了解HIPAA合规性是可以解决的,但不是可选的.
HIPAA(1996年健康保险携带与责任法案)安全规则由美国卫生与公众服务部(HHS)执行,以保护PHI(受保护的健康信息)-患者的私人数据. 长期以来,人们一直认为,在医疗保健行业或与之相关的行业遵守这些规则是不方便的, 但它们是必要的. 卫生与公众服务部出台了更大的罚款, 还有更多针对企业和医院的网络攻击, HIPAA合规性对您的业务至关重要.
合规
HIPAA合规
了解所需和可寻址的HIPAA控件
HIPAA文档非常密集,如果没有专家的话很难理解. 让我们向您介绍必需的和可寻址的HIPAA控件, 以及这两个术语对于HIPAA合规性意味着什么.
HIPAA的规范要么是必需的,要么是“可寻址的”.“所需的控制是坚定的-政府不允许您避免它们. 然而,重要的是要理解可寻址控件不是可选的. 作为HHS 文档:
“覆盖实体必须实现一个可寻址的实现规范,如果这样做是合理和适当的, 如果可寻址的实现规范不合理且不合适,则必须实现等效的替代方案, 有一个合理而合适的选择.”
这意味着对于每个可寻址的规范, 你必须记录任何你认为不合理或不合适的理由. 我们经常看到医疗实践忽略了必需的和可解决的HIPAA控制-直到网络攻击或HHS审计发生.
HIPAA控制-必需和可寻址
HIPAA风险分析-必需
HIPAA安全规则的第一个要求, 企业必须对其业务进行风险分析. 美国国家标准与技术研究所(NIST)已经 一本95页的免费指南. 然而, 没有专业的评估和合规, 组织不太可能经得起审查.
HIPAA风险管理-必需
许多实践只停留在风险分析,并在审计时将其搁置起来. HIPAA安全规则要求您记录您将采取的降低风险或处理风险的行动, 这是一个需要专业而完整地记录的关键步骤.
医疗保健数据灾难计划-必需
万一发生意外,你有什么计划? HIPAA要求企业“建立(并根据需要实施)程序来恢复任何数据损失.“你需要记录你将如何在最低限度上保护和恢复患者数据. 更强的计划包括沟通, 选择网站, 以及之后的业务运作,以保持组织的正常运作.
审计控制-必需
虽然每个人都认为他们病人的数据只保存在他们的电子病历系统中, 它到处都是服务器文件夹, 笔记本电脑, 台式电脑硬盘, 便携式硬盘和智能手机. HIPAA安全规则要求创建访问日志并存储6年.
HIPAA数据加密(静止数据)-可寻址
PHI数据加密是避免数据泄露的最佳方法之一. 许多数据泄露和HIPAA和解都源于丢失或被盗的计算机, 笔记本电脑, 服务器, 还有u盘. 你是愿意花数百万美元通知病人并支付罚款,还是愿意花更少的钱加密你的设备?
商业伙伴协议-必需的
与 HIPAA综合最终规则 of 2013, 组织对其“商业伙伴”及其分包商的合规性负责. 这意味着供应商管理比以往任何时候都更加关键-确保您的供应商实际遵守HIPAA规则并进行验证.
唯一用户标识-必需
HIPAA安全规则不允许共享登录名和密码-无. 所有提供电子健康保护信息(ePHI)访问的系统都必须能够跟踪用户以及他们创建的文件, 访问, 和修改. 这包括IT员工和外包IT提供商.
自动注销/锁定-可寻址
未解锁的计算机将违反HIPAA规定. 我们将与您合作,为您的组织找到正确的解决方案, 从锁定类型到更方便快捷的安全登录方式, 比如代币和生物识别.
HIPAA安全的底线
我们的建议是考虑所需的所有HIPAA安全规则实现规范. 你会顺从, 更安全的, 并降低可报告数据泄露的风险, 数百万美元的成本, 还有无数的悲伤.
了解有关托管医疗保健IT的更多信息
达到HIPAA合规性和更好的IT基础设施的最佳方法之一是与理解您的需求和要求的托管服务提供商合作.
买足球推荐软件app排名