Содержание статьи
Что такое HIPAA
Закон о переносимости и подотчетности медицинского страхования 1996 года, известный как HIPAA, представляет собой набор нормативных стандартов, определяющих законное раскрытие и использование защищенной медицинской информации (PHI).
HIPAA является обязательным стандартом для индустрии здравоохранения США. Он распространяется на больницы, другие медицинские учреждения и их поставщиков услуг, которые имеют доступ к защищенной медицинской информации (PHI).
Необходимость HIPAA
Поставщики медицинских услуг и другие организации переходят на полностью компьютеризированные операции, включая электронные медицинские записи (EHR), компьютеризированные системы ввода заказов врача (CPOE), а также системы аптек, радиологии и лабораторий.
В этой среде HIPAA имеет важное значение для защиты информации о пациентах и защиты поставщиков медицинских услуг от нарушений безопасности, которые могут нанести ущерб их репутации. Нарушения могут также повлечь за собой штрафы или дисциплинарные меры со стороны Управления по гражданским правам США (OCR) или Центров услуг Medicare и Medicaid (CMS).
Если происходит нарушение, закон требует, чтобы затронутые организации представили документы, раскрывающие информацию, что может включать отправку всем субъектам письма по почте. Организации также может потребоваться предоставить пациентам услуги по защите личных данных в течение года. Это дорого и дополняет стоимость взлома для организации.
Юридические лица, покрытые HIPAA
Соблюдение HIPAA обеспечивается OCR и регулируется Министерством здравоохранения и социальных служб (HHS). Чтобы обеспечить соответствие требованиям HIPAA, компании, работающие с PHI, должны соблюдать процедуры сетевой, процессной и физической безопасности.
Два типа организаций должны соответствовать требованиям HIPAA:
Правила конфиденциальности и безопасности HIPAA
Каждый деловой партнер и застрахованная организация, имеющая доступ к PHI, должны соблюдать все правила HIPAA. Это включает обеспечение принятия и соблюдения физических, технических и административных мер, а также их соответствия Правилу конфиденциальности HIPAA.
Если имеет место нарушение PHI, партнеры и организации должны соблюдать процедуру в правиле уведомления о нарушении HIPAA.
Правило конфиденциальности HIPAA (только для защищенных организаций)
Требует от организаций обеспечения мер безопасности для защиты конфиденциальности личной информации о здоровье. Он также устанавливает условия и ограничения на раскрытие и использование PHI без разрешения пациента.
Стандарты, указанные в правиле конфиденциальности HIPAA, включают права поставщика медицинских услуг на предотвращение доступа к PHI, права пациентов на получение PHI, содержание уведомлений о политике конфиденциальности, а также формы использования и раскрытия информации. Все сотрудники должны ежегодно проходить обучение этим политикам и процедурам. Это обучение должно быть задокументировано.
Правило безопасности HIPAA (только для защищенных организаций и электронной закрытой медицинской информации)
Подкатегория правила конфиденциальности HIPAA. Он включает стандарты, которых необходимо придерживаться, чтобы защитить электронную частную медицинскую информацию (ePHI), когда она находится в пути или хранится. Правила относятся к любой системе или любому человеку, имеющему доступ к конфиденциальной информации о пациентах.
Подробно о требованиях HIPAA: дополнительные правила
Правило уведомления о нарушении HIPAA
В этом правиле проводится различие между двумя типами нарушений: незначительными нарушениями и значительными нарушениями. Организации должны сообщать обо всех нарушителях, независимо от размера, в HHS, но существуют специальные протоколы для раскрытия информации, в зависимости от типа нарушения. Правило уведомления о нарушениях защищает PHI, гарантируя, что защищенные организации несут ответственность за нее. Он также обеспечивает связь с пациентами, если их личная информация о здоровье подвергается риску.
Правило HIPAA Omnibus
Это правило разъясняет политики и процедуры, изменяет определения и расширяет объем контрольного списка соответствия HIPAA, чтобы охватить деловых партнеров и их субподрядчиков. Он требует соблюдения от деловых партнеров и определяет правила, относящиеся к соглашениям с деловыми партнерами (BAA).
Это контракты, которые необходимы между застрахованным лицом и деловым партнером или между двумя деловыми партнерами, поскольку они могут обмениваться PHI или ePHI.
