电子新闻独家

HIPAA秋季阵容:现实，希望和恐惧

作者:斯蒂芬·科布

预计今年秋季将进行新一轮的HIPAA审核，但希望这对您或您的组织来说不是新闻。希望今年秋天你不会惊讶地看到多个头条新闻宣布，民权办公室(OCR)对美国处以数百万美元的罚款。有几个迹象表明，这些措施正在酝酿之中，尤其是卫生与公众服务部(Health and Human Services)首席地区民权顾问杰罗姆·b·梅茨(Jerome B. Meites)的评论:“与未来12个月相比，过去12个月的执法可能会相形见绌。”

坦率地说，没有人会对OCR感到惊讶，这个负责让组织满足已经存在多年的隐私和安全要求的机构，在这一点上有点生气。从字里行间，你会得到这样的印象:OCR的一些人认为所有的医疗机构都有足够的时间来完全符合要求——他们所说的“所有”指的是受保护的实体，以及由于HIPAA综合规则，商业伙伴。

多少时间?2001年3月，我第一次在会议上做了关于为HIPAA的隐私和安全要求做好准备的重要性的演讲。其中一张题为《不祥之兆》(the Writing on the Wall)的幻灯片说，“我们正在研究一项联邦强制标准，用于涉及医疗保健或处理与健康相关信息的公司的安全实践。”请注意，这些被认为是当今医疗保健行业进行电子业务所必需的实践。换句话说，正常的商业成本，你今天应该做的事情。……”

注意，这里强调的是“今天”，因为到2001年，我已经与一些公司合作多年，这些公司正在做保护敏感个人信息所需的所有事情，比如风险评估，以确定保护敏感数据所需的控制措施，以及双因素身份验证、反病毒管理和加密等控制措施。这些公司主要来自金融服务和电信行业。在2001年之前，我没有看到很多医疗保健提供商在采用IT安全和数字隐私最佳实践方面处于领先地位。当我开始向即将成为受保护实体的组织举办HIPAA研讨会时，我对他们中的一些人告诉我他们现有的IT实践感到震惊。

快进13年，我们已经取得了巨大的进步。许多受保实体和业务伙伴都承担了保护医疗数据的道德和法律义务。在某些情况下，他们无疑是受到了OCR的鼓励，OCR在2003年至2012年期间调查了27,466起投诉，其中18,559起“通过要求受调查实体采取纠正措施和/或向受调查实体提供技术援助，以解决不合规的迹象”，该机构的年度报告称。beplay最新备用网站然而，我怀疑有人会对记录在OCR“耻辱之墙”上的事件数量感到满意。

OCR从2009年10月开始公开报告影响500人或更多个人的无担保健康信息泄露事件。到目前为止，大约有3300万人的医疗信息遭到泄露。这一总数不包括那些涉及少于500名患者的违规行为。

仅在2013年，每天就有24,806名美国人的受保护健康信息暴露。这些指标是巨额罚款(我们很快就会看到更多)和新审计(我们已经得到更多承诺)背后的原因。
以下是下一波审计的要点:

•审计对象现在包括业务伙伴以及所涵盖的实体。

•审计将由OCR工作人员通过提交文件而不是实地访问进行。

•不利的调查结果可能直接导致执法行动。

•审计可能侧重于特定的关注领域，根据之前的调查结果(6月发表在《审计报告》上)提交给国会的关于2011和2012日历年度HIPAA隐私、安全和违规通知规则遵守情况的年度报告beplay最新备用网站)。

至于商业伙伴，尚不清楚是否属于这一类的所有组织，特别是分包商都知道它们的名称。有些人可能会否认，有些人则根本不知道。坦率地说，每一个接触到受保护的健康信息的企业都应该很好地确认其状态。例如，现在属于OCR管辖范围的数千家HIT公司必须意识到他们对HIPAA合规负有直接责任。beplay最新备用网站就像每个受保实体一样，他们必须进行并记录全面的风险评估，这是OCR审计清单上的首要项目之一。商业伙伴及其分包商也会受到审计、调查和处罚。

有关审计可能涵盖的内容的概貌可在OCR的审核程序协议页，该网站提供互动指南和可下载的电子表格。然而，目前有一个免责声明，“该协议尚未更新以反映综合最终规则，但反映修改的版本将在未来可用。”期待这个更新很快就会出现。

与此同时，请记住今年秋季审计中可能特别令人感兴趣的项目。在列表的顶部可能是风险评估，它需要是彻底的、最新的和良好记录的。不要指望在请求日期之后创建任何文档。你只需要看看过去OCR征收罚款的案例，就会知道风险评估领域的缺陷是非常认真的。

审计人员的另外两个热点可能是加密——无法加密或记录为什么不加密——和便携式媒体，Meites将其称为“受保护实体存在的祸根”和“OCR处理的大量投诉”的原因。ESET北美将密切关注这一问题，并欢迎评论和对话。

- - - - - -Stephen Cobb是ESET北美的高级安全研究员。