consumer-rights
卫生部门企业遵守战略
Table of Contents
理解监管风景
遵守保健规定首先要彻底了解适用的法律和规定。
HIPAA 隐私和安全规则
卫生与健康保护局制定了保护个人可识别健康信息的国家标准,《隐私规则》规定了如何使用和披露个人健康保护,而《安全规则》规定了电子健康保护的行政、物理和技术保障措施,涵盖的实体(卫生计划、卫生信息中心和大多数保健提供者)及其业务伙伴必须遵守这些规则,《安全规则》要求各组织执行诸如出入控制、审计控制、诚信控制和传输安全等措施,不遵守规则可导致每次违反者处以100至50 000美元的罚款,每类违反者最高每年罚款150万美元。
健康与健康法
由2009年美国"复苏与再投资法"颁布,HITECH强化了HIPAA的执法,加大了对违法行为的处罚力度,扩大了违约通知要求,还推动电子健康记录的采用,并为企业合伙人制定了新的隐私和安全规定,HITECH规定,企业合伙人应对HIPAA违法行为直接负责,必须遵守安全规则,法律还引入了HIPAA突破通知规则,要求组织在发现违法行为后60天内通知受影响个人,卫生和公众服务部(HHS),有时还通知媒体.
遵守医疗保健和医疗补助
参与联邦医疗计划的组织必须遵守《虚假索赔法 》 、 《 反小鸡背法 》 、 《 斯塔克法 》 和具体方案条例。 合规包括准确的开具账单、适当的文件记录和避免欺诈行为。 医疗护理和医疗救助服务中心(CMS)提供指南和进行审计以确保计划的完整性。 违反者可能导致民事罚款、被排除在联邦计划之外以及刑事起诉。 比如,《虚假索赔法》规定了每虚假索赔5,500美元至11,举报人可以提起quitam诉讼。
国家特定保健法
许多州颁布了额外的隐私法(比如加利福尼亚州CAPA/CPRA,纽约州SHIELD法案),规定了比联邦同行更严格的要求。 跨州行医的保健企业必须遵循这种零星的规章制度,并确保所有运营地区的遵守。 比如,加利福尼亚州消费者隐私法(CCPA)赋予患者了解收集的个人信息的权利,删除信息的权利,以及选择退出销售的权利。 纽约SHIELD法案扩大了私人信息的定义,并要求合理的保障措施,包括风险评估、员工培训和事件应对计划。
制定全面遵约战略
强有力的遵守战略不是一次性项目,而是纳入本组织文化的不断进行的进程。 以下关键步骤构成有效的遵守方案的基础。
定期进行风险评估
风险评估确定了处理PHI时的脆弱性,并评价潜在违约的可能性和影响。根据《投资促进法》,所覆盖的实体必须定期进行风险分析并执行措施减轻已查明的风险。 HHS 民权办公室(OCR)为进行彻底评估提供了详细指导[。 纳入NIST网络安全框架等框架可以进一步加强这一过程。 全面的风险评估应包括资产清点、风险识别、脆弱性扫描、可能性和影响分析以及补救计划。 各组织通常使用HIPA安全风险评估工具(SRA)等工具,或者聘请第三方审计员进行更深入的渗透测试和社会工程模拟。
执行工作人员培训方案
人为错误仍然是数据被破坏的主要原因。 全面的培训方案应该包括隐私政策、安全程序、钓鱼意识、正确处理PHI和事件应对规程。培训必须针对不同的角色,并且至少每年一次,在政策变化或安全事件之后,还要增加课程。例如,临床工作人员需要病人同意和与家人分享信息方面的培训,而信息技术工作人员则需要更深入的加密、访问控制和日志监测技术培训。基于作用的培训减少了意外暴露的风险。通过测试记录培训的出席和测试理解有助于在审计期间证明遵守规定。
制定明确的政策和程序
记录政策和程序是任何遵守方案的基础。
- 隐私通知 —— 告知患者他们的权利及其信息的使用方式。必须在第一次服务提供时提供,并张贴在显著位置。
- 安全政策[ – 地址密码要求,设备加密,远程访问和物理保障。包括移动设备和电子邮件的可接受的使用政策。
- 事件应对计划 — — 概述了检测、调查、控制和报告违规行为的步骤。 应包括通信模板和升级路径。
- 制裁政策 — — 确保针对不遵守行为的惩戒行动。 严重违反行为从口头警告到终止的渐进纪律。
应定期审查和更新政策,以反映条例或业务的变化,版本控制和核准记录对于审计准备状态至关重要。
利用技术促进数据安全
技术在保护电子公共卫生倡议方面发挥着关键作用。
- 复制 — 对所有ePHI处于休息和中转状态. 使用AES-256作为休息数据,使用TLS1.2或更高数据作为过境数据.
