免责声明:本指南引用了卫生与公众服务部(HHS)网站和美国网站上发布的有关HIPAA的指导和文件。政府出版局。
什么是HIPAA合规性?
1996年《健康保险可移植性和问责制法案》是一套旨在:
- 保护患者个人身份信息(PII)、受保护的健康信息(PHI)和电子受保护的健康信息(ePHI)的机密性和完整性。
- 保护工人,让他们的健康保险计划在换工作时变得可移植和可续订。
- 制定团体健康计划和人寿保险单的指导方针。
根据官方文件,该法案的目的是:
修订1986年《国内税收法》,以改善团体和个人市场健康保险的可移植性和连续性,打击健康保险和医疗保健交付中的浪费、欺诈和滥用,促进使用医疗储蓄账户,改善获得长期护理服务和覆盖范围的机会,简化健康保险的管理,以及用于其他目的。
HIPAA分为五个标题:
- 第一章——医疗保健的获取、可移植性和可再生性:确保在换工作或失业期间为工人及其家属提供健康保险。
- 第二章——防止医疗保健欺诈和滥用;行政简化;医疗责任改革:专注于制定欺诈和滥用控制计划的指导方针,以及高效和有效地传播健康信息。
- 第三章——与税收相关的卫生规定:制定税前医疗支出账户的规则。
- 第四章——团体健康计划要求的适用和执行:制定团体健康计划的规则。
- 第五章——收入抵消:管理与税收相关的措施和抵消,以帮助医疗保健计划。
从数据隐私和安全的角度来看,第二章中包含的行政简化条款是最重要的。他们要求卫生与公众服务部(HHS)为有效、安全、保密和有保障的健康信息传输制定标准。请注意,行政简化条款直接针对HHS,并为他们提供创建标准的指导方针,而不是规定标准本身。
根据第二章行政简化的要求,HHS制定了六项规则:
- 隐私规则
- 安全规则
- 违反通知规则
- 执行规则
- 交易和代码集规则
- 唯一标识符规则
除了这六条规则外,HHS还制定了一项总括规则,可以被视为隐私规则的一部分。总括规则包括对现有法规的更新和更改。见图1,了解HIPAA结构的视觉表现。
图1:HIPAA的结构,以及有关头衔和规则的详细信息
这六条规则由HHS制定的几项法规组成。这些法规已被编纂为《联邦法规》(CFR)。它们可以在CFR的几个部分中找到。(见图2)。
图2:HIPAA规则和要求在联邦法规中的位置
正如你在图1和图2中看到的那样:
- 隐私规则位于45 CFR第160部分以及第164部分的A和E小部分
- 安全规则可在45 CFR第160部分以及第164部分的A和C小部分中找到
- 执行规则可在45 CFR第160部分的C、D和E小部分中找到
- 违反通知规则位于45 CFR第164部分,164.400-164.414
45 CFR中的法规由HHS和其他参与公共福利计划的联邦机构管理。
谁必须遵守?
HIPAA仅适用于在美国境内运营的实体和个人。该任务描述了两组需要遵守HIPAA的机构:
涵盖的实体(CEs):
任何医疗保健提供者、健康计划提供者或医疗保健信息中心,负责在HIPAA的范围内传输任何健康信息。CE的例子包括医生、治疗师、牙医、医院、医疗保健保险公司和支付患者医疗保健费用的政府计划。
为CE服务的商业伙伴(BA):
代表涵盖实体执行某些职能或活动的第三方个人或实体,可能涉及使用或披露PHI。例子包括MSP、IT提供商、传真公司和云存储提供商。
HIPAA的要求
HIPAA第二章以行政简化条款而闻名,旨在通过建立电子医疗保健交易标准和确保健康信息的保护来提高医疗保健系统的效率。标题II的要求可以在HHS提出的隐私、安全、数据泄露通知、执法、交易和代码集以及唯一标识符规则中找到。这些反过来又在45 CFR的第160、162和164部分中发现。
隐私规则
隐私规则旨在保护通常称为PHI的“个人可识别健康信息”。这包括与健康相关的信息,如患者的身体或心理健康、患者接受的医疗保健服务以及与医疗保健相关的付款。隐私规则还保障了个人访问其健康相关信息的权利。隐私规则还规定,CE和BA必须获得患者的书面授权,才能披露超越治疗、付款和医疗保健运营的医疗保健数据。
安全规则
如果隐私规则侧重于确定应保护哪些患者数据,那么安全规则定义了如何保护该数据的标准。该规则侧重于通过深入研究数据的存储、审计、传输等方式来确保数据的完整性和可用性。安全规则规定,必须建立工具和政策,以保护ePHI免受可能想要滥用患者信息的实体的侵害。
