完成2023年HIPAA合规指南

《健康保险可携性与责任法案》(HIPAA)是监管合规和医疗保健网络安全的支柱。为了保护机密和敏感的患者数据，医院、保险提供商和医疗保健组织都必须遵守HIPAA合规规定。

• 什么是HIPAA合规?
• 如何成为HIPAA合规
• 遵守HIPAA的好处
• 遵循HIPAA的三个安全提示
• HIPAA关键资源
• HIPAA合规常见问题

任何受HIPAA约束的组织都必须走在前面，认识到任何变化，并在接近2023年的时候立即做好准备。在本详细指南中，我们将根据法律、COVID法规的变化和日益增长的网络安全问题，逐步解释HIPAA合规性。

您不希望关注针对您的组织的HIPAA投诉，当然也不希望成为被罚款的人之一。本指南将告知您有关HIPAA合规性的所有信息，并将帮助您保护和保护受HIPAA保护的数据。

HIPAA合规到底是什么?

HIPAA合规性是业务伙伴和承保实体按照《健康保险可携带性和责任法案》的要求保护和确保受保护健康信息(PHI)的过程。这是“保护人们的医疗数据”的法律术语。

• 受保护的运行状况信息(PHI)是属于您、我或每个人的医疗保健数据。PHI是HIPAA旨在保护和保密的信息。安全港规则指定了为了解密PHI必须删除哪些类型的数据。
• 涉及实体是处理并有权访问PHI的医疗保健专业人员。它由医生、护士和保险公司组成。
• 商业伙伴是与受保实体合作的非医疗保健角色的人员或服务，与受保实体一样负责维护HIPAA合规性。业务伙伴包括但不限于在医疗保健部门的法律、会计、行政或IT领域工作并可访问PHI的专业人员。

如何符合HIPAA

将内部程序与适当的技术和战略外部伙伴关系相结合是满足所有HIPAA要求的必要条件。以下是在深入研究法规细节之前，如何在战略层面上符合HIPAA的要求。

• 创建政策:您应该从创建和实施有效的网络安全标准、策略和流程开始。您的员工应该接受适当的培训，您的管理政策和实践都应该符合HIPAA。此外，确保你的政策有良好的文件记录，并传达给组织中的每个人。
• 实施保障措施:保持HIPAA合规性需要强大的PHI保护措施，无论是物理上还是数字上。物理PHI存储区域应该只对授权人员开放。此外，还应实施强大的密码和登录安全性。
• 风险评估:每个受保实体都应进行年度HIPAA风险评估。所以，如果你还没有开始为2023年做计划，现在是时候了。风险审计应包括贵公司为达到HIPAA合规性而实施的所有管理、物理安全和技术安全措施。
• 调查违反:在理想的情况下，您的整个组织将在一年中的每一天都符合HIPAA。然而，错误确实会发生，无论是由您、审计人员还是监管机构发现的。如果发现了违规行为，要制定程序进行根本原因分析和补救，这样问题就不会再次发生。

通过在您的HIPAA旅程中牢记这四个原则，您将能够以最有效的方式实现并保持合规性。

HIPAA合规指南2023

HIPAA隐私规则是所有适用实体必须理解的基本条款。隐私规则指定授权人员何时以及如何获得PHI。医疗保健专业人员、管理人员、律师以及参与医疗信息生态系统的任何人都属于这一类。同时，HIPAA安全规则规定了必须实施的实际保护措施，包括技术和非技术保障措施。

1.了解HIPAA隐私和安全规则

你会想要了解2023年隐私和安全法规的一些重要组成部分。例如，卫生与公众服务部(HHS)将继续专注于调查轻微的安全事件，可能会加大他们在精神健康、精神病学和心理学领域保护PHI的力度。

此外，随着医疗保健越来越多地以远程咨询和数字评估的形式转移到在线，您将需要平衡如何执行这些操作与隐私规则。在2023年及以后，你将需要特定的程序来处理这类数字健康互动，因为关于专业人士在工作时使用Facebook和其他社交媒体是否违反了HIPAA，一直存在一些争议。

简而言之，安全和隐私规则之间存在联系。您可以通过遵守HIPAA安全规则并将适当的安全流程置于适当的位置来帮助自己遵守隐私规则，该规则概述了对PHI的进一步保护。

2.确定隐私规则是否对您有影响

接下来，您需要评估并确认隐私规则实际上适用于您的业务、实践或医疗保健组织。请记住，隐私规则通过管理所有涵盖实体(从医生和护士到律师和保险提供商)的实践来保护个人PHI。

覆盖实体是为其客户和/或患者持有和处理PHI数据的人员和组织。覆盖实体还负责报告违反HIPAA的行为，如果确实发生违反HIPAA的行为，将由公民权利办公室支付罚款。

