年1 - 2月刊
2021
HIPAA的挑战:与信息披露管理的变化保持同步
作者:Rita Bowen, MA, RHIA, CHPS, CHPC, SSGB
郑重声明
第三十三卷第一页
在大流行和遵守新法规的压力下,医院和卫生系统面临着前所未有的挑战。因此,在隐私和安全、信息发布(ROI)、披露管理、互操作性和患者匹配等不断发展的领域中发挥关键作用的HIM专业人员正在经历他们的不眠之夜。
让我们更详细地检查这些关注点。
病人识别
这一问题在2019冠状病毒病期间变得更加紧迫。随着各组织加紧努力建立远程工作队伍,疫情带来了更紧迫的担忧。例如,为ROI创建病人走进窗口是一个关键需求。许多设施开发了虚拟手段,以满足患者对其健康记录的请求,同时确保隐私和安全协议。
为患者提供安全、及时的健康数据访问仍然是一项首要任务,因为创建唯一识别患者并将其与其记录相匹配的标准的努力悬而未决。
网络犯罪威胁增加
最令人担忧的一个关键领域是网络犯罪分子构成的威胁水平不断上升。根据网络安全专家的说法,近年来勒索软件攻击加速,因为组织愿意支付高额赎金来恢复对受保护的健康信息(PHI)的访问。随着大流行的持续,勒索软件攻击预计将进一步升级,建议卫生保健提供者确定易受攻击的领域,并采取行动,应对这些攻击不断变化的性质和频率。
美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和卫生与公众服务部(HHS)最近发布了一份报告,描述了这一威胁,并建议采取措施帮助减轻勒索软件和其他网络威胁带来的风险。该咨询参考了CISA MS-ISAC勒索软件联合指南,该指南提供了勒索软件响应清单,可作为组织网络事件响应计划的附录。
CISA、FBI和HHS敦促供应商采取预防措施,保护他们的网络免受这些威胁。CISA鼓励用户和管理员查看其勒索软件网页以获取更多信息。
由于医疗保健行业是网络攻击的主要目标,卫生与公众服务部致力于确保遵守法规,同时保护提供者及其患者。beplay最新备用网站HIPAA安全规则的目的是确保医疗保健实体维护PHI的机密性、完整性和可用性。
以下是HIPAA隐私和安全执行政策所要求的实践提醒:
定期进行企业范围内的风险评估。
维护适当的政策和行政、技术和物理保障措施。
•加密所有包含PHI的设备。
•尊重患者以合理的成本获得PHI的权利。
•及时响应已知或怀疑的漏洞或问题。
•根据法律要求及时报告违规行为。
•确保业务伙伴遵守HIPAA规则和条例。
•不要在社交媒体平台上披露PHI。
互操作性和信息阻塞
《21世纪治愈法案》为新的信息封锁政策和法规开辟了道路,目的是让患者更容易获得健康数据。2020年10月29日,国家卫生信息技术协调员办公室(ONC)发布了一项临时《治愈法案》最终规则,延长了互操作性法规和医疗保健信息封锁的日期和时间表。为了让行业专注于应对COVID-19,适用日期延长至2021年4月5日。然而,ONC显然没有取消旨在促进消费者获取其健康信息的要求。
信息封锁规则鼓励信息流动,通过使用卫生信息加强患者的卫生保健管理。因此,组织可能会看到更多以患者为导向的健康信息流向应用程序编程接口(api)和其他支持管理工具。
医疗机构应确保告知患者门户网站可以方便地访问他们的信息。平衡输出和使用是很重要的——理解所请求信息的目的。当组织考虑前进的最佳行动方案时,推荐的资源是红杉项目,它不断更新其产品列表,包括网络研讨会,工具包和报告。
信息阻断规则详细信息
虽然此规则影响提供者、HIT开发人员和健康信息网络/健康信息交换,但它可能不会直接影响业务伙伴—它取决于业务伙伴的特定功能。例如,ROI供应商不是直接的“参与者”,但他们可能被指派协助路由异常审查的请求。业务伙伴必须确定他们是否被视为参与者并被要求遵守。
受影响的实体必须证明他们遵守以下标准:
•不要封锁信息。
•保证开发者或实体不会参与信息封锁。
•不要禁止或限制某些通信。
•发布api并允许通过使用api访问、使用和交换健康信息,而无需特别努力。
•进行实际测试。
•确保认证完成。
尽管适用性和实施方面存在延迟,但医疗保健提供者必须继续努力评估准备情况、工作流程和信息治理。必须有强有力的领导和教育才能使互操作性发挥作用,将患者放在首位。此外,随着互操作性的发展,在付款人和提供者之间共享患者信息将需要严格的治理。
最后,HIMSS发表了一份声明,其8万名成员正在倡导下届国会和行政当局利用医疗卫生信息技术来抗击疫情,并通过投资公共卫生基础设施和继续开展基于标准的互操作性工作来确保更大的卫生公平。
随着卫生保健组织接受新规定,建议采用广泛的方法。从信息封锁清单开始,其中包括以下建议:
•制定详细的项目计划。
•审查评估和隐私合规计划。beplay最新备用网站
•在范围之外的区域创建。
•符合时间要求。
•识别风险并开始记录缓解措施。
识别适用的例外情况并进行文档团队审核。
•确保数据访问和合规性重点。beplay最新备用网站
•更新政策和程序。
•进行持续的培训和教育。
为什么合规计beplay最新备用网站划很重要
合规beplay最新备用网站计划对于减少与违规、投诉和强制执行相关的风险是必要的。监察长办公室为医疗保健行业的各个部门提供合规计划指导,以鼓励开发和使用内部控制,以beplay最新备用网站监督对适用法规、法规和计划要求的遵守情况。
在创建或更新合规计划时,首先要确定目标和策略,以克服障碍beplay最新备用网站并取得积极成果。成功的实施需要合规官的指导,以密切关注不断变化的监管环境,并根据需要传播信息。beplay最新备用网站最后,重要的是要记住,无论互操作性、信息阻塞、网络犯罪和其他关键更新方面发生什么变化,HIPAA都是看门人。
- Rita Bowen, MA, RHIA, CHPS, CHPC, SSGB,是MRO隐私,合规和HIM政策副总裁。beplay最新备用网站Bowen确保新客户和现有客户的信息系统政策和程序得到规范,并担任公司的隐私和合规官,确保及时报告任何披露事件。beplay最新备用网站她还负责审查立法,以确保MRO内的行业响应和合规beplay最新备用网站.
