电子新闻独家

安全风险分析-医生团体如何满足HIPAA合规beplay最新备用网站

作者:凯利·本森和阿里尔·范佩尔森

HIPAA安全规则指出，考虑到组织及其环境的特点，必须以最适当的方式定期进行安全风险分析(SRA)以实现合规性。beplay最新备用网站尽管没有明确说“每年”，但专家建议至少每年进行一次SRA，这主要是由于过去两年中安全问题和威胁的增加。这对医院、医生实践和医疗团体来说尤其具有挑战性。

完成SRA的唯一目的不是为联邦政府打勾，而是确定与不当获取受保护的健康信息有关的风险和脆弱性。由于安全事件、所有权变更、关键员工或管理人员的更替以及计划采用新技术，也需要SRA。在过去的一年中，大多数组织都经历过一次或多次这样的事件。当您将这一现实与困扰医疗保健的勒索软件/网络钓鱼攻击的增加相结合时，完成年度SRA应该是您保护患者信息隐私和安全的最佳实践。

以绩效为本的奖励性薪酬制度

为了满足促进互操作性(PI)措施，符合MIPS资格的临床医生必须证明“是”执行或审查SRA，必要时实施安全更新，并纠正已识别的安全缺陷。

从另一个联邦的角度来看，MIPS的实施是为了鼓励提供者参与基于价值而不是按服务收费的护理。简单地说，你需要在参加MIPS时得分达到或超过85%才有资格获得特殊绩效奖金。四个类别中的一个“促进互操作性”占总分的25%。没有SRA，整个类别就被抛弃了。MIPS认证是每年进行一次，这促进了SRA每年进行一次的转变。

到2022年，MIPS将发生变化，如果没有SRA，就不可能实现MIPS激励。重要的是要注意这一点，并承认政府正在做很多工作来激励这一安全要求。最后，MIPS需求意味着一个全面的、企业范围的SRA，其中包括安全规则中的所有三个保障措施(管理、物理和技术)，以及为更新SRA中确定的安全缺陷而实施的风险管理计划。正如我们在审计中看到的那样，sra可能会因为没有适当的计划来减轻所发现的风险而被抛弃。

我可以在MIPS认证的SRA框上勾选“是”吗?
理论上，您可以只勾选“yes”复选框，因为不需要提交物理报告。然而，这条捷径的长期后果超过了避免SRA的即时缓解。事实上，如果不定期执行适当的SRA，可能会受到经济处罚，使你的诊所破产。根据分级处罚，每条暴露的记录最高罚款5万美元，被归类为“故意忽视”。这表明您理解执行SRA的要求，但您选择不遵守，然后继续勾选报销框。此外，如果组织认为报告是他们所需要做的一切，处罚可能看起来像一个违规事件，因为在SRA中发现了一个漏洞，而不需要进行补救。

从历史上看，除了违规之外，小型组织很容易在MIPS审计的雷达下飞行。然而，几年前，国会批准使用罚款来雇用更多的审计师。因此，与勒索软件相关的违规行为导致的罚款大幅增加，导致审计人员和审计工作增加。这些趋势显示在美国卫生和公众服务部网站，所有违反500条或以上记录的违规行为都会被公布。

我的IT员工或供应商是否可以进行SRA?
由于安全优先级的自然重叠，It组进行SRA似乎是合乎逻辑的。值得信赖的IT人员或供应商的专业知识对于阻止不良行为者进入您的网络至关重要。然而，大多数IT人员没有接受过政策制定和审查方面的培训。虽然他们应该为安全策略的开发做出贡献，但他们的工作并不是专注于开发和审查您的“最小必要”过程。

如果要求执行SRA, IT人员可能会进行技术审核，这不是一个充分的SRA。民权办公室认为技术审计是不够的，使该组织容易受到处罚。为了确保SRA是全面的，有一个客观的第三方专家进行分析是有价值的。

我可以简单地使用免费电子表格在线做我的SRA吗?
HHS开发的在线工具是一种选择。但是，该工具不够全面，无法满足所有HIPAA要求。虽然我们很高兴看到政府提供了一个解决方案来满足某些要求，但使用这个工具并不意味着你的组织在今年是“好的”。这是一个起点，可以帮助医院、医生实践和医疗团体通过SRA，但HIPAA要求并不止于此。免费工具不提供以下功能:

• 风险管理计划和管理补救的方法;
• 记录和主动缓解;
• 隐私和安全政策及程序;
• 协助制定或改善政策;
• 业务伙伴协议的管理和审查;和
• HIPAA员工培训。

所有这些项目都在《安全规则》中明确规定，适用于所有受保实体和业务伙伴。虽然该工具对入门很有帮助，但它只是HIPAA遵从性计划的一部分。beplay最新备用网站您的组织将受益于解决所有HIPAA要求的解决方案，从而避免在多个领域进行额外的工作。至少，符合mips资格的提供者应该提出提高效率的计划，以及通过临床知识、创新和技术实施该计划的步骤。

- - - - - -凯利·本森是解决方案顾问DeliverHealth．

- - - - - -Arielle Van Peursem是Medcurity．