HIPAA将这些个人和组织定义为覆盖实体:

卫生保健提供者

• 医生
• 诊所
• 心理学家
• 牙医
• 按摩师
• 养老院
• 药店
• 健康计划

健康保险公司

• hmo
• 公司健康计划
• 政府提供的医疗保健计划

医疗清算所

• 这些实体将来自另一个实体的医疗保健数据处理为标准形式。

3.保护正确类型的患者数据

HIPAA合规性检查表中的第三个行动项目是了解需要保护的患者数据类型，并开始采取正确的安全和隐私措施。

HIPAA隐私规则将PHI定义为由覆盖实体或其业务伙伴存储或传输的“个人可识别的健康信息”。这可以是任何形式的媒体，从纸质和电子到口头交流。

法律进一步将“个人可识别的健康信息”定义为个人过去、现在和未来的健康状况，提供给个人的医疗保健的详细信息，以及可以识别或有合理理由相信可以用于识别个人的付款信息。

这通常包括(但不限于)以下类型的患者数据:

• 姓名和出生日期
• 关于病人出生、死亡、治疗计划或与他们的疾病和医疗有关的日期
• 联系信息，如电话号码、物理地址和电子邮件。
• 社会安全号码
• 医疗记录编号
• 照片及数码图像
• 指纹和语音记录
• 任何其他形式的唯一身份或帐号

4.防止可能违反HIPAA

HIPAA法案可能以多种方式发生，因此了解违规是什么以及如何发生是至关重要的，以便采取预防措施。最常见的违规类型是内部的，而不是任何外部黑客或数据泄露的结果。通常情况下，违规行为源于疏忽或仅部分遵守隐私规则。

没有上锁的工作站，或者在公共场所放错位置的纸质文件——虽然不是恶意的——是最需要警惕的违规类型。没有正确配置像Office 365这样符合HIPAA的软件是另一个非故意违规的例子。然而，像丢失或被盗的笔记本电脑具有PHI本身并不一定是一种违规。如果PHI是按照隐私规则标准加密的，则您不承担罚款或处罚责任。

以下是你可以采取的一些基本步骤来防止违反HIPAA:

• 了解数据泄露:数据泄露并不一定是外部黑客所为。根据HIPAA，数据泄露只是未经授权的人员或在不应该访问PHI的情况下访问PHI。为了防止数据泄露，你需要一个强大的网络安全计划来防止黑客入侵，以及适当的内部安全措施和培训。
• 识别常见的违规行为:可能导致违反HIPAA的一些常见原因是设备盗窃、黑客攻击、恶意软件或勒索软件、物理办公室闯入、将PHI发送给错误的方、在公共场合讨论PHI和/或将其发布到社交媒体上。了解这些常见的违规行为将有助于防止它们的发生。
• 预料到一个小漏洞:轻微或较小的违规行为是指在一个司法管辖区内影响不到500人的违规行为。HIPAA违约通知规则要求在这种情况下采取某些行动。有适当的流程，以防发生HIPAA定义为轻微违约的情况。
• 为有意义的背叛做好准备:一个有意义的违规行为会影响一个辖区内超过500人。他们需要在实际发生的60天内报告给卫生与公众服务部民权办公室(HHS OCR)。您还应该准备好立即通知受影响方和执法部门。

5.随时了解HIPAA的最新变化

HIPAA合规性可能是一个移动的目标，定期发生变化。在您实施了所有正确的网络安全措施以及潜在违规响应流程之后，您仍然需要跟上HIPAA的新发展。HIPAA的各种变化预计将在2023年生效，您现在应该做好准备。

2023年HIPAA更新的一些重点内容包括:

• 患者承认隐私惯例通知
• PHI保护的最低必要标准
• 与护理协调和病例管理相关的允许披露
• 对突发卫生事件的PHI披露
• 公民获取受保护健康信息的权利
• 组织可能向访问PHI的个人收取的费用

即使您目前可能已经达到了HIPAA合规性，也必须监控即将到来的2023年HIPAA更新，并与您的合规合作伙伴合作，确保您在更新到来时遵守。

6.了解COVID如何影响HIPAA

COVID-19大流行正在永远改变医疗保健，HIPAA合规性也随之发生变化。这就是为什么HIPAA合规性检查表上的一项重要内容是在可能受到影响的业务的网络安全、物理安全和合规性方面考虑COVID-19。

大多数医疗保健提供商和覆盖实体需要考虑的最大方面是远程工作和远程医疗。患者的PHI现在可以在更多的地方处理，在许多情况下，可以在人们家里的个人设备上处理。为此，HHS CSC决定暂时暂停hipaa相关的罚款和处罚。

