夏天
2022
巩固安全港
Selena Chavis著
郑重声明
第34卷第3页
随着业界努力定义“公认的安全实践”,专家们对最佳实践进行了权衡。
2021年1月,HITECH法案的修正案被签署成为法律,为在数据泄露之前实施“公认的安全最佳实践”的受保护实体(ce)和业务伙伴(ba)创建一个安全港。许多业内人士称赞这一发展是在2020年积极监管之后朝着正确方向迈出的一步——这一年,民权办公室(OCR)对ce和ba实施了有史以来最严重的违反HIPAA的处罚。
AHIMA、美国医学协会、医疗保健信息管理学院和医疗集团管理协会就这一举措撰写了一份集体意见,指出“这将通过承认诚信的提供者不应受到OCR的惩罚,从而激励采用网络安全实践,并促进提供者与HHS(卫生与人类服务部)之间在攻击的关键早期阶段加强沟通。”
虽然hr 7898修正案并没有阻止OCR对BAs和ce进行财务处罚,但它确实提供了一个框架,鼓励监管机构在实施财务后果之前,考虑在违规前12个月内存在哪些安全协议。虽然希望减轻罚款、审计和补救措施将激励采用“安全实践的认可”,但该修正案仍然不要求ce和ba实现这些实践,也没有提供在选择要实现的公认安全实践的哪一类时使用的标准。
Susan Lucci, RHIA, CHPS, CHDS, AHDI-F, two - security的高级隐私和安全顾问,建议必须通过根据美国国家标准与技术研究院(NIST)第2(c)(15)条制定的标准、指南、最beplay最新备用网站佳实践、方法、程序和流程、根据2015年《网络安全法》第405(d)条颁布的方法以及其他解决网络安全问题的项目来证明合规性。或通过与HIPAA安全规则一致的法规颁布。
Lucci说:“这意味着为了满足安全港法的意图,‘公认的安全实践’确实是必需的。”“组织可以通过审查政策、程序和实践,并将其与完善的NIST网络安全标准进行比较,来表明他们与这些标准保持一致。如果存在差距,必须在安全港法适用之前加以弥补。”合规专业解决方案公司合规和监管事务高级副总裁凯利·麦克伦登(Kelly McLendon)认为,由于这不是beplay最新备用网站一项强制要求,HR 7898的总体意图可能会被证明过于宽松。他表示:“我希望将其视为一项任务,但我很高兴它得到了曝光和推动。”
一个策略
Lucci承认,没有办法消除所有风险,但医疗保健组织可以采取最佳实践来分层安全措施并将风险降至最低。“良好的安全措施确实需要时间和金钱来实施,”她说。“从长远来看,良好的安全性将更好地保护PHI(受保护的健康信息),节省资金,最重要的是,保护组织的声誉。”
麦克伦登说,《医疗行业网络安全实践:管理威胁和保护患者》报告可以成为达到公认安全实践门槛的一种方法的基础。
他说:“HICP代表了安全控制措施,以防止医疗保健系统和数据中存在的、不断增加的和不断变化的风险。”“这是监管机构、投资者和网络责任保险提供商现在要求的公认安全措施的一个例子。”
《2015年网络安全法》促进了自愿的公私网络安全威胁信息共享,并明确了国家网络安全和通信信息中心在评估网络安全威胁和风险方面的作用。此外,麦克伦登指出,该法案还规定卫生与公众服务部制定一套“自愿的医疗保健网络安全标准,这些标准与HIPAA的安全要求一致,但不是取代。”
后来,一个公私合作工作组制定了这些基于共识的指导方针,详细介绍了HICP中实用的、具有成本效益的网络安全实践。HICP以NIST网络安全框架为基础,分为10个网络安全最佳实践领域。因此,它与HIPAA和其他类型的安全控制有共同的继承关系,NIST已经为政府和私营部门的许多类型的计算机系统规定了安全控制。
McLendon指出,HICP控制和建议是灵活的,设计用于各种规模的卫生保健组织。
HR 7898的影响
麦克伦登指出,要知道HR 7898是否真的在激励ce和BAs采取行动并加强安全实践,还为时过早。许多专家认为,如果组织采用了适当的安全标准,并记录了这些措施,它们可能会达到安全港门槛,尽管最终,经济处罚的决定仍然属于OCR的自由裁量权。
麦克伦登说:“我认为大多数运行良好的IT船都在做很多工作来防御网络攻击,但由于对网络的关注不够,我们就有了今天的问题——很多漏洞。”“我认为这是帮助识别和消除这些漏洞的良好开端。我认为,重要的是,每个站点都要尽快评估和规划最关键的漏洞补救措施。然后将他们的漏洞/补救列表列为优先级,直到它们全部得到补救。”