《安全规则》为保护PHI建立了行政、物理和技术保障措施。(见图3)。
图3:HIPAA安全规则包括行政、物理和技术保障措施
行政保障措施是确保涵盖的实体或业务合作伙伴能够检测ePHI的风险或篡改的政策和程序。
物理保障措施确保组织有访问控制机制,限制授权人员实际进入其设施。他们还强制要求组织执行设备、工作站、服务器等的适当物理访问政策。
技术保障措施要求组织:
- 实施并投资作为访问控制机制的技术解决方案,只允许对ePHI的授权访问。
- 部署正确的软件,如安全信息和事件管理(SIEM)解决方案,以检测、分析和调查在包含ePHI的服务器上发生的任何活动。
- 确保ePHI没有被篡改、破坏或破坏。
- 防止中间人等攻击,这些攻击试图在ePHI通过网络移动时恶意拦截。
违反通知规则
该规则规定了CE和BA在违反无担保PHI的情况下必须执行的程序。不安全的PHI是未经任何安全措施加密或保护的患者健康信息,因此使其易受攻击,易于被未经授权的实体访问。
本规则明确指示在发生违规行为时何时通知受影响的个人、HHS和媒体。它还提供了有关如何传达违规通知以及审计所需的文件的详细信息。
交易和代码集规则
该规则为声明、汇款建议、资格查询和声明状态查询等电子医疗保健交易建立了国家标准。它引入了特定的代码集,如ICD(国际疾病分类)、CPT(当前程序术语)和HCPCS(医疗保健通用程序编码系统),供医疗保健组织在其计费和报表实践中使用。
唯一标识符规则
通过使用唯一标识符,该规则确保了参与医疗保健活动和交易的实体的准确识别。例如,国家提供者标识符(NPI)用于识别医疗保健提供者。另一个重要的标识符是健康计划标识符(HPID),它用于健康计划。
执行规则
HHS内的民权办公室(OCR)监督隐私和安全规则的执行。涵盖的实体和商业伙伴可能会因违反HIPAA而面临处罚。执行规则规定了违反HIPAA的调查程序。
除了这六项规则外,HHS于2013年发布了总括规则,以加强和扩大HIPAA的某些条款,特别是与受保护健康信息的隐私和安全相关的条款。它为HIPAA隐私、安全、执法和漏洞通知规则带来了重大的增强和更新。
综合规则的一些关键变化包括扩大业务伙伴责任、增加对不合规的处罚、更严格的违反通知要求以及增加患者权利。
资源
SIEM解决方案如何帮助组织遵守HIPAA要求
用例1:建立监控对ePHI威胁的政策和程序
此用例直接映射到HIPAA安全规则164.312(c)(1),该规则要求涵盖的实体及其关联公司“实施政策和程序,以保护ePHI免受不当更改或破坏。”
问题
涵盖的实体及其合作伙伴持有的ePHI往往是威胁者的目标。2023年,发生了惊人的725起违规事件,超过1.33亿份患者记录被泄露。
在医疗保健网络中,ePHI通常存储在集中式系统、云存储系统、备份系统、数据库、电子邮件服务器等中。这些存储组件通常是攻击者的主要目标。对于希望在暗网上出售信息的攻击者来说,窃取敏感患者数据是一项有利可图的冒险。ePHI和dePHI篡改的丢失还有其他令人担忧的后果,如延迟患者治疗、敏感信息的披露以及对医疗机构的法律和财务后果。
解决方案
涵盖的实体必须有正确的政策和程序来保护患者数据。为此,组织需要建立一项策略,从持有ePHI的关键服务器收集和审计日志。此外,SOC团队需要有一个告警机制来通知任何可疑事件。SOC团队应该注意的一些可疑事件包括:
- 对敏感患者信息执行的未经授权的用户活动(如访问尝试、删除和权限更改)。
- 针对ePHI的可疑流程。
- 包含ePHI的设备上的可疑登录。
SIEM解决方案可以提醒分析师未经授权的访问尝试或ePHI篡改。有了清晰的报表,分析师可以追踪可能威胁患者信息安全和完整性的用户、恶意软件或进程。分析师还可以从持有ePHI的设备中钻入日志,以调查和解决事件。
此外,配备事件响应功能的SIEM解决方案可以触发对告警的自动响应,执行预定义的操作,例如禁用可能试图访问ePHI存储设备的用户帐户或停止针对敏感患者文件的进程。
用例2:监控不同端点上的用户活动
此用例直接映射到HIPAA安全规则164.308(a)(3)(ii)(A),该规则要求涵盖的实体及其关联公司“执行授权和/或监督与ePHI合作或在可能访问的地点的员工的程序。”