然而，这种变化可能是永久性的，也可能不是，因此必须采取额外的预防措施，在以远程医疗为中心的家庭工作时代处理PHI，以确保长期遵守。您需要严格定义和控制设备所有权，以便清楚地知道谁在处理什么类型的PHI。

美国卫生与公众服务部最近还发布了关于医疗保健组织如何在2023年及以后将疫苗接种状态视为PHI的指南。目前的公告就如何、在何处以及向谁披露患者的疫苗接种PHI状态提出了非常具体的指导方针。您的HIPAA合规团队应仔细审查这些标准，在合规计划中建立正确的流程，并确保员工仅以符合HIPAA的方式披露疫苗接种状况。

7.文档的一切

您能做的最好的事情之一是尽可能多地记录与您的HIPAA合规性工作相关的文件。您甚至可能希望实现定制构建的HIPAA合规软件，以跟踪所采取的安全措施、与其他实体共享的PHI以及潜在的违规活动等内容。

8.报告数据泄露

如果某人的PHI受到损害，HIPAA会制定规则通知受影响的个人。这些程序由HIPAA违约通知规则规定。您的网络安全政策应该有适当的程序，以便在足够的时间内通知相关方(包括监管机构或执法部门)。

遵循HIPAA的三个安全提示

实施正确的安全流程和措施是全年遵守HIPAA的基础。这里有四个提示来帮助加强您的PHI安全性。

强登录措施:通过实现严格的ID和密码复杂度标准，确保只有授权用户才能访问PHI。确保用户立即更改默认密码，并设置要求他们定期更改密码的系统。

常规活动日志记录:确保您的IT人员和系统日志将有助于遵守HIPAA，因为您将始终跟踪和记录PHI事件。采用正确的日志记录和数据监控技术，以便记录PHI的位置、谁查看了它以及是否发生了泄露。

采取多层方法:用户id和登录只是潜在的HIPAA漏洞的一层。您还需要检查在各种其他层上采取的安全措施，包括网络、系统、软件和防火墙。例如，不要简单地使用默认配置，这样更容易被破坏。

HIPAA关键资源

以下是需要定期监控的资源列表，以便在2023年的HIPAA合规工作中提前说明:

• HIPAA合规期刊
• 健康资讯科技保安
• HIPAA计算
• 美国医学协会
• 疾病控制中心

HIPAA合规常见问题

问:如何开始HIPAA合规?

答:遵从HIPAA的第一步是定义组织中谁主要负责遵从HIPAA。然后，您可以开始围绕PHI评估您的网络安全和业务流程，最好与经验丰富的HIPAA合规性合作伙伴一起。还建议进行HIPAA合规性审计。

问:HIPAA是否规范社交媒体的使用?

A:是也不是。HIPAA隐私规则是在大多数社交媒体平台普及之前采用的，所以从技术上讲，没有逐字提及社交媒体。然而，HIPAA明确禁止未经患者同意在社交媒体上披露PHI。

问:覆盖实体(CE)的官方定义是什么?

答:根据HIPAA的定义，涵盖实体是指必须依法遵守HIPAA规定的任何商业实体。这包括医疗保健提供商、保险公司和票据交换所。卫生保健提供者包括医生、牙医、眼科诊所、医院和其他相关卫生保健服务机构。

问:什么类型的信息被归类为PHI?

答:病人医疗记录或个人数据集中可用于识别个人身份的任何信息。在提供医疗保健服务时创建、使用或披露PHI。PHI包括但不限于电子或纸质记录、x光片、时间表、医疗账单、口述笔记、牙科石膏和口头对话。

问:HIPAA是否要求员工培训?

是的。HIPAA要求所有员工每年接受培训。网络安全培训应该已经纳入员工入职和发展流程，但您应该与合规合作伙伴合作，以确保您的培训是充分的。你还应该包括远程医疗和在家工作的培训模块和材料。

问:如何进行HIPAA合规检查?

答:应与您的合规合作伙伴一起完成HIPAA合规清单。虽然我们概述的检查表肯定会让您从A点到达B点，但合规性合作伙伴可以为您的组织定制路线图，并帮助您更快、更经济地实现正确的措施。

问:我如何知道我的文件是否足以接受HIPAA审核?

A:一般来说，你需要有详细的日志。审计日志记录了哪里出了问题，以及在发生违规时由谁负责。在审计中，无论是随机的还是由于事件，HHS都希望看到这些日志。与所有HIPAA合规文档一样，日志必须保存6年。

问:HIPAA案头审计和实体审计有什么区别?

答:HIPAA桌面审计是最基本的审计形式，可以在远程基础上完成。文档在您、审计人员和您的合规合作伙伴之间从您自己的“办公桌”传输。物理审计是一种更全面的现场审计，密切检查物理和数字PHI安全措施。