Lucci说,网络犯罪活动的增加导致许多组织采取了强有力的网络安全政策。“医疗保健行业已采取严肃措施,尽量减少存在的安全漏洞。这包括加强网络安全、多因素身份验证和入侵检测。”“它还包括增加和更频繁地对员工进行培训,使他们更加了解坏人试图获得PHI的多种方式。”
特别值得关注的是旨在说服人们点击链接或附件的社会工程和网络钓鱼攻击。Lucci说,这些信息通常包括一个具有紧迫感的令人信服的信息,比如“你需要立即回复。”
她说:“他们可能看起来是来自组织内的高层人士——你认识并信任的人,但他们要求提供密码和其他个人数据等信息,这应该是一个立即的危险信号。”“如果有任何疑问,请在采取任何行动之前将消息报告给您的IT部门或帮助台。”
虽然专家们认为还有很多网络安全工作要做,但Lucci说HR 7898很重要,因为它有助于保护正在努力做正确事情的医疗保健组织。她指出:“认为拥有出色隐私和安全协议的优秀组织即使遵守了HIPAA的规定,也会受到巨额罚款的想法毫无道理。”beplay最新备用网站
Lucci举了下面的例子:“假设你的房子,虽然锁着而且很安全,但被破门而入,罪犯偷走了一切。想象一下,如果警察指控你犯罪并向你收取费用。这就是我们目前的数据泄露和医疗保健的精细结构。做了合规尽职调查的非常好的组织也会发生糟糕的事情。”beplay最新备用网站
另一方面,Lucci警告说,没有尽其所能在各自组织内预算和交付安全风险的首席安全官和首席数据官需要记住,数据泄露不是如果发生而是何时发生。“良好的实践是一回事。政策和程序、教育和遵守政策是将这些风险降到最低的关键。”她说。“在发生数据泄露时,做正确事情的组织已经赢得了适用安全港法的特权。”
- Selena Chavis是佛罗里达州的一位医疗保健作家。
数据共享vs患者权利
在网络安全方面,如何以及何时对数据泄露进行处罚,以及责任应该落在谁的头上,人们对所需的监管程度有很多讨论。HR 7898就是这些讨论的产物。
然而,在所有这些活动和关注中,公民健康自由委员会(CCHF)主席兼联合创始人、注册会计师、PHN特维拉•布莱斯(Twila Brase)认为,HR 7898只是另一层监管,旨在分散人们对数据共享问题的注意力。
她强调说:“鉴于HIPAA被认为是一项宽松的数据共享规则,其他一切都是装点门面,旨在保护患者隐私,而患者数据在几乎没有限制和未经同意的情况下广泛共享。”她补充说,很难确定新法规或法规的基础是什么。“我们不知道是谁游说国会(为HR 7898),但可能包括那些发现最难遵守扩大的法定要求的小企业。需求堆积得越多,业务维持下去的可能性就越小。但大型企业也可能会进行游说,使“公认的安全实践”仅仅成为建议,而不是要求。成本和政府对他们业务的干预一直是一个问题。”
Brase注意到,在努力改善对“数据共享”的保护的同时,医疗保健领域还存在其他运动,其中一些运动是由cchf进行的,它们只关注患者隐私,而不是数据共享。她认为,对保护数据共享的关注忽略了患者隐私的重点,HIPAA的当前迭代是由数据行业、医疗保健利益相关者(她认为他们通常也是数据行业的一部分)和政府推动的。
“患者数据是21世纪版的黄金,”她说。“在2010年的一项规定中,美国卫生与公众服务部(HHS)列出的150万名商业伙伴和70.2万家受保护的实体有权将这些数据用于各种目的。只要看看支付、治疗,尤其是‘医疗保健业务’的定义就知道了,这是一个近400字的定义,本质上是一份非临床商业活动的清单——所有这些都是HIPAA允许的,无需患者同意。”
根据Brase的说法,在明尼苏达州,CCHF捍卫了该国最严格的患者隐私和同意法。她说:“我们与商会、商业团体、健康计划、研究团体和其他组织进行了斗争,以保持它的到位,而不是被‘符合HIPAA’所取代。”“正如我们经常向推动废除我们的法律并用HIPAA取代它的州立法者解释的那样,明尼苏达州符合HIPAA的州优先条款,这允许各州制定真正的隐私法,并要求他们遵守,而不是HIPAA的许可数据共享规则。”
最后,Brase指出,她相信行业和政府将继续支持为患者提供更多保护的努力,只要它“实际上不授予患者隐私或同意权”。她强调,这些数据非常有价值,并指出联合健康集团(UnitedHealth Group)的Optum是一项价值数十亿美元的业务。“他们所做的就是收集病人的数据,”布莱斯说。
- - - - - - SC
