什麼是 HIPAA 安全規則?
健康保險可攜性與會計法 (Health Insurance Portability and Accounting Act, HIPAA) 的安全規則於 2005 年頒布,也就是美國國會通過 HIPAA 的九年後。根據美國衛生與人類服務部,安全規則建立了全國性標準,以保護承保實體所建立、接收、使用或維護的個人電子個人健康資訊。
安全規則是 HIPAA 隱私權規則的子集,該規則提供受保護健康資訊 (PHI) 的安全標準。
為什麼 HIPAA 安全規則很重要?
在 HIPAA 頒布之前,並沒有保護病患健康資訊的標準、需求或流程。隨著醫療服務日益數位化,醫療服務提供者必須在系統中擷取、儲存、分享及保護快速成長的電子健康資料。
安全規則是保護數位資訊的關鍵一步,對於確保機密性及建立病患與醫療服務提供者之間的信任至關重要。
視訊 1:針對不斷變化的醫療照護世界的網路安全
HIPAA 安全規則概述
安全規則建立了保護病患 PHI 和個人識別資訊 (PII) 的標準。它也建立了一個合規性的框架,以保護 PII,以及在發生外洩事件時通知受影響個人的相關規定。
目的與範圍
根據 HHS,安全規則旨在確保承保實體建立必要的保障措施,以保護病患的健康照護資料和 PII。這是為了因應承保實體與非承保實體間 PHI 的指數級成長。
安全規則的範圍相當廣泛,涵蓋健康計劃、健康照護資料交換中心,以及任何傳輸健康資訊的健康照護提供者。
4 主要目標
1.確保電子 PHI (ePHI) 的機密性。
隨著越來越多病患資料以數位格式提供,保護 ePHI 成為絕對的需求。
2.識別並防禦合理預期的威脅。
雖然並非所有網路威脅都能事先識別,但承保實體有責任保護病患資訊免受已發生的威脅。
3.防止不允許的使用或揭露。
這對供應商非常重要,因為它涵蓋了技術工具、人員和流程。
4.確保承保實體的工作人員合規性。
承保實體的所有成員都必須採取適當的保障措施,以確保患者資料的隱私和安全。這表示承保實體需要教育員工有關安全規則的需求,並訓練他們確保合規性。
HIPAA 安全規則需求
安全規則要求採取適當的管理、實體和技術保障措施,以確保電子受保護健康資訊 (PHI) 的機密性、完整性和安全性。
1.行政保障
管理性保障措施的目的在於找出並判斷 PHI 的潛在風險,並採取措施降低安全風險和弱點。這些規定也要求安全官員制定並實作承保實體的安全規則和程序。醫療服務提供者也必須定期評估其安全準則在符合 HIPAA 安全規則下的準則方面的成效。
2.實體安全防護
實體保障措施涵蓋的問題包括限制未經授權的實體存取設施,同時仍允許授權存取。承保實體也必須部署政策和程序,涵蓋正確處理包含 PII 和 PHI 的電子儲存資料和電子媒體。
3.技術保障
技術保障的目的在於制定正確的技術政策,以確保只有經過適當授權的人才能存取數位記錄和其他電子資訊。這不僅涵蓋擷取、儲存和管理健康照護與醫療記錄所需的硬體、軟體即服務,也涵蓋管理存取的安全憑證和驗證程序。
這些技術也包括加密及其他技術,以防止透過數位網路不當存取 PHI 和 ePHI。
HIPAA 洩漏通知規則
HHS 將資料外洩定義為「隱私權規則」下不允許的使用或揭露,此舉會損害 PHI 的安全性或隱私權。基於各種原因,預防外洩對於照護服務組織而言是無庸置疑的首要任務。然而,若發生外洩事件,HIPAA 外洩通知規則規定 HIPAA 承保實體及其業務夥伴必須在不安全的 PHI 外洩後提供通知。
如果發生未加密的 PHI 外洩,承保實體必須通知受影響的個人有關外洩事件。通知方式通常是寄送實體郵件,如果患者選擇以電子媒體接收承保實體的信件,則可以透過電子郵件發出警示。