Правило исполнения HIPAA
Это правило предоставляет параметры, используемые для расследования компаний на предмет предполагаемых или потенциальных нарушений политики HIPAA. Он регулирует штрафы, которые могут быть наложены в случае предотвратимого нарушения ePHI, расследования в случае нарушения ePHI и порядок действий для слушаний.
Наказания могут достигать максимального размера штрафа в размере 1 500 000 долларов в год за каждую категорию нарушения. Наказания за умышленное пренебрежение также могут повлечь за собой уголовное преследование. Гражданские иски о возмещении ущерба также могут быть поданы лицами, лично пострадавшими от нарушения.
Меры безопасности HIPAA
Организации, которым требуется соответствие HIPAA, должны соблюдать все следующие меры безопасности:
Технические гарантии
Технология, используемая для защиты ePHI и предоставления доступа к информации. Субъекты, совместимые с HIPAA, должны внедрять политики и процедуры для обеспечения защиты ePHI при использовании, хранении или передаче. Технические гарантии делятся на четыре категории:
Физические гарантии
Организации должны предотвращать физический доступ к ePHI, независимо от его местонахождения. ePHI может храниться в облаке, в удаленном центре обработки данных или на серверах, расположенных на территории организации. Доступ к объекту должен быть ограничен уполномоченным персоналом. Только уполномоченный персонал должен иметь возможность получать и использовать электронные носители и рабочие станции.
Административные гарантии
Процедуры и политики, связывающие правило безопасности и правило конфиденциальности. Эти меры безопасности требуют, чтобы организация назначила сотрудника по вопросам конфиденциальности и сотрудника службы безопасности, отвечающего за ePHI, и определила, как управлять персоналом. Дополнительные требования включают: выявление и анализ потенциальных рисков безопасности, обучение персонала, санкции за нарушения политики и систему оценки.
Гарантии HIPAA по уровням.
Контрольный список соответствия HIPAA
Организации необходимо будет использовать контрольный список соответствия HIPAA, чтобы убедиться, что ее услуга или продукт соответствует всем административным, физическим и техническим мерам безопасности правила безопасности HIPAA. Они также должны выполнять все требования правил HIPAA о конфиденциальности и уведомлении о нарушениях.
Ниже приводится краткий контрольный список для соблюдения основных требований HIPAA.
Как решения для защиты данных могут помочь вам защитить PHI для соблюдения требований HIPAA
Решения для защиты данных могут помочь вам выполнить несколько положений HIPAA:
- Что такое HIPAA
- Необходимость HIPAA
- Юридические лица, покрытые HIPAA
- Правила конфиденциальности и безопасности HIPAA
- Подробно о требованиях HIPAA: дополнительные правила
- Меры безопасности HIPAA
- Контрольный список соответствия HIPAA
- Как решения для защиты данных могут помочь вам защитить PHI для соблюдения требований HIPAA
Что такое HIPAA
Закон о переносимости и подотчетности медицинского страхования 1996 года, известный как HIPAA, представляет собой набор нормативных стандартов, определяющих законное раскрытие и использование защищенной медицинской информации (PHI).
HIPAA является обязательным стандартом для индустрии здравоохранения США. Он распространяется на больницы, другие медицинские учреждения и их поставщиков услуг, которые имеют доступ к защищенной медицинской информации (PHI).
Необходимость HIPAA
Поставщики медицинских услуг и другие организации переходят на полностью компьютеризированные операции, включая электронные медицинские записи (EHR), компьютеризированные системы ввода заказов врача (CPOE), а также системы аптек, радиологии и лабораторий.
В этой среде HIPAA имеет важное значение для защиты информации о пациентах и защиты поставщиков медицинских услуг от нарушений безопасности, которые могут нанести ущерб их репутации. Нарушения могут также повлечь за собой штрафы или дисциплинарные меры со стороны Управления по гражданским правам США (OCR) или Центров услуг Medicare и Medicaid (CMS).
Если происходит нарушение, закон требует, чтобы затронутые организации представили документы, раскрывающие информацию, что может включать отправку всем субъектам письма по почте. Организации также может потребоваться предоставить пациентам услуги по защите личных данных в течение года. Это дорого и дополняет стоимость взлома для организации.
Юридические лица, покрытые HIPAA
Соблюдение HIPAA обеспечивается OCR и регулируется Министерством здравоохранения и социальных служб (HHS). Чтобы обеспечить соответствие требованиям HIPAA, компании, работающие с PHI, должны соблюдать процедуры сетевой, процессной и физической безопасности.
