技术已经发展成为数据管理的重要工具。企业管理包含敏感信息的实体文件的时代已经一去不复返了。现在,随着技术的进步,医疗机构采用了电子健康记录 (EHR),使个人和医疗服务提供者能够远程访问信息。然而,这种数字化转型带来了新的漏洞。为了应对这些威胁,确保安全管理受保护的电子健康信息 (ePHI),制定了 HIPAA 技术保障措施。
什么是 HIPAA 下的 PHI?
PHI(受保护健康信息)是指由 HIPAA 承保实体或业务合作方使用的任何可识别健康信息。有 18 种 HIPAA 数据被视为受保护的健康信息,PHI 的一些示例包括个人姓名、地址或医疗记录。
PII 与 PHI: 有什么区别
个人可识别信息 (PII) 与 PHI 相辅相成。它被定义为可用于识别特定个人的任何患者数据。这可能包括社会保险号或患者识别号等身份识别信息。简而言之,PII 用于区分或追踪某人的身份。从本质上讲,两者的区别在于 PHI 与 HIPAA 涵盖实体有关,而 HIPAA 涵盖实体拥有这些可识别的健康信息。
HIPAA 的五项技术保障措施
根据《HIPAA 管理简化条例》文本的定义,技术保障措施是 “保护受保护电子健康信息并控制其访问的技术及其使用政策和程序”。为遵守这一保障措施,承保实体必须遵循以下技术保障措施,以确保符合 HIPAA 规定。
HIPAA 技术保障措施:访问控制
访问控制作为技术保障措施的一部分,在防止数据泄露方面发挥着重要作用。它限制对电子健康信息的未经授权访问,降低数据泄露的风险。为遵守 HIPAA 安全规则,企业要实施控制健康信息访问的程序。随着先进技术的出现,企业现在可以利用生物识别或人工智能访问控制系统等系统,提供更高水平的安全性。实施相关政策,如要求唯一的姓名和唯一的用户标识、自动注销工作站和信息系统以及这些系统的物理保护措施。
HIPAA 技术保障措施:审计控制
访问控制可确保留下面包屑,而审计控制则负责跟踪它们。有几种方法可以做到这一点。其中最常见的是记录与访问和使用包含电子 PHI 的文件有关的活动。重要的是,不要等到出现投诉时才检查这些信息。积极主动的组织会将审计会话活动的任务分配给其 IT 团队、经理、团队领导,甚至是专门从事该领域工作的审计师。
良好的审计控制机制不仅仅需要收集数据。还应能根据要求生成报告。这些数据可能包括访问某个文件的人数和时间。它还可以查看某个员工的会话活动,该员工可能因违规而受到怀疑。如果不合规是有意为之,审计报告可以证明违规是某个员工的行为,而不是公司范围内的问题或政策不严,从而有助于保护组织。
审计控制可帮助承保实体和调查人员发现导致他们发现漏洞的模式。有时这是无意的。例如,新员工可能无法完全理解或遵循公司政策中的所有技术建议。
HIPAA 技术保障:PHI 和数据完整性
HHS 将数据完整性定义为数据未被 “不当篡改或破坏 “的特征。在这些情况下,HHS 将患者安全问题确定为主要关注点之一。信息缺失或被篡改可能会导致某人接受错误的诊断、治疗或药物。
专业人员最有可能怀疑是黑客或医务人员等其他人的恶意行为。但是,数据也可能自行损坏。系统中的故障或保存文件时的错误都可能造成未经授权的无意更改。
保持数据完整性的最佳方法之一是将所有 PHI 数据异地存储至少六年。数据应以原始格式存储,不得修改。任何新数据都可能需要创建新文件。
HIPAA 技术保障措施:个人或实体身份验证
为了符合访问控制、审计控制和完整性的要求,承保实体需要投资于身份验证功能。解决这一步骤有多种方法。最常见的方法可能包括发送电子邮件、拨打电话、使用应用程序或网站或亲自访问机构。
对于患者和员工来说,身份验证同样重要。如前所述,个人登录可以轻松跟踪会话活动。说到身份验证,我们的假设是,一个不应该访问某些信息的人不可能获得进入系统的密码。
当人们打电话、发邮件或亲自访问时,出示证据也是必不可少的。身份信息可能包括带有姓名和照片的政府颁发的身份证件、社会保险号或其他个人信息。例如,一些保险公司可能会要求提供出生日期或街道地址。
HIPAA 技术保障:传输安全
保护 PHI 最困难的方面之一就是当 PHI 处于移动状态时。在双方之间移动数据,即使双方都已获得授权,也会产生漏洞。一方可能不如另一方能很好地保护数据安全。为他们提供连接的网络也可能存在薄弱环节。传输弱点会使网络犯罪分子更容易拦截和窃取数据,而无需入侵公司。
HHS 建议使用两种主要工具在传输过程中保护数据。第一种是完整性控制,第二种是加密。完整性控制有助于确保发送的数据与接收的数据相同。各组织可通过更新网络通信协议来实现这一点。信息验证码也很有效。
加密则要复杂一些。它涉及将数据从其原始形式改变为未经授权者无法理解的形式。各组织还必须在不破坏数据完整性的情况下完成这项工作。值得庆幸的是,有多种类型的数据加密工具可供受保实体使用。
需要注意的一点是,要使加密工具发挥预期作用,发送方和接收方都必须使用相同或兼容的软件。整个组织最好只使用一种工具。
技术保障措施为何重要
保护个人健康信息如此重要主要有两个原因。首先是道德,其次是法律。从道德的角度来看,病人有隐私权。未经授权的访问违反了这一点,可能导致非常敏感的信息落入坏人之手。数据损坏可能会对患者的生活造成负面影响,并改变客户对公司的信任。
技术安全保障措施的目的是什么
在法律方面,《HIPAA 隐私规则》规定处理 PHI 的公司必须更好地保护这些数据。违反 HIPAA 的公司及其员工可能会被起诉。罚款可高达 25 万美元。还要注意的是,有三类组织属于此列:
- 医疗保健信息交换中心
- 医疗计划提供者
- 医疗保健提供商
据 HHS 称,《隐私规则》并未详细说明承保实体应采取哪些具体措施来保护数据。它要求公司将数据安全作为优先事项。即便如此,上文强调的五项技术保障措施中的大多数都遵循了 HHS 的建议。
如何满足 PHI 标准的技术保障
大多数专业人士即使没有技术背景,也对 HIPAA 技术保障有一般了解。另一方面,正确的实施需要强大的技术知识。为此,公司需要选择能够提供其所需技能的合作伙伴。
本文来自作者投稿,版权归原作者所有。如需转载,请注明出处:https://www.nxrte.com/chuhai/45754.html