由于广泛的协议失败和安全措施不足,民权办公室 (OCR)对医疗保健部门实施了重大的 HIPAA 处罚。一些问题,例如松懈的安全政策、被忽视的风险评估审计、内部人为错误以及 HIPAA 培训人员短缺,可能导致患者数据和敏感医疗信息的丢失、黑客攻击或被盗。
一半以上的医疗办公室工作人员需要了解 HIPAA 要求。本文将涵盖最常见的 HIPAA 违规行为、潜在罚款、网络安全风险降低策略和HIPAA 合规解决方案。
如何实施 HIPAA 合规性?
1996 年健康保险流通与责任法案 (HIPAA)在美国被纳入联邦法律。其主要目标是打击医疗保健和健康保险交付中的浪费、欺诈和滥用行为。必须实施隐私、安全和违规通知规则才能实现这些目标。
- 考虑通过限制每个人可以存入税前账户的金额来使用医疗储蓄账户。
- 描述雇主的税收减免和其他应纳税收入来源。
- 增加健康保险的可携带性和连续性。当一个人换工作时,他们的保险范围仍然可以转移。
- 增加长期护理服务的可用性和覆盖面。这也适用于已有疾病的人。
常见的 HIPAA 违规因素
下面给出了一些违反 HIPAA 的因素;
不当记录处理
考虑任何此类数据位于垃圾箱或计算机的最近文件夹中的可能性。在这种情况下,它可能会落入坏人之手,这将严重违反 HIPAA。正确处置 PHI 记录是要强制执行的关键做法之一。员工必须意识到,任何包含 PHI 的数据,如社会安全号码、医疗诊断和医疗程序,都必须从硬盘驱动器中删除或擦除。
黑客攻击
黑客攻击是目前医疗保健数据泄露的最常见原因。医疗 ePHI极易受到黑客攻击,许多人希望将此信息用于邪恶目的。因此,医疗机构必须确保其数据免受黑客攻击。
恶意软件和勒索软件
电子邮件或单击损坏文件中的可疑链接是称为勒索软件的危险病毒传播的两种方式。此类恶意软件不仅可能抹杀关键数据,还可能导致整个系统瘫痪,后果不堪设想。该警告通常会告知企业,如果不支付一定的费用,则设备甚至整个网络获得的所有数据都将被删除或向公众开放。即使在付款后,也无法保证它能取回其数据。
通过避免 HIPAA 违规来保护数据管理的几个步骤
以下是通过避免违反 HIPAA来确保数据安全的几个步骤;
1.定期进行风险分析
导致违反 HIPAA 的危险包括损害个人声誉、纪律处分和其他不利结果。定期风险分析可以发现医疗保健组织中的安全漏洞或薄弱环节、员工之间的知识差距、供应商和合作伙伴的安全状况问题以及其他关注领域。识别和减轻医疗保健组织中的潜在风险以主动识别和减轻潜在风险可以帮助医疗保健提供者及其业务合作伙伴避免代价高昂的数据泄露。
2.提高医务人员的技能
人为错误是任何行业中最大的安全风险之一,但在医疗保健领域尤为严重。人为错误或疏忽可能对医疗保健设施造成不利影响和代价高昂。安全意识培训为处理患者数据的医疗保健专业人员提供了做出明智决策和谨慎行事所需的知识。
3.智能手机设备安全
医疗保健提供商和承保企业越来越依赖移动设备开展业务,无论是医生使用智能手机获取信息以帮助他们治疗患者,还是行政助理提交保险索赔。移动设备安全需要各种安全预防措施,例如:
- 数据加密应用程序、设置和配置都在控制之中。
- 需要安装移动安全软件,例如移动设备管理应用程序。允许远程设备锁定和删除丢失或被盗的物品。
- 用户的设备必须安装最新的操作系统和软件版本。
- 检查电子邮件帐户和附件是否存在恶意软件感染或未经授权的数据窃取将提高对适当的移动设备安全措施的认识。
- 制定政策或允许上市程序以保证只有符合标准或经过预先审查的程序才能安装,这也是服务器与数据中心之间的一个很大区别。
4.使用日志记录和监控
供应商和业务合作伙伴必须跟踪谁在何时何地从何种设备访问了何种数据、应用程序和其他资源。这些数据可用于审计、协助公司识别问题区域以及根据需要加强安全协议。
5.设置数据使用限制
数据发现和分类对于确保敏感材料被识别和适当标记至关重要。数据控制是医疗保健组织可以用来停止涉及敏感数据的过程的工具,例如网络上传、未经授权的电子邮件发送、复制到外部设备或打印。保护性数据控制超越了访问控制和监控的优势,以确保实时发现和阻止潜在有害或恶意数据活动。
6.应用程序和数据的访问限制
访问限制通过将对患者数据和特定应用程序的访问限制在需要其履行职责的人员范围内来提高医疗保健数据的安全性。多因素身份验证是一种建议的方法,它要求用户确认他们有权使用两种或多种验证方法访问特定数据和应用程序。密码和 PIN 是仅用户知道的数据示例。
7.降低连接设备的风险
当您想到移动设备时,就会想到智能手机和平板电脑。但随着物联网 (IoT) 的发展,联网设备的形状和尺寸各不相同。医疗保健行业的一切都有可能联网,从血压计等医疗设备到用于检查设施物理安全的摄像头。为确保足够的连接设备安全性,请执行以下步骤:
- 留意 IoT 设备网络上活动水平的任何异常变化,这些变化可能是违规的迹象。在使用非必要服务之前,请禁用或完全从设备中删除它们。
- 通过维护所有已连接设备的最新版本来确保应用所有补丁。
- 在其网络上维护物联网 (IoT) 设备,并在必要时采用强大的多因素身份验证。
最后的话
许多违反 HIPAA 的最普遍原因是员工缺乏 HIPAA 培训。因此,定期对工作人员进行 HIPAA 培训并不断提醒每个人遵守规则势在必行。同样,医疗保健组织和提供商必须与第三方解决方案签署合作协议以确保数据机密性。