HIPAA 是一项联邦法律,规定参与提供医疗保健的特定组织如何处理和保护健康信息。
阅读本文后,您将能够:
复制文章链接
美国的《健康保险便携性和责任法案》(HIPAA) 是一部联邦法律,它规定如何处理和保护健康信息。HIPAA 要求对电子健康信息采取安全控制措施并规定了隐私保护措施,从而有助于确保对健康信息进行保护。
HIPAA 主要影响两类组织:“涵盖实体”,如医疗保健提供商、医疗计划和医疗保健信息交换中心;以及涵盖实体的“业务伙伴”,如计费公司、电子健康记录 (EHR) 供应商、顾问或 IT 提供商。
受保护的健康信息 (PHI) 是指涵盖实体和业务伙伴创建、接收、存储或传输的与提供医疗保健相关的任何个人可识别健康信息。PHI 是个人可识别信息 (PII) 的一种,而个人可识别信息是可用于识别个人身份的数据。
下面列出了一些数据字段,如果这些字段由涵盖实体或业务伙伴处理并且这些数据与提供医疗保健相关联,则可能属于 PHI:
值得注意的是,PHI 可能以多种形式出现,从书面、口头到电子数据不等。
假设迈克尔第一次去看全科医生,医生办公室记录了迈克尔的姓名和地址,收集了他的医疗保险信息,并口头向他以前的医疗服务提供商索取了他的医疗记录。所有这些书面和口头数据都被视为 PHI,必须受到保护。
现在假设迈克尔下周要与同一位医生进行远程医疗保健预约。有关迈克尔在线活动的信息透露了他远程医疗保健预约的详细信息,这些信息也可能被视为 PHI,尽管它是电子信息,而不是书面或口头信息。
HIPAA 隐私规则要求涵盖实体和业务伙伴制定适当的隐私保护措施和政策,以保护 PHI。对于机构在未经个人同意的情况下如何处理 PHI 有严格的规定,《隐私规则》赋予个人了解其数据使用情况和/或要求更正的权利。
HIPAA 安全规则要求采取行政、物理和技术保障措施,从确保安全设施访问和设备控制、指定安全人员、实施员工培训到进行风险分析,以适当地以电子方式处理 PHI。
《HIPAA 安全和隐私规则》对于实现以下目的非常重要:确保个人健康信息得到适当保护,同时允许提供和促进高质量医疗保健以及保护公众健康和福祉所需的健康信息流通。鉴于医疗保健市场的多样性、需要处理的使用和披露的多样性以及医疗保健领域创新新技术的涌入,包括远程医疗保健、远程治疗、电子健康记录、基于设备的健康监控和人工智能 (AI) 辅助护理,这些规则尤为重要。特别是,根据《HIPAA 安全和隐私规则》,这些新的创新技术各有独特的安全和隐私挑战,组织必须应对这些挑战。
违反 HIPAA 可导致重罚和法律诉讼。 一些最常见的违规行为包括:
想象一下,迈克尔的医生把写有迈克尔姓名、出生日期、社会保险号码和医疗问题的患者表格放在候诊室 24 小时,任何患者或工作人员都可以查阅。接着想象一下,医生将迈克尔的健康信息上传到一个没有密码保护的在线门户网站。这两种情况都是违反 HIPAA 合规性的例子。
对不遵守 HIPAA 规定的处罚力度很大,从每次违规处罚 100 美元到每年每项规定处罚 150 万美元不等。民权办公室 (OCR) 根据严重程度和故意疏忽对 HIPAA 违规行为进行分类。
云提供商必须与其客户签订符合 HIPAA 要求的业务合作协议 (BAA),才能创建、接收、维护或传输 PHI。BAA 要求云服务提供商提供针对 PHI 的适当保护,并进行风险分析以识别潜在漏洞。它还可能包括有关数据可用性、备份、灾难恢复和数据保留的具体说明。
云服务提供商还应对任何未经授权的 PHI 披露、未受保护的 PHI 或未将数据泄露通知相关当局负责。
以下是确保 HIPAA 合规性的六项建议:
Cloudflare 提供基于云的网络、应用程序和企业安全服务,可以帮助组织满足 HIPAA 安全规则的严格技术要求,避免因无意中披露或滥用 PHI 而违反 HIPAA 隐私保护规则。其中包括的服务如下所述:
Cloudflare 的产品还符合业界公认的安全和隐私标准,包括 ISO 27001、ISO 27701、SOC 2 和欧盟云行为准则。虽然 HIPAA 没有规定正式的合规性验证,但 Cloudflare 的网络、管理基础设施和流程均符合 HIPAA 安全和隐私规则及相关法规的要求。
进一步了解全球连通云的内置安全、隐私和合规功能。