问题
HIPAA授权在涵盖实体的网络中监控用户活动。这允许安全分析师知道他们的网络中是否发生任何可疑活动,以便他们可以立即阻止它。
解决方案
SIEM解决方案可以提醒SOC分析师注意可疑的用户活动,这些活动可能表明服务器和其他包含患者信息的存储系统存在内部威胁。SOC分析师可以查看可疑的用户登录、特定用户启动的异常进程以及连接到特定用户帐户的任何ePHI文件篡改——所有这些都在SIEM解决方案中。
除了监控之外,SIEM解决方案还促进了日志取证。这允许安全分析师威胁搜索可能绕过网络防御并访问ePHI的恶意软件。有了这些信息,分析师可以调查并快速解决事件,以尽量减少损坏和数据丢失。
用例3:与合规审计流程合作
此用例直接映射到HIPAA执行规则160.310(b),该规则规定涵盖的实体及其关联公司必须“配合投诉调查和合规审查”。
问题
审计对组织来说可能是一个紧张的时刻。公司未能证明合规的审计可能会导致严厉的处罚。违反HIPAA可能会导致金钱处罚、法律诉讼,在严重的情况下,还会导致监禁。
解决方案
在审计期间,合规审计员可能需要访问各种网络活动报表,并可能希望查看SIEM解决方案中的安全配置。
像Log360这样的SIEM解决方案允许管理员设置具有某些权限的客人帐户,审计师只能使用这些权限查看必要的配置。该解决方案还提供量身定制的报表,提供重要信息,并帮助涵盖的实体及其合作伙伴遵守特定的HIPAA标准。
SOC分析师可以:
- 查看关于对敏感患者文件执行的操作的深入报表。
- 获取在持有ePHI的关键服务器上成功和失败的登录尝试的详细信息。
- 接收报表,识别恶意的本地系统进程,并可能危及ePHI安全性。
所有这些都有助于组织成功完成HIPAA审计。
用例4:监控和分析审计日志
此用例直接映射到HIPAA安全规则164.312(b),该规则要求涵盖的实体及其关联公司“实施硬件、软件和/或程序机制,以记录和检查包含或使用ePHI的信息系统中的活动。”
问题
删除日志是攻击者在安全漏洞后用来掩盖其踪迹的策略。恶意内部人员也可能试图通过删除日志来删除他们的行为。
解决方案
SIEM解决方案可以通过保护信息系统活动的所有日志来帮助SOC团队遵守HIPAA审计规则。SIEM解决方案汇集了来自包含ePHI、其他端点和威胁情报源的设备的日志,以便SOC分析师能够全面了解可能破坏ePHI的攻击模式。SOC分析师还可以收到有关日志文件篡改或删除的告警,调查这些事件,并相应地更改安全权限。
用例5:保留日志
此用例直接映射到HIPAA执行规则160.310(c)(1),该规则要求“被保护的实体或商业伙伴必须允许秘书在正常工作时间内访问其设施、账簿、记录、帐户和其他信息来源,包括受保护的健康信息,这些信息与确保遵守适用的行政简化规定有关。”
问题
HIPAA的记录保留要求规定,所有与HIPAA相关的文件必须自政策或程序最后一次生效之日起至少保留六年。
解决方案
像Log360这样的SIEM解决方案允许SOC管理员根据需求配置日志的保留要求。这有助于组织保持合规,并与合规审计合作。
如何遵守HIPAA
安全规则:一般规则
要求164.306(a)(1)
要求164.306(a)(2)
要求164.306(a)(3)
要求164.306(a)(4)
要求164.306(b)(2)(i)
要求164.306(b)(2)(ii)
要求164.306(b)(2)(iii)
要求164.306(b)(2)(iv)
安全规则:行政保障措施
要求164.308(a)(1)(i)
要求164.308(a)(1)(ii)(A)
要求164.308(a)(1)(ii)(D)
要求164.308(a)(3)(ii)(A)
要求164.308(a)(3)(ii)(B)
要求164.308(a)(3)(ii)(C)
要求164.308(a)(4)(ii)(A)、(B)、(C)
要求164.308(a)(5)(ii)(B)
要求164.308(a)(5)(ii)(C)
要求164.308(a)(5)(ii)(D)
要求164.308(a)(6)(i)
要求164.308(a)(6)(ii)
安全规则:技术保障措施
要求164.312(b),(c)(1)
要求164.312(c)(2),(d)
执行规则
