再过不到两个月,HIPAA下一项主要法规——HIPAA安全规则将生效。安全规则涉及保护电子受保护的健康信息(e-PHI)。任何电子形式的PHI——无论是仅仅以电子方式存储还是在传输时——都必须按照新规定加以保护。当然,如果没有新形式、政策和培训要求的冲击,HIPAA法规还会是什么呢?在4月20日的合规截止日期之前,您必须执行许多新的表单和政策,以及对您的员工的新的培训要求。
如果您是HIPAA隐私规则下的受保护实体,那么您也是HIPAA安全规则下的受保护实体。即使您的组织使用纸质的pcr(病人护理报告),您仍然很可能需要担心HIPAA安全规则。例如,许多救护车服务将它们的PCR信息输入到账单软件中以进行电子索赔申报,或者使用代表它们执行这项任务的账单服务。当然,这仍然是救护车服务的e-PHI。
以下是在HIPAA安全规则规定的最后期限前的剩余七周内,达到HIPAA安全规则规定的七个步骤:
1.任命一名“信息安全官员”。与隐私规则一样,HIPAA安全规则要求每一个被覆盖的实体指定一个人来监督组织遵守规则的情况。虽然您的信息安全主任可以与您的隐私主任是同一个人,但您必须正式指定某人对您的安全规则的遵守负全面责任。这个人应该尽快熟悉安全规则,并帮助您的组织在剩余的七周内“不慌不忙地”实现遵从性。
2.进行安全风险评估。有效的安全遵从性首先要评估e-PHI的机密性、完整性和可用性的风险和漏洞。安全风险评估并不复杂-它可以简单地审查你的电脑安全,你的密码实践,你的数据处理实践,备份能力和相关问题。您还可以聘请外部信息技术顾问协助您的组织完成这项任务。无论您采用何种方法,安全风险评估都是实现符合HIPAA安全规则的关键的第一步。
3.实施安全风险管理措施。一旦您确定了组织的e-PHI的风险和漏洞,就要实施措施来解决和管理这些风险。再说一遍,这不是一个复杂的过程。安全风险管理可以包括简单的事情,比如在你的计算机服务器室的门上上锁,并实现一个用户密码系统。您的安全措施必须满足安全规则所要求的管理、物理和技术保障。行政保障涉及实施新形式和新政策、提供人员培训和相关任务等。物理安全措施解决的问题包括保护您的建筑,限制那些有合法工作相关需要的人访问计算机和工作站,以及实现数据备份和存储安全。技术保障措施处理的主题包括密码和惟一用户标识、计算机或工作站在一段时间内不活动时自动下线以及相关问题。
4.推行新政策及表格。HIPAA安全规则需要大量的新表单和策略来实现遵从性。一些例子包括密码策略、计算机硬件/软件清单、授予和终止访问PHI和e-PHI的政策、计算机事故报告表格、违反安全规则的员工制裁政策、e-PHI的灾难管理/恢复、加密和解密、备份和应急计划、和许多更多。
5.更新你的商业伙伴协议。安全规则要求您与代表您处理e-PHI的任何人或实体签订书面协议。例子包括计费公司、外部医疗主管、索赔顾问或其他。尽管在隐私规则下您可能已经有了一个业务伙伴协议,但安全规则包含了一些新的条款,这些条款必须在您的协议中反映出来,无论何时您的业务伙伴也处理您的e-PHI。
6.进行所需的HIPAA安全培训。与隐私规则一样,安全规则要求您培训您的员工(包括有偿和志愿工作人员、现场提供人员、行政人员、经理和主管以及组织中的所有其他人员)关于组织的安全政策和实践。该培训必须在2005年4月20日前完成。您还必须就组织的安全性遵从性向您的工作人员提供“定期更新”。记住,根据隐私规则,您还必须对所有员工进行HIPAA隐私方面的培训。我们有义务确保新入职人员在合理的时间内接受HIPAA培训。HIPAA并没有指定培训的特定方式、课程或时间长度——你可以通过多种方式来完成。
7.查看你所在州的法律。最后,请记住,比HIPAA更严格的州法律仍然适用。因此,当涉及到HIPAA遵从性时,一种方法并不能适用于所有情况。您的组织的HIPAA遵从性还必须反映适用的国家法律和法规。确保您没有忽视遵从性的这个关键组成部分。
一旦您实现了HIPAA安全遵从性措施,请记住监视您的遵从性,并根据需要定期修改和更新您的安全实践。HIPAA安全性不是一个静态的概念——对e-PHI的新威胁和漏洞每天都在出现,随着时间的推移,您必须努力保持在安全需求的最前端。
4月20日很快就会到来,但是在剩下的几周内一致努力实现符合HIPAA安全规则可以使您的组织符合HIPAA安全规则。
其他特快专递“本周妙招”请浏览http://www.pwwemslaw.com/ACTIVE/Tips/TipArchivesDefaultPage.htm.
由Page, Wolfberg & Wirth, LLC提供。
