所,即处理从另一个实体接收或以标准格式发送给另一个实体的非标准健康信息的实体。
然而,HIPAA合规性并不仅限beplay最新备用网站于ce。被称为业务伙伴(BAs)的第三方承包商需要访问患者记录。这些组织包括:
•账单和索赔处理组织;
•帮助管理健康计划的人员,包括IT专家、律师和会计师;和
•管理医疗记录的数字或物理存储和销毁的供应商。
虽然ba的标准与ce不同,但与受监管的行业签订合同可能是一个必要的麻烦。如果CE或BA共享文件,则必须满足构成符合hipaa的文件共享的基准。
组织应该如何准备?
三个安全标准
HIPAA的安全标准集分为以下三类:管理、物理和技术。
从员工培训到加密,这些标准试图保护患者信息免受内部和外部威胁。有些标准是必需的,而其他标准只是推荐的。
未能实施所需标准的ce可能要对违规负责,这可能会产生严重后果。除了揭露最严重的违反HIPAA的行为(见信息图),卫生与公众服务部每年进行数百次(如果不是数千次的话)例行调查。
IT部门可以采取哪些步骤来避免成为地图上另一个违反HIPAA的行为?
HIPAA 101
在三个保障类别(管理、物理和技术)中,有无数与it相关的法规。《安全规则》将技术保障定义为“用于保护电子PHI并控制其访问的技术、政策和程序”,这在很大程度上影响了文件共享。
在技术保障措施内,有以下四项标准:
•访问和审计控制;
•传输安全;
•诚信;和
•个人或实体身份验证。
安全规则旨在保持“技术中立”,这意味着它不认可或推荐任何一种技术,而是依靠组织在寻找符合hipaa的解决方案时进行尽职调查。因此,ce在选择符合hipaa文件共享标准的产品时必须很有眼光。
访问和审计控制
访问控制提供以下可操作的项目:
•用户标识(必需)。每个用户都必须分配一个唯一的名称或号码来识别他们并跟踪他们的活动。
•紧急进入程序(必需)。在停电或自然灾害等紧急情况下,必须制定既定计划来访问电子PHI。虽然这并不一定影响ba,但ce必须具有备份或紧急故障转移解决方案。
•审计控制(必需)。审计控制可以采用硬件、软件和/或程序方法的形式。这些控制监视包含或使用电子PHI的设备或网络中的活动。在文件共享方面,这些控制在用户分析等情况下生效。
•自动下线(推荐)。并非所有协议都是必需的,但为了安全起见,ce应该制定这些预防措施,以确保其网络和PHI的安全。自动注销允许会话在预定的时间段后终止。这一安全特性使得未经授权的员工难以访问数据。此外,此功能内置于大多数软件中,使其易于实现。
•加密和解密(推荐)。虽然不是必需的,但加密和解密可以保护PHI并使ce免于未来的问题。
传输安全
传输安全旨在保护通过网络传输的数据。克隆、修改或删除的信息可能导致数据不连贯,并可能危及患者。
在安全规则中,卫生与公众服务部建议消费者检查内部程序的缺陷,并实施最适合他们需要的传输安全计划。首先分析当前传递患者信息的方法,无论是通过电子邮件、互联网还是面对面。考虑因素包括:
•完整性控制(推荐)。完整性控制包括实现保护电子发送数据的安全措施。这些控制有助于确保原始数据在未被检测到的情况下无法被更改(尤其是恶意更改)。完整性控制可以采取不同的形式,包括使用粒度权限来防止外部人员查看数据。
•加密(推荐)。虽然这是可选的,但在传输过程中加密数据应该是一个高优先级。
完整性
完整性也要求传输安全,它采取措施保护数据不被未经适当授权的篡改或更改。当传输安全失效时,必须有一个备份协议来确保信息保持准确和不变。
推荐一种机制来验证电子PHI。可能性包括校验和验证或数字签名。当传输失败时,HHS建议使用二次认证过程。
个人或实体认证
需要身份验证来验证访问电子PHI的实体或个人是否如他们所说的那样。身份验证的示例包括员工id和指纹扫描仪。
寻找帮助
在搜索符合hipaa的文件共享解决方案时,请确保该工具包含以下功能:
•粒度权限;
•防火墙或备份;
•用户审计;
•密码保护共享;
•用户和密码管理工具;和
•加密和解密。
当涉及到实现兼容技术时,HIPAA法规是主观的。因此,术语“HIPAA遵从性”对于每个遵从性的组织可能意味beplay最新备用网站着不同的标准。
在某些情况下,ce需要来自文件共享或云平台的BA协议(BAA)。这些协议没有特定的模板——CE设置了文件服务必须满足的特定需求。
如果CE不需要BAA,建议使用HIPAA合规性声明。beplay最新备用网站这可以是在实体使用解决方案时期望业务维护的功能或操作的清单。
对于ce和ba,遵循hipaa的文件共享可以使遵从性的过程看起来永无止境。beplay最新备用网站然而,通过正确的政策和技术,组织可以在保护患者、提供者和其他医疗保健组织的PHI时确保其声誉不受影响。
——John Hurley是SmartFile的首席执行官。