要求160.308
要求160.310(a)
要求160.310(c)
违反通知规则:
要求164.404(2)(c)(A)
要求164.404(2)(c)(B):受影响信息的描述:
要求164.406(2)(c)
要求164.410
要求164.410(c)(2)
隐私规则
要求164.524
要求164.526(d)(4)
要求164.528
HIPAA合规清单
为了遵守HIPAA,您需要实施标准政策,并通过适当的意识培训教育相关人员。以下是管理PHI的一些IT最佳实践,并避免不遵守HIPAA和随后的OCR处罚:
密码政策和多因素身份验证:
- 加强密码策略,并在访问医疗记录的所有设备上采用多因素身份验证,以提高安全性。
访问控制的零信任模型:
- 采用零信任安全模型,严格限制对患者信息的访问,以符合基本要求或经患者明确同意,加强网络监控,并减少未经授权的访问。
禁止共享证书:
- 严格禁止员工之间共享凭据,以防止未经授权访问敏感数据。
最小化电子邮件中的PHI:
- 由于电子邮件安全漏洞和未经授权的访问或转发风险,减少对包含PHI的电子邮件的依赖。
定期的HIPAA安全评估:
- 进行常规的HIPAA安全评估,以确保持续遵守更新的安全政策和指南。
防病毒软件更新:
- 确保在所有设备上持续更新防病毒软件,以减轻恶意软件风险和潜在的安全漏洞。
存储服务和应用程序的合规性:
- 验证所有使用的存储服务和应用程序是否符合HIPAA安全指南,以充分保护患者信息。
事件响应计划实施:
- 激活事件响应团队,并在发生数据泄露时及时执行事件响应计划,以尽量减少损害并加快恢复。调查并消除其根源的安全威胁。
文件访问控制和提交:
- 验证共享文档是否包含未经授权的个人可以访问的敏感数据。
- 应要求向审计员提供指定文件,确保通过OCR门户网站以合规格式(Microsoft Excel、Word或PDF)更新和提交。
如何检查你是否合规
关于安全政策和程序的备忘录:
- 所有员工都收到了关于安全政策和程序的备忘录吗?
- 他们读过并证明了吗?
- 证明有记录吗?
安全策略审查和更新:
- 是否有关于审查和更新安全政策的文件?
HIPAA合规培训:
- 是否为所有员工进行了HIPAA合规培训?
- 是否提供进行培训的文件?
- 是否有指定员工监督有效的培训课程和HIPAA合规性?
商业伙伴和HIPAA合规性:
- 所有商业伙伴都已确定了吗?
- 是否与处理医疗保健信息的第三方签订了商业伙伴合同?
- 商业伙伴是否接受过HIPAA合规性的审计?
- 是否妥善存档了商务伙伴审计的相关文档?
安全事件管理:
- 是否有技术和行政基础架构来处理安全事件?
- 是否有系统来跟踪网络漏洞?
- 是否有调查安全事件的文件?
- 是否提供所有安全事件及其原因的综合报表?
违反HIPAA的组织会发生什么?
当一个组织不遵守HIPAA法规时,可能会面临严重后果:
民事罚款(CMPs)
- US$OCR执行HIPAA规则,并对不遵守规定的行为处以民事罚款,每次违规行为可能从100美元到50,000不等。这取决于过失程度和违规严重程度。
- US$对于因故意忽视而未得到纠正的违规行为,可以适用更高的处罚,每年每次违规行为最高可处150万。
纠正行动计划(CAPs)
- 除了罚款外,不合规的机构还必须执行纠正行动计划(CAP)。这些计划定义了该组织必须采取的纠正措施,以解决现有缺陷,以遵守HIPAA法规。
- CAP措施,如修订政策和程序、进行员工培训、加强安全控制以及实施保护受保护健康信息(PHI)的保障措施,将帮助受惩罚组织实现HIPAA合规性。
声誉和信任的丧失
- 违反HIPAA可能会损害该组织在患者、客户和利益相关者中的声誉。它们还导致负面宣传和收入损失。
法律后果
- 违反HIPAA也会产生法律后果,以受影响个人的民事诉讼或集体诉讼的形式。这些法律行动给该组织带来了财务困境。
拒绝支付医疗保险/医疗补助
- 在更高级别的不合规行为中,HHS可能会拒绝向该组织支付医疗保险或医疗补助款项,这加剧了依赖政府计划报销的医疗保健提供者的财务状况。
审计和调查
- 不遵守HIPAA可能会导致OCR或其他监管机构的审计或调查。这些审计包括对组织是否符合HIPAA的彻底审查。被发现不合规的实体可能会面临执法行动。