电子新闻独家

远程医疗用户必须成为HIPAA兼容

作者:Kelly McLendon, RHIA, CHPS

从2020年初开始，在联邦政府宣布的COVID-19全国公共卫生紧急情况期间，所有受HIPAA约束并需要提供远程医疗服务的医疗服务提供者都通过卫生与人类服务部(HHS)的豁免通知获得了重大突破。该通知允许民权办公室根据HIPAA对远程医疗的使用使用执法自由裁量权。这种自由裁量权实际上减轻了提供者在执行HIPAA隐私和安全规则中的若干领域和保障方面的责任，如果远程医疗是真诚提供的。

发出这一通知的原因是，卫生与公众服务部认为，在我国医疗服务提供者已达到最大限度、危机日益加剧的情况下，提供病人护理更为重要。在病人和提供者之间提供远程、电子便利的远程保健连接是一个重要的自动化组成部分，它在很短的时间内大大扩大了提供者的服务范围。现有的远程保健提供者不堪重负，为其他技术和供应商打开了大门，这些技术和供应商最初并不以远程保健而闻名，可用于提供或管理保健。

视频会议可能是最常见的一种，它在医疗保健领域和其他行业一样迅速发展起来。当时，包括电话会议在内的许多技术供应商没有能力签署HIPAA业务合作协议(BAAs)，因为他们的技术不符合HIPAA。突然之间，这些供应商被要求为医疗保健客户提供服务，并履行管理职责，即使他们的产品没有提供HIPAA所需的安全保障。值得赞扬的是，许多供应商确实加快了步伐，并迅速制作了符合标准的产品版本，他们的代理实体也能够签署BAAs。

与此同时，保健提供地点日益严重的危机影响了提供远程保健服务的方式。隐私保护措施，如适当的病人间隔和确保临床谈话不被偷听，有时变得无法控制，尽管隐私官，HIM和整个站点的工作人员尽了最大的努力。

随着时间的推移，越来越多地重新建立了较为典型的保障措施，但在某些情况下，需要数年时间才能克服疫情造成的隐私问题。随着患者人数稳定到新常态，远程保健服务的提供在隐私和安全方面也变得更加合规。

定义远程医疗
从HIPAA的角度理解HHS对远程医疗的定义是很重要的。
卫生与公众服务部将远程保健定义为"利用电子信息和电信技术支持和促进远程临床保健、患者和专业卫生教育以及公共卫生和卫生管理。技术包括视频会议、互联网、存储转发成像、流媒体、固定电话和无线通信。例如，可以通过音频、文本信息或视频通信技术(包括视频会议软件)提供远程保健服务。”

远程医疗还可以包括管理用途，例如远程员工使用HIPAA保护的健康信息执行日常医疗操作或管理角色。

远程医疗和网络安全
要从HIPAA安全规则的角度beplay最新备用网站管理远程医疗的合规性方面，必须了解对网络安全影响最大的控制和实践。

远程医疗包括以下网络安全实践，每项实践现在都必须符合要求:beplay最新备用网站

• 培训(个人贡献者和管理人员);
• 设备(分配、跟踪和保护);
• 可扩展的基础设施(互联网，虚拟专用网[VPN]，多因素身份验证[MFA]);
• 政策，包括重新检查自带设备;
• 超出单个设备的安全影响(更广泛的VPN和MFA);
• 企业安全策略变更(增加攻击面、安全监视器，例如安全信息和事件管理);和
• 入侵检测和实时事件处理。

远程保健政策必须符合组织的总体风险缓解战略。

当国家突发公共卫生事件结束时
7月15日，HHS将COVID-19公共卫生紧急状态再延长90天，至10月13日。此外，卫生与公众服务部表示，在紧急状态解除之前，将给予60天的警告。如果紧急状态确实在10月13日解除，我们预计警告日期将在10月中旬左右宣布。

无论紧急情况结束的确切日期是什么，远程医疗的使用都应该符合所有HIPAA规则。beplay最新备用网站这些规则并不总是容易遵守——有些需要时间来获取技术和实施。很快，监管机构将开始询问供应商他们的远程医疗是否合规，产品的技术变化，以及隐私保护措施，如有私人空间进行会议，已经恢复。

要实现HIPAA合规性，需要评估隐beplay最新备用网站私和安全规则的风险。这需要对所有漏洞和威胁进行深入的技术安全、网络安全和隐私研究。下一步是确定补救措施的优先次序。

审查培训方法，确保远程保健的使用在技术上是安全的，特别是在互联网上。分配、跟踪和更新用于远程医疗交付的所有设备。实现加密、MFA和入侵检测。最后，将所有内容记录在政策和程序中，花时间将远程医疗作为一种新常态加以整合，必须完全符合HIPAA，并将其纳入其他医疗服务和行政实践。beplay最新备用网站

- - - - - -Kelly McLendon，注册会计师，CHPS，是complancepro Solutions公司合规和监管beplay最新备用网站事务高级副总裁。