- 访问控制 — 基于角色的访问,多要素认证,以及审计日志。执行最小特权原则;在角色改变或终止时立即取消访问。
- 侵入探测系统 – 监视网络流量以进行可疑活动. 结合基于签名和行为检测以更好地覆盖.
- 自动备份解决方案 – 确保当赎金软件或系统故障时数据回收. 遵循3-2-1备份规则(3份,2种媒体类型,1次场外).
各组织还应定期进行脆弱性扫描和渗透测试,利用结果弥补弱点。 补丁管理政策必须优先考虑处理电子公共卫生信息系统的严重脆弱性。
监测和审计合规工作
不断监测和内部审计核实政策和控制措施是否如预期的那样发挥作用。
- 检查访问日志以检测未经授权的 PHI 访问。 寻找异常模式,如小时后访问、重复失败的登录或访问员工角色以外的记录。
- 定期进行收费表审计。验证文件支持已计费的代码,并审查是否进行编码或解包。
- 模拟HIPAA审计和破解模拟 测试事件响应速度和准确性.
- 跟踪任何发现的纠正行动。使用风险登记册来确定补救的优先顺序并跟踪关闭情况。
定期向高级管理层和董事会报告有助于维持问责制和资源分配,显示关键合规度量表的板块(如培训完成、审计结果、事件应对时间)提高了可见度。
遵约干事的作用
指定专职的合规官员是《健康与健康与健康法》和许多州法律下的有效方案的一个必备组成部分。 此人负责监督组织的合规活动,充当监管调查的联络点,并确保合规方案仍然有效。 监管官员应当能够直接获得行政领导,并拥有执行政策的充分权力。 在更大的组织中,由法律、信息技术、临床和行政部门代表组成的合规委员会可以支持监管官员。 监管官员还应当通过参加医疗保健合规协会(HCCA)等组织的身份,不断了解监管方面的更新情况,并保持认证,如医疗保健合规认证(CHC)等。
供应商管理和业务联系协定
保健企业往往依赖第三方供应商提供云存储、账单、转帐或紧急人力保障等服务。根据《住房、投资、技术和企业发展法》,这些供应商被视为商业伙伴,必须签订一项商业联系协议,由合同规定他们有义务保障个人健康保障。 应有的注意应包括评价供应商的安全做法、审查他们的SOC 2报告以及进行定期重新评估。HHHS关于商业伙伴的指导意见提供了详细要求。此外,各组织应在《住房、环境和环境及自然资源法》中列入违约通知条款,确保供应商在任何安全事故的指定时限内通知所涉实体。对于高风险供应商,考虑现场审计或第三方风险评估报告。
数据违反反应和通知
当出现违反无担保的PHI时,各组织必须遵守具体的通知要求. HIPAA要求通知受影响的个人,HHS OCR,以及(在某些情况下)媒体. 及时性至关重要:必须及时通知,不得无理拖延,在发现60天内. 许多国家规定了额外的通知期限(例如,在一些国家,30天). 实践良好的事件应对计划确保了该组织能够迅速控制违反,评估风险,通知利益攸关方,并记录反应. 事后审查有助于防止今后发生事件. 违约应对计划的关键组成部分包括:
- 识别和封存[ –隔离受影响的系统,保存日志,并使用IT法证.
- 风险评估——确定违反的性质和程度,所涉及的PHI类型,以及损害概率.
