誰需要符合 HIPAA 規範,為什麼?
HIPAA 定義了需要遵守其要求的兩種組織類型:
- 涵蓋實體: HIPAA 將「涵蓋實體」定義為可訪問 PHI 的醫療保健組織及其員工。 這包括醫生,護士和保險公司。
- 業務合作夥伴: 在 HIPAA 下,「業務合作夥伴」是為涉及訪問 PHI 的涵蓋實體提供服務的組織。 例如,處理醫療保健提供者的帳單的組織可以訪問患者姓名、地址等,這些機構受 HIPAA 保護為 PHI。
根據 HIPAA,涵蓋的實體和業務合作夥伴都必須遵守 HIPAA。 涵蓋的實體受到衞生及人類服務部(HHS)公民權辦公室(OCR)直接監管。 通過與受保實體的合同,對業務合作夥伴實施 HIPAA 要求。
但是,該規例僅適用於符合法律規定的涵蓋實體或業務關係人定義的組織。 其他有權訪問健康信息但未從受保實體接收該信息的組織不受 HIPAA 法規的約束。 例如,直接從用戶收集健康信息但不是醫療保健組織的健康和健身應用程序的開發人員不需要遵守其指令。
但是,這些組織可以從這樣做中受益。 HIPAA 描述了保護 PHI 的最佳做法,並遵守這些最佳做法可以減少組織對網絡威脅的暴露,以及潛在數據洩露的可能性和影響。 此外,如果發生違規或安全事故,遵守該規例有助於證明公司進行盡職調查並努力保護其客戶數據。
什麼是 HIPAA 規則?
HIPAA 分為兩個主要規則:隱私規則和安全規則。 除了這些規則之外,還有違規通知規則,其中描述了組織應如何報告 PHI 違規,以及全部規則,該規則將 HIPAA 要求擴展到包括業務夥伴。
隱私規則。 個人可識別健康信息隱私標準(隱私規則)規定醫療保健組織應如何保護委託給他們的某些類型的健康信息。 隱私規則定義了可以訪問和披露 PHI 的情況。 它還定義了涵蓋實體應採用的保護措施來保護 PHI,並賦予患者有關其 PHI 的某些權利。
安全規則。 保護電子保護健康信息的安全標準(安全規則)描述了公司應對以電子方式存儲或傳輸的受保護健康信息(PHI)採取的 IT 安全控制。 它提供組織必須採用具體的 IT 安全控制、流程和程序,以滿足隱私規則中概述的資料保護要求。
受 HIPAA 保護的數據
HIPAA 旨在保護患者向受保實體及其業務夥伴提供的 PHI。 HHS 定義了十八種類型的 PHI 識別碼,包括:
- 姓名
- 地址
- 重要日期
- 社會安全號碼
- 電話號碼
- 電子郵件地址
- 傳真號碼
- 健康計劃受益人號碼
- 醫療記錄號碼
- 證書 / 執照號碼
- 賬戶號碼
- 車輛識別碼、序號或車牌號
- 裝置識別碼或序號
- IP 位址
- 網址
- 全臉照片
- 生物特徵識別碼,例如指紋或語音印
- 任何其他唯一識別號碼、特徵或代碼
常見的 HIPAA 違規
對於所涵蓋的實體來說,HIPAA 合規性是強制性的,這些組織可能會因不合規而受到處罰。HIPAA 定義了四個違規層次:
- 一級: 受保的實體不知道違規,如果保障實體採取良好的努力遵守 HIPAA,則無法實際地防止違規。 罰款範圍從 100 美元到 50 萬美元。
- 第二階層: 受保的實體已知道違規,但由於良心努力遵守 HIPAA,這是無法預防的。 罰款範圍從 1,000 美元到 50,000 美元。
- 第三階層: 違規是由於受保實體嘗試更正的 HIPAA 規則的「故意忽略」而發生的。 罰款範圍從 10,000 美元到 50,000 美元。
- 第四階: 該違規是由於受保實體沒有嘗試更正的「故意忽略」而發生的。 罰款從 50,000 美元開始。
大多數 HIPAA 違規包括故意或以其他方式破壞 PHI。 一些常見的 HIPAA 違規包括:
- 遺失或被竊裝置
- 勒索軟體和其他惡意軟體
- 入侵的使用者認證
- 通過電子郵件,社交媒體等意外共享數據
- 實體辦公室入侵
- 違反電子健康紀錄(EHR)
HIPAA 合規性檢查表
實現 HIPAA 合規性是一個多步驟的過程。要採取的一些關鍵步驟包括:
- 確定您的合規義務: 如前所述,HIPAA 適用於受保實體,以及 — 通過它們 — 其業務合作夥伴。 根據 HIPAA,涵蓋實體被定義為醫療保健提供者、健康計劃和醫療保健結算所。 他們的業務夥伴是他們與其共享 PHI 的任何組織。
- 了解 HIPAA 規則: HIPAA 隱私與安全規則定義涵蓋實體或業務合作夥伴在 HIPAA 下的責任。 了解所需的控制、政策和流程對於實現和維持合規至關重要。
- 確定合規範圍: HHS 定義了 18 種資料類型,該資料符合 PHI 資料,並且必須受到 HIPAA 保護。 確定在組織的 IT 環境中存儲、處理和傳輸這些類型資料的位置對於確定哪些系統和人員受 HIPAA 的授權限而言至關重要。
- Perform a Gap Assessment: 組織可能有一些必要的 HIPAA 控制項,但其他控制項可能缺少。 為了確定公司在哪些方面未達到合規性要求,有必要根據 HIPAA 要求進行差距評估。
- 部署缺少的控制項: 差距評估可能會識別組織目前不符合規範的地方。 在確定這些差距之後,制定並實施關閉孔的策略。
- 建立必要的文件: HIPAA 要求涵蓋的實體擁有特定記錄的政策和流程。 如果任何程序丟失或無文件,請生成所需的文件。
- 準備合規審核: 透過合規性審計需要能夠向審計員證明組織的安全控制、流程和程序符合法規的要求。制定一個進行稽核的計劃,並在審計之前收集所需的數據和報告。
Check Point 如何提供協助
HIPAA 的主要目標是保護委託給涵蓋實體及其業務夥伴的 PHI。 HIPAA 隱私和安全規則命令組織控制和監控 PHI 的存取,並保護其免受未經授權的存取。
Check Point 提供多種解決方案來協助 醫療保健提供者 和其他組織以實現 HIPAA 和其他法規的合規性。Check Point CloudGuard 執行 合規監控基於雲端的環境的資料收集和報告產生。要了解有關使用 CloudGuard 實現雲端合規性的更多信息,歡迎您 報名參加免費示範。