什么是HIPAA合规? HIPAA法规,费用, & 提示

贴在 by 杰瑞Vasquez
首页 > 博客 > HIPAA合规 > 什么是HIPAA合规? HIPAA法规,费用, & 提示

Health Insurance Portability 和 Accountability Act of 1996 (HIPAA) 制定一套法规,规范受保护健康信息的合法披露和使用, 也被称为PHI. Protected health information includes everything from patients’ medical records, 社会安全号码, 和财务信息到地址, 电话号码, 和图片.

随着医疗保健部门越来越数字化, protection has been put in place to regulate the use of PHI that is stored, 传播, 并以电子方式访问(称为ePHI). 的 HIPAA安全规则 是为了说明医疗保健技术进步而添加到HIPAA的附录吗.

所以,谁需要符合HIPAA?

卫生保健提供者, 医疗保险提供者, 和其他收集的实体, 传输, 或者创建ePHI 涉及实体 哪些必须符合HIPAA标准. 另外, 商业伙伴, 例如资讯科技供应商, 咨询顾问, 云存储提供商, 以及其他遇到PHI或ePHI的人必须确切地知道什么是HIPAA合规,并据此开展业务.

的 Department of Health 和 Human Services is responsible for HIPAA regulations, 而民权办公室则强制执行合规. 不遵守可能导致组织面临严重的罚款,这取决于不遵守的类型.

下载mg冰球突破官网的 SMB HIPAA指南 要了解 影响你的医疗保健相关业务的相关法律常见的HIPAA术语 你需要知道.

HIPAA合规检查表

既然你知道原因了 HIPAA法规 以及谁需要符合HIPAA,确保你的企业符合HIPAA是很重要的. 最好的方法是建立一个 HIPAA合规检查表 which allows your organization to conform to the established guidelines more easily.

Below is a checklist to get your business in line with HIPAA regulations:

  • 限制对HIPAA数据的访问 ——创建一个 最小特权模式 以确定谁需要访问数据的权限.
  • 创建数据地图 – Know exactly where all your HIPAA-regulated files are, both locally 和 on the cloud.
  • 保护你的数据 -使用物理和技术手段保护数据安全, 从文件锁定到网络安全措施 双因素身份验证.
  • 监控访问 —通过为任何时候访问的医疗保健信息设置警报,密切关注对PHI和ePHI的所有访问.
  • 监控周边活动 – Use threat models 和 security analytics to keep third parties at bay.

使用这种检查表随时了解组织的安全性和活动,可以优先考虑遵从性,并使所有员工都容易理解HIPAA遵从性是什么.

HIPAA违规处罚

Entities must adhere to HIPAA compliance regulations to avoid non-compliance penalties. Although HIPAA penalties aren’t issued very often (的 Office of Civil Rights only 2020年发布19项处罚), running afoul of privacy regulations is never good for a business.

违规行为可能是无意的, 比如不小心透露了超出必要的PHI值, 或故意, such as neglecting to notify patients of a data breach in a timely manner. 处罚将根据违规的严重程度而定.

  • 一级 -受HIPAA覆盖的实体不知道违规行为,即使适当遵守HIPAA指南,也不可避免. A minimum fine of $100 per violation to a maximum of $50,000 can be issued.
  • 层2 -实体应意识到违规行为,但不应表现出故意忽视HIPAA准则. A minimum fine of $1,000 per violation to a maximum of $50,000 can be issued.
  • 3级 – 的 violation was a result of willful neglect of HIPAA guidelines, but measures have been put in place to prevent future violations. A minimum fine of $10,000 per violation to a maximum of $50,000 can be issued.
  • 层4 -违规行为是故意忽视HIPAA准则的结果,没有采取措施防止未来的违规行为. 第四层级包括每项违规行为的最低罚款5万美元.

HIPAA罚款的成本显然会开始增加, 因此,所有处理PHI的实体都需要保持合规性,并了解HIPAA IT要求,以避免财务困难.

HIPAA兼容的托管专用mg冰球突破官网

HIPAA兼容主机

希望构建应用程序和提供服务的医疗保健提供商需要他们的web服务遵守HIPAA规定. HIPAA兼容主机 provides server space that follows the rules for organizations that h和le PHI 和 ePHI.

符合HIPAA的主机通过维护严格的安全过程,帮助客户机保护和安全运行状况数据, 加密的个人信息, 并在mg冰球突破官网级使用风险管理策略. 如此强大的基础设施和一套保障措施使得符合HIPAA标准的托管能够以比标准web托管解决方案更安全的方式处理健康数据.

一旦医疗保健提供商能够获得托管支持,他们的web服务就必须遵守HIPAA法规, 他们现在能够继续自己处理HIPAA遵从性的业务需求.