Два типа организаций должны соответствовать требованиям HIPAA:
- Охватываемая организация - план медицинского страхования, поставщик медицинских услуг или информационная служба здравоохранения, которая в своей повседневной деятельности поддерживает, передает или создает PHI. Как правило, поставщики медицинских услуг, работающие в больнице, не классифицируются как покрываемые организации. Скорее, больница является покрываемым субъектом, и соблюдение HIPAA происходит на уровне больницы.
- Деловые партнеры - предприятие или физическое лицо, которое выполняет определенную деятельность или функцию для охваченного юридического лица или предлагает услугу для охваченного юридического лица, когда эта деятельность, функция или услуга требует, чтобы деловой партнер имел доступ к PHI, хранимой охваченным юридическим лицом.
Правила конфиденциальности и безопасности HIPAA
Каждый деловой партнер и застрахованная организация, имеющая доступ к PHI, должны соблюдать все правила HIPAA. Это включает обеспечение принятия и соблюдения физических, технических и административных мер, а также их соответствия Правилу конфиденциальности HIPAA.
Если имеет место нарушение PHI, партнеры и организации должны соблюдать процедуру в правиле уведомления о нарушении HIPAA.
Правило конфиденциальности HIPAA (только для защищенных организаций)
Требует от организаций обеспечения мер безопасности для защиты конфиденциальности личной информации о здоровье. Он также устанавливает условия и ограничения на раскрытие и использование PHI без разрешения пациента.
Стандарты, указанные в правиле конфиденциальности HIPAA, включают права поставщика медицинских услуг на предотвращение доступа к PHI, права пациентов на получение PHI, содержание уведомлений о политике конфиденциальности, а также формы использования и раскрытия информации. Все сотрудники должны ежегодно проходить обучение этим политикам и процедурам. Это обучение должно быть задокументировано.
Правило безопасности HIPAA (только для защищенных организаций и электронной закрытой медицинской информации)
Подкатегория правила конфиденциальности HIPAA. Он включает стандарты, которых необходимо придерживаться, чтобы защитить электронную частную медицинскую информацию (ePHI), когда она находится в пути или хранится. Правила относятся к любой системе или любому человеку, имеющему доступ к конфиденциальной информации о пациентах.
Подробно о требованиях HIPAA: дополнительные правила
Правило уведомления о нарушении HIPAA
В этом правиле проводится различие между двумя типами нарушений: незначительными нарушениями и значительными нарушениями. Организации должны сообщать обо всех нарушителях, независимо от размера, в HHS, но существуют специальные протоколы для раскрытия информации, в зависимости от типа нарушения. Правило уведомления о нарушениях защищает PHI, гарантируя, что защищенные организации несут ответственность за нее. Он также обеспечивает связь с пациентами, если их личная информация о здоровье подвергается риску.
Правило HIPAA Omnibus
Это правило разъясняет политики и процедуры, изменяет определения и расширяет объем контрольного списка соответствия HIPAA, чтобы охватить деловых партнеров и их субподрядчиков. Он требует соблюдения от деловых партнеров и определяет правила, относящиеся к соглашениям с деловыми партнерами (BAA).
Это контракты, которые необходимы между застрахованным лицом и деловым партнером или между двумя деловыми партнерами, поскольку они могут обмениваться PHI или ePHI.
Правило исполнения HIPAA
Это правило предоставляет параметры, используемые для расследования компаний на предмет предполагаемых или потенциальных нарушений политики HIPAA. Он регулирует штрафы, которые могут быть наложены в случае предотвратимого нарушения ePHI, расследования в случае нарушения ePHI и порядок действий для слушаний.
Наказания могут достигать максимального размера штрафа в размере 1 500 000 долларов в год за каждую категорию нарушения. Наказания за умышленное пренебрежение также могут повлечь за собой уголовное преследование. Гражданские иски о возмещении ущерба также могут быть поданы лицами, лично пострадавшими от нарушения.
Меры безопасности HIPAA
Организации, которым требуется соответствие HIPAA, должны соблюдать все следующие меры безопасности:
Технические гарантии
Технология, используемая для защиты ePHI и предоставления доступа к информации. Субъекты, совместимые с HIPAA, должны внедрять политики и процедуры для обеспечения защиты ePHI при использовании, хранении или передаче. Технические гарантии делятся на четыре категории:
- Контроль доступа - только уполномоченные лица могут получить доступ к важной и конфиденциальной информации.
