健康保險可攜帶性和可訪問性法案( HIPAA) 是一項旨在保護美國境內患者醫療信息的法規。某些有權訪問受保護健康信息 (PHI) 的組織需要實施 HIPAA 法規中概述的安全控制、流程和程序。

誰需要符合 HIPAA 標準，為什么？

HIPAA 定義了兩種需要遵守其要求的組織：

• 涵蓋實體：HIPAA 將“涵蓋實體”定義為有權訪問 PHI 的醫療保健組織及其員工。這包括醫生、護士和保險公司。
• 商業伙伴：在 HIPAA 下，“商業伙伴”是為涉及訪問 PHI 的涵蓋實體提供服務的組織。例如，為醫療保健提供者處理帳單的組織可以訪問患者的姓名、地址等，這些信息在 HIPAA 下受 PHI 保護。

根據 HIPAA，涵蓋的實體和商業伙伴都必須遵守 HIPAA。涵蓋的實體由衛生與公眾服務部 (HHS) 民權辦公室 (OCR) 直接監管。HIPAA 要求通過商業伙伴與涵蓋實體的合同強制執行。

但是，該法規僅適用于符合法律所涵蓋實體或商業伙伴定義的組織。其他有權訪問健康信息但未從涵蓋實體接收的組織不受 HIPAA 法規的約束。例如，直接從用戶那里收集健康信息但不是醫療保健組織的健康和健身應用程序的開發人員不需要遵守其指令。

但是，這些組織可以從中受益。HIPAA 描述了保護 PHI 的最佳實踐，遵守這些最佳實踐可以減少組織面臨網絡威脅的風險以及潛在數據泄露的可能性和影響。此外，在發生違規或安全事件時，遵守法規有助于證明公司進行了盡職調查并努力保護其客戶的數據。

什么是 HIPAA 規則？

HIPAA 分為兩個主要規則：隱私規則和安全規則。除了這些規則之外，還有違反通知規則，它描述了組織應如何報告違反 PHI 的行為，以及綜合規則，它擴展了 HIPAA 要求以包括業務伙伴。

隱私規則。個人可識別健康信息隱私標準（隱私規則）規定醫療保健組織應如何保護委托給他們的某些類型的健康信息。隱私規則定義了可以訪問和披露 PHI 的情況。它還定義了涵蓋實體應采取的保護 PHI 的保障措施，并賦予患者有關其 PHI 的某些權利。

安全規則。電子受保護健康信息保護安全標準（安全規則）描述了公司應為以電子方式存儲或傳輸的受保護健康信息 (PHI) 實施的 IT 安全控制。它提供了組織必須具備的具體 IT 安全控制、流程和程序，以滿足隱私規則中概述的數據保護要求。

受 HIPAA 保護的數據

HIPAA 旨在保護患者向涵蓋實體及其業務伙伴提供的 PHI。HHS 定義了十八種類型的 PHI 標識符，包括：

1. 姓名
2. 地址
3. 關鍵日期?
4. 社會安全號碼
5. 電話號碼
6. 電子郵件地址
7. 傳真號碼
8. 健康計劃受益人號碼
9. 病歷號
10. 證書/許可證號
11. 帳號
12. 車輛標識符、序列號或車牌號
13. 設備標識符或序列號
14. IP地址
15. 網址
16. 全臉照片
17. 生物識別標識符，例如指紋或聲紋
18. 任何其他唯一識別號碼、特征或代碼

常見的 HIPAA 違規

HIPAA 合規性對于涵蓋的實體是強制性的，這些組織可能會因不合規而受到處罰。HIPAA 定義了四級違規：

• 第 1 層：受保護實體不知道違規行為，如果受保護實體真誠地努力遵守 HIPAA，則實際上無法防止違規行為。罰款從 100 美元到 50,000 美元不等。
• 第 2 層：涵蓋的實體知道違規行為，但鑒于善意努力遵守 HIPAA，這是無法避免的。罰款從 1,000 美元到 50,000 美元不等。
• 第 3 層：違規是由于“故意忽視”受涵蓋實體試圖糾正的 HIPAA 規則而發生的。罰款從 10,000 美元到 50,000 美元不等。
• 第 4 層：違規行為是由于“故意疏忽”而被涵蓋實體未嘗試糾正而發生的。罰款起價為 50,000 美元。

大多數 HIPAA 違規包括有意或無意破壞 PHI。一些常見的 HIPAA 違規行為包括：

• 丟失或被盜的設備
• 勒索軟件和其他惡意軟件
• 泄露的用戶憑據
• 通過電子郵件、社交媒體等意外共享數據。
• 實體辦公室闖入
• 違反電子健康記錄 (EHR)

HIPAA 合規性清單

實現 HIPAA 合規性是一個多步驟的過程。需要采取的一些關鍵步驟包括：

1. 確定您的合規義務：如前所述，HIPAA 適用于涵蓋的實體，并通過它們適用于其業務伙伴。根據 HIPAA，涵蓋的實體被定義為醫療保健提供者、健康計劃和醫療保健票據交換所。他們的業務伙伴是與他們共享 PHI 的任何組織。
2. 了解 HIPAA 規則：HIPAA 隱私和安全規則定義了涵蓋實體或業務伙伴在 HIPAA 下的責任。了解所需的控制、政策和流程對于實現和保持合規性至關重要。
3. 確定合規范圍：HHS 定義了 18 種符合 PHI 且必須受 HIPAA 保護的數據類型。確定這些類型的數據在組織的 IT 環境中的存儲、處理和傳輸位置對于確定哪些系統和人員受 HIPAA 要求的約束至關重要。
4. 執行差距評估：一個組織可能有一些必要的 HIPAA 控制，但其他的可能會缺失。有必要根據 HIPAA 要求進行差距評估，以確定公司在哪些方面未達到合規要求。
5. 部署缺失的控制：差距評估可以識別組織當前不合規的地方。在確定了這些差距之后，制定并實施封閉漏洞的策略。
6. 創建所需的文檔：HIPAA 要求涵蓋的實體具有某些記錄在案的政策和流程。如果任何流程缺失或未記錄在案，請生成所需的文檔。
7. 準備合規審核：通過合規審核需要能夠向審核員證明組織的安全控制、流程和程序符合法規要求。制定審核計劃，并在審核前收集任何所需的數據和報告。