HIPAA法规遵循的挑战

Being compliant involves much more than simply knowing exactly what HIPAA compliance is. 的 HIPAA合规的挑战 数量众多,但组织是否能够采取措施确保它们符合规定.

的re are three main challenges to entities trying to adhere to HIPAA guidelines:

网络安全

隐私对于HIPAA和PHI来说是极其重要的, mg冰球突破官网的数据经常受到黑客的攻击. 一个好的托管服务可以为组织提供的 网络安全 维护法规遵从性所需的工具.

另一个网络安全威胁来自组织内部, 在哪些地方,粗心的邮件政策会导致违规. 适当的团队训练, 访问控制, 加密, 和更多的 can help reduce the chances of failing compliance due to email mistakes.

风险管理计划可以帮助制定策略,通过特定的技术和政策来解决每个弱点,以增强安全性.

商业伙伴

处理PHI的组织通常与需要访问健康数据的其他实体有专业关系. 每一个额外的派对, 商店, 或者传输数据会增加出错的机会,从而导致不符合要求.

HIPAA混合规则, put into effect in 2013, updated regulations regarding business partners. 该规则将所涵盖的合作伙伴扩展到包括分包商, 存储公司, 和顾问, meaning that more partners will share the responsibility of staying in compliance.

为每个合作伙伴创建业务伙伴协议(BAA)有助于确保所有各方都知道什么是符合HIPAA的. 的 contract explains the proper use 和 disclosure of personal health data. baa对所有合伙人都很重要,因为每个合伙人都会受到违规处罚.

移动设备

允许员工从他们的个人移动设备访问PHI会带来很大的安全威胁. 没有加密的平板电脑或手机可以访问病人的数据,当设备丢失或被盗时,可能会导致组织不遵守规定.

企业希望在员工访问phi的任何移动设备上实现强加密——即使是他们自己的个人设备.

HIPAA和PCI

支付卡行业(PCI)遵从性是用于处理信用卡交易的组织的安全标准. 这些标准是由PCI安全标准委员会开发的,保护所有在处理交易时传输的信用卡数据.

HIPAA和PCI均用于保护个人数据,并规范负责客户和患者信息的实体. 不遵守HIPAA或PCI的组织可能面临巨额罚款,直到他们重新遵守.

当比较 健康保险流通与责任法案对PCI, it is important to know that there are a few significant differences between the two. 而PCI专门处理电子数据, HIPPA 和 health care data can be both electronic 和 physical.

So, HIPAA的适用范围更广,需要网络安全和现场安全来保护文件. PCI在本质上更具技术性,需要扫描事务端口以确保安全性.

小型企业HIPAA合规

HIPAA provides protection for personal data 和 guidelines for those h和ling the data. 但, with its challenges 和 the threat of steep fines for falling out of compliance, the regulations could present concerns for small businesses operating on a small budget.

Once small business owners can answer the question “What is HIPAA compliance?“他们需要开始寻找实现PHI和ePHI安全保障的方法.

这三种保护措施是很重要的 符合HIPAA的小企业 是:

  • 物理安全措施 包括限制进入大楼的保安人员, 系统, 还有一些房间里有数据. 另一种形式的物理保障是在发生火灾或洪水等自然灾害时制定系统恢复计划.
  • 技术保障措施 包括网络安全, 数据加密, 以及追踪谁访问数据和传输文件的技术.
  • 管理保障措施 包括组织范围内的策略,以确保PHI, 管理员工之间的数据访问, 并为与外界做生意制定标准.

小型企业可以通过选择合适的云服务提供商和兼容的网络托管公司来降低其ePHI的风险. Such companies can help maintain compliance by restricting access, 提供恶意软件保护, 和更多的.

HIPAA compliance is more than simply a set of regulations that businesses must follow. 它有助于在医疗服务提供者和他们存储数据的患者之间建立信任.

通过遵守规定, 企业为自己的成功做好了准备,并让他们的病人安心,因为他们和他们的敏感信息都得到了很好的照顾.

下载mg冰球突破官网的 SMB HIPAA指南 了解影响您的医疗保健相关业务的相关法律和您需要了解的常见HIPAA术语
电子书- HIPAA中小型企业

杰瑞·瓦斯奎兹的《阿凡达》
关于作者

杰瑞Vasquez

A self-professed pirate captain with two decades of leadership experience, Jerry has led teams from 60+ cooks 和 chefs to 16 networking engineers. He brings those years of experience to his current role as Product Manager at Liquid Web, 专注于网络和安全产品. 不工作或不睡觉的时候, Jerry can usually be found eating 和 having a good conversation with good people.

查看杰瑞Vasquez的所有帖子

友情链接: 1 2 3 4 5 6 7 8 9 10