- Контроль аудита - организациям необходимо использовать программное обеспечение, оборудование и процедуры, чтобы отмечать попытки доступа к ePHI, регистрировать ePHI и отмечать, что происходит с данными после доступа к ним.
- Контроль целостности - организациям необходимо внедрить процедуры, гарантирующие, что ePHI не будет изменен или уничтожен ненадлежащим образом. Это можно сделать с помощью механизма проверки ePHI.
- Безопасность передачи - организациям необходимо защищать ePHI, который принимается или передается через электронную сеть.
Физические гарантии
Организации должны предотвращать физический доступ к ePHI, независимо от его местонахождения. ePHI может храниться в облаке, в удаленном центре обработки данных или на серверах, расположенных на территории организации. Доступ к объекту должен быть ограничен уполномоченным персоналом. Только уполномоченный персонал должен иметь возможность получать и использовать электронные носители и рабочие станции.
Административные гарантии
Процедуры и политики, связывающие правило безопасности и правило конфиденциальности. Эти меры безопасности требуют, чтобы организация назначила сотрудника по вопросам конфиденциальности и сотрудника службы безопасности, отвечающего за ePHI, и определила, как управлять персоналом. Дополнительные требования включают: выявление и анализ потенциальных рисков безопасности, обучение персонала, санкции за нарушения политики и систему оценки.
Гарантии HIPAA по уровням.
Контрольный список соответствия HIPAA
Организации необходимо будет использовать контрольный список соответствия HIPAA, чтобы убедиться, что ее услуга или продукт соответствует всем административным, физическим и техническим мерам безопасности правила безопасности HIPAA. Они также должны выполнять все требования правил HIPAA о конфиденциальности и уведомлении о нарушениях.
Ниже приводится краткий контрольный список для соблюдения основных требований HIPAA.
| Гарантия | Действие |
| Самоаудит | Проводите ежегодные аудиты для оценки технических, административных и физических недостатков в соответствии со стандартами конфиденциальности и безопасности HIPAA. |
| Планы реабилитации | Применяйте планы исправления для противодействия нарушениям нормативных требований. Эти планы восстановления должны быть полностью задокументированы, включая то, какие пробелы были устранены, и календарные даты. |
| Политики, процедуры, обучение сотрудников | Создавайте политики и процедуры в соответствии с нормативными стандартами HIPAA, как указано в правилах HIPAA. Регулярно обновляйте эти процедуры и политики, чтобы освободить место для изменений в организации. Обучайте персонал ежегодно. |
| Документация | Задокументируйте все шаги, предпринятые для соответствия требованиям HIPAA. Эта документация необходима во время расследования HIPAA с HHS. |
| Управление бизнес-партнером | Задокументируйте все организации, которым вы передаете PHI. Заключите соглашения с деловыми партнерами, чтобы снизить ответственность и обеспечить безопасное управление PHI. |
| Управление происшествиями | В соответствии с правилом уведомления о нарушениях HIPAA создайте процесс для документирования нарушения и информирования пациентов об утечке их данных. |
Как решения для защиты данных могут помочь вам защитить PHI для соблюдения требований HIPAA
Решения для защиты данных могут помочь вам выполнить несколько положений HIPAA:
- Стандарт безопасности HIPAA §164.306 - наше решение для маскировки данных обеспечивает конфиденциальность и целостность ePHI и защищает от угроз и опасностей. Кроме того, он обеспечивает централизованное управление доступом к информации и предоставляет готовые политики безопасности, соответствующие требованиям HIPAA.
- §164.308 Административные меры безопасности - наша служба маскирования данных позволяет вам проводить оценку потенциальных рисков и уязвимостей, чтобы вы могли, например, управлять уязвимостями, реагировать в режиме реального времени, выполнять управление доступом пользователей и применять санкции против пользователей-нарушителей.
- §164.312 Технические меры безопасности - наша служба обеспечивает универсальные возможности отслеживания пользователей, автоматическое отслеживание активности в базах данных и файловых серверах, обеспечивает целостность данных и аутентифицирует пользователей, пытающихся получить доступ к ePHI.
- §164.502 Использование и раскрытие защищенной информации о здоровье - наше решение обнаруживает, где находятся конфиденциальные данные о здоровье, и защищает их с помощью сложных методов преобразования.
- §164.514 Другие требования, касающиеся использования и раскрытия защищенной медицинской информации - наше решение для маскирования данных псевдонимизирует конфиденциальные данные для создания данных, соответствующих спецификации реализации ограниченного набора данных HIPAA.
