该规则为保护电子受保护健康信息 (ePHI) 制定了标准化的安全管理流程。它还概述了维护健康信息隐私的不同风险管理实践和保障措施。
为了遵守安全规则,组织必须实施三种类型的保护措施:
行政管理。要求进行例行风险评估和员工培训,以尽量减少人为错误;
物理。确保数据存储位置的安全,例如上锁的服务器机房和受控访问区域;
技术。设置加密标准、保护数据传输协议和访问控制,以防止未经授权的访问。
在此处查找有关它的更多信息:HIPAA 安全电子邮件:如何发送和确保合规性
电子受保护的健康信息
电子受保护健康信息 (ePHI) 涵盖患者数据的所有数字格式。它包括电子形式的病史、处方和实验室结果等记录。
安全规则通过制定严格的标准来保护患者信息,以确保 ePHI 保持机密性,并且只有授权人员才能访问。组织必须实施加密、访问控制和定期风险评估等措施,以保护 ePHI 免受泄露和网络威胁。
HIPAA 违规通知规则
违规通知规则旨在确保患者数据泄露时的透明度。它要求受监管实体在发生不安全的 PHI 泄露后通知受影响的个人、卫生与公众服务部 (HHS),在某些情况下还通知媒体。
该规则优先考虑患者安全,并要求组织对其医疗数据安全标准负责。此外,它还保护个人免受欺诈,并通过透明度建立信任。
以下是遵守违规通知规则的一般准则:
影响超过 500 人的违规行为必须向 HHS 报告并在 60 天内公布;
较小的违规行为必须在年底前报告;
对受影响个人的通知必须包括有关违规行为、泄露的信息以及降低风险的步骤的详细信息。
例如,如果医疗保健提供者发现由于网络钓鱼攻击而未经授权访问患者记录,他们必须通知患者并提供资源来保护他们的身份,例如信用监控服务。
HIPAA 执行规则
HIPAA 执行规则确保涵盖实体对患者数据保护的责任。
该规则涵盖了美国卫生与公众服务部 (HHS) 如何调查和处理违反隐私、安全和违规通知规则的行为,以及如何对不合规行为施加处罚。
该规则概述如下:
建立解决 HIPAA 违规行为的程序;
根据不合规行为的严重程度施加民事处罚;
鼓励组织主动保持合规以避免法律后果。
如果发生违规行为,该规则将在收到投诉或报告数据泄露后启动执行程序。首先由 奥地利手机号码列表 民权办公室 (OCR) 进行评估。OCR 会调查相关实体或业务伙伴是否违反了 HIPAA 法规。
如果确认存在违规行为,OCR 将与该实体合作,通过纠正措施解决问题。在严重情况下,将处以民事处罚,每次违规的罚款金额从 100 美元到 50,000 美元不等,具体取决于疏忽程度。
有关 HIPAA 的常见问题解答
HIPAA 的主要目的是什么?
HIPAA 确保受保护健康信息(PHI)的隐私、安全和保密性。其主要目标是保护敏感的健康数据、建立安全信息处理标准并保证患者的隐私。
HIPAA 将哪些信息定义为受保护的信息?
根据 HIPAA,受保护的健康信息 (PHI) 包括有关患者身份以及过去、现在或未来健康状况的任何可识别数据。这包括姓名、地址、医疗记录、社会安全号码以及任何生物特征数据(电子或纸质形式)。