Jeffrey Ziplow2014年2月25日
自HIPAA隐私、安全、执行和违反通知规则的修改在HITECH法案下宣布以来,已经过去了一年多时间。尽管这些规则的最早影响定于2013年3月26日,但所有与hipaa相关的文件和合同必须在2014年9月22日之前遵守新规则。这份138页的文件概括了几个关键点。联邦卫生与公众服务部的职责是:将HIPAA合规范围扩大到商业伙伴及其分包商;识别个人健康信息(PHI)违反通知规则;并对HIPAA和HITECH法案的执行规则和处罚结构进行修改。然而,要解决所有这些问题,就需要重新评估关于访问、拥有、创建和/或传输个人健康信息(PHI)的安全性和控制。
新的HIPAA法规
听起来很简单。只要继续做我们过去几年所做的事情。这可能听起来不错,但它也可能会让你陷入困境。这些新规则纳入了“新牙齿”,包括增加对不合规(基于疏忽水平)的惩罚,每次违规的150万美元最高罚款。
下面概述了一些用于加强PHI周围安全和控制的想法:
上一次有人审查、评估或执行关于PHI存储位置的风险评估是什么时候?简单的答案是它存储在住院生/门诊系统中。是纯PHI的唯一一个地方?Word处理或电子表格文件呢?电子邮件怎么样?金融管理系统怎么样?笔记本电脑怎么样?手机怎么样?那些可以很容易丢失的那些小可拆卸硬盘(拇指驱动器)呢?现在考虑谁拥有或可以进入这个PHI。执行年度风险评估可以帮助回答这些类型的问题,并将有助于减轻HIPAA风险。
只要有可能,如果正在访问或存储在数据库中或其他地方(在运动中或休息中),则应加密。如果PHI在笔记本电脑上,请加密它。如果它存储在可移动驱动器上,请加密它。如果它处于电子邮件中,请加密(或不发送)。加密是您的朋友,更重要的是,它可以显着保护PHI。
审查了组织的组织政策,程序和协议的最后一次审核是什么时候进行审查?当前的政策仍然是有意义的,还是需要更新,以包括组织的安全程序的新变更/做法?是否建立了您自己的设备(BYOD)策略,以确保您的手机和/或从家中的平板电脑如何使用安全网络(或不)?每位商业伙伴是否有最近签署的协议(不需要于2014年9月22日延迟)?反过来,业务助理是否使用分包商,他/她是否有签名协议?有人被指定为信息系统安全官,他们完全了解/欣赏他们的角色吗?当然,它只是文档,但每个组织都需要练习他们的讲话和遵循他们的HIPAA职责。作为这一努力的一部分,为员工和供应商提供明确的政策/议定书的通信是良好的HIPAA合规计划的重要组成部分。
IT部门最后一次审查人力资源的人员终端列表是什么时候,并将这些信息与活动网络用户相比,以确定可以访问组织系统的任何“幻影”用户?这可能是一个严重的安全风险。根据解雇的原因,不满的员工可能想要给组织上一两个教训,并可能访问和利用机密的PHI。首先,以季度为基础,确保没有可能暴露任何PHI的虚拟用户。按照这些方法,确保用户没有共享用户id和密码。每个用户都应该负责保护他/她的网络身份,同时保护对PHI值信息的访问。共享id和密码会对保护PHI产生负面影响。
IT部门最后一次确认组织内各服务器,计算机和应用程序的所有安全修补程序是最新的吗?基于最近的一些重大漏洞,黑客们正在利用尚未应用安全补丁的系统。事实上,黑客们可以获得大量有关这些漏洞的信息,这些信息可以在互联网上找到。这些“漏洞”允许入侵者(直接或间接)访问PHI,从而使组织面临重大风险。保持警惕并跟上所有的安全补丁是一个简单的答案。
对组织的密码策略最后一次评估是什么时候?使用复杂的密码?密码多久更改了?有人可以继续反复使用相同的密码吗?多次不成功的登录尝试后会发生什么?如何应答这些问题将有助于确定组织内的安全程度。实用!强制用户每15到30天更改密码可能不合适,并导致更多问题。实现强/复杂的密码(字母,数字,大写字母和特殊字符的组合)可以显着帮助保护PHI。如此,随着在不成功的登录尝试的最低号码(5)之后锁定一个人,将公开安全违规,并帮助防止不适当的PHI访问权限。
实施和维护良好的安全实践是符合HIPAA规定的重要组成部分。组织需要不断挑战和测试其网络中的风险和暴露,希望确保和/或最小化对PHI的访问。定期(每月/季度)投入时间评估潜在风险并减轻任何潜在的安全问题,有助于确保遵守HIPAA HITECH强制执行规则,并消除相关重大惩罚的风险。