承保實體也必須提醒 HHS 部長有關違規事件,在某些情況下,可能還必須通知媒體。此外,如果外洩發生在業務夥伴或由業務夥伴所為,第三方業務夥伴必須同樣提醒受影響的個人。
HIPAA 合規性與執行
HHS 民權辦公室負責監督大多數 HIPAA 涵蓋實體的 HIPAA 合規性和執行。由於被視為執法機構,民權辦公室所進行的大部分活動都是私下進行的,通常不會公開。
合規性相關佈建是 HIPAA 執行規則的一部分,涵蓋調查、違規可能的民事罰金,以及聽證程序。
HIPAA 合規性的最佳作法
受保實體應採用精明的業務、技術和作業實務,以確保在任何時候都完全符合 HIPAA 的規定。這些步驟應涵蓋風險評估、監控可能不尋常的系統活動、制定明確的角色與責任,以及發生 ePHI 資料外洩時的測試程序。
當然,建立正確的技術工具、應用程式和服務是建立適當 HIPAA 合規性 Framework 的關鍵。
HHS 也提供寶貴的工具,協助承保實體瞭解 HIPAA 合規性的最佳作法。民權辦公室已為 HIPAA 承保實體和業務合作夥伴製作了有關「認可安全實務」的視訊簡報。主題包括
- 有關認可安全實務的 2021 HITECH 修正案
- 受規範的實體如何證明已採取認可的安全措施
- OCR 如何要求提供認可安全實務的證據
- 有關認可安全實務資訊的資源
- OCR 對認可安全實務問題的回答
視訊 2:OCR 認可的安全措施視訊簡報
員工內部訓練 - 執業人員、醫療人員、資訊科技人員、網路安全人員,以及所有業務線員工 - 應該是定期訓練的一部分,以確保整個組織採取正確的步驟來保護 ePHI 和 PII。
HIPAA 安全規則的潛在趨勢
自 HIPAA 首次頒布以來,它一直是一項充滿活力的法律,定期進行更新和擴充,以反映醫療保健產業的變化及其對數位技術的使用增加。承保實體的決策者必須瞭解和核算的一些關鍵領域如下:
1.強化的網路安全措施
由於威脅形勢不斷演變,醫療照護組織應該將預算、流程、專業知識和工具準備就緒,以防禦組織面對快速出現的威脅。
2.新興技術
下一代防火牆、防勒索軟體工具、威脅情報服務、 雲端安全、身分管理、管理式偵測與回應、端點安全,以及 雲端安全、身分管理、管理式偵測與回應、端點安全,以及 醫療物聯網 (IoMT) 安全 ,都是更廣泛的網路安全技術架構中不可或缺的元素。
3.強化資料隱私權與同意書
醫療保健組織越來越需要遵守更嚴格的資料隱私權和同意規定,例如歐盟的「一般資料保護規定」(GDPR) 和美國各地目前實施的類似規定。
4.第三方供應商管理
業務夥伴 - 代表承保實體執行使用或揭露 PHI 功能的個人或實體 - 也必須遵守安全規則。提供者必須定期且例行監控業務夥伴和其他第三方如何與 PHI 和 PII 互動,以及他們是否遵循適當的準則來處理和保護這些資料。
5.加強合作與資訊分享。
正如 HIPAA 法規,特別是安全規則,是不斷變化的,確保病人資料合規性和機密性的必要步驟也是如此。
專門醫療照護服務的使用大幅增加,意味著病人資訊的共用頻率更高,共用的系統也更廣泛。這增加了資料外洩和監管問題的可能性,促使組織尋求更多合作方式來保護病患資料,尤其是在相互連結的醫療保健提供組織流程中。
照護連續性的多樣性 - 醫院、急症照護設施、緊急照護、醫師診所、非住院照護和遠距醫療 - 意味著服務提供者之間加強合作的趨勢尤其重要。
瞭解 Palo Alto Networks 如何成為全球醫院和醫療系統首選的網路安全領導者。請造訪https://www.paloaltonetworks.com/industry/healthcare。
HIPAA 安全規則常見問題