- 通知 — — 在规定的时间范围内通知受影响的个人,包括他们为保护自己可以采取的步骤。通过在线门户通知HHS OCR。 如果违反规定影响到州内500多名居民,请通知知名媒体。
- 文档 — — 保存关于违约调查、风险评估、通知行动和补救步骤的详细记录。 在审计或诉讼情况下可能需要这种文件。
开展年度桌面演练,与跨职能团队,包括法律,信息技术,通信,以及行政领导,测试应对计划.
培训与遵义文化
培养守法文化意味着将道德和法律标准纳入日常业务。 领导者必须通过资源分配、公开沟通和对报复举报员工的零容忍来表明守法承诺。 鼓励员工提问、通过匿名热线举报潜在的违规行为并参与持续教育,这加强了总体守法态势。 承认并奖励守法的倡导者,他们树立了最佳做法。 将守法目标纳入绩效评估,并将奖金与遵守隐私和安全标准挂钩。 定期的市民大会、通讯和海报强化了守法是每个人的责任的信息。
新出现的遵守挑战
远程保健和远程护理
由COVID-19大流行加速的远程保健的迅速扩展提出了新的合规考虑,供应商必须确保远程保健平台符合HIPAA的安全要求,获得适当的病人同意,并遵守国家许可证法。
- Platform security – 端对端加密,安全会话管理,以及供应商和患者的恰当认证.
- 同意和证明文件 – 证明病人同意远程保健,并确保所选择的技术不会降低护理标准.
- 国家许可 — — 核实提供者在患者所在的州获得许可。 一些州是州际医疗许可契约的一部分,但不是全部。
- 远程监测[] –确保用于远程患者监测的装置和应用程序符合HIPAA,并安全传输数据.
人工智能和数据分析
AI驱动的用于临床决策支持、诊断成像或患者参与的工具带来了潜在的偏见、透明度问题和数据隐私问题。 合规方案必须评价AI供应商是否符合HIPAA,确保算法不不公平,并保持对自动决定的人类监督。 在使用AI分析PHI时,各组织必须确定AI模型本身是否构成商业关联。数据解识别技术,如HIPAA安全港方法或专家确定,可以减少监管负担。 然而,重新识别风险依然存在,因此,严格的访问控制和审计线索至关重要。 定期审计AI输出,以确定偏向和准确性,并记录AI采纳的治理结构。
互操作性和卫生信息交流
随着医疗实体之间数据共享的增加,各组织必须管理与健康信息交流(HIEs)和API相关的隐私和安全风险。 合规要求明确的数据使用协议、患者同意管理以及防止传输过程中未经授权获取的技术保障。 《21世纪魔咒法》促进互操作性,但也要求信息共享而不受阻碍。 各组织必须实施基于FHIR的API,允许患者通过第三方应用访问数据。 开放访问与安全平衡意味着采用OAuth 2.0、 象征性认证和审计记录。 患者同意必须是颗粒式的,允许个人选择共享哪些数据,以及谁共享。
外部资源和持续教育
遵守医疗保健是一个动态的领域。 各组织应该利用监管机构和行业团体的资源来保持知情。 HHS OCR提供执法数据、FAQs和审计协议[。 CMS网站提供医疗保健遵守指导[。 参加医疗保健遵守协会等专业组织可以提供网络、网络研讨会和认证(例如CHC,CHPC ) 。 此外,签署OCR的电子邮件更新和参加行业会议(如HCCA 遵守协会)有助于领导人在监管改革之前保持领先。关于具体技术标准,请参考NIST特别出版物800-66,“执行HIPA安全规则的介绍性资源指南 ” 。
结论
有效的合规战略不仅仅是避免惩罚;它们对于提供可信赖的高质量医疗保健至关重要。 通过理解监管的全面范围,制定结构化的合规方案,制定强有力的政策,投资于技术和培训,并主动应对新出现的挑战,医疗保健组织可以保护患者数据,降低风险,建立诚信声誉。 合规是一个持续的过程,需要组织各级作出承诺,但改善患者信任、业务效率和法律安全的好处使得这一努力变得至关重要。 在监管预期只会加强的环境下,积极主动和文化驱动的合规方案是防止违规行为、罚款和声誉损害的最有力防御。