安全风险分析和风险管理是美国卫生和公众服务部(HHS)在最近根据《健康保险可携带性和责任法案》(HIPAA)对受保实体进行的案头审计中发现的最严重的合规问题之一。
资料来源:guvendemir/iStock/Getty
2016年和2017年,卫生和公众服务部民权办公室(OCR)对166个涵盖实体和41个商业伙伴进行了“案头审计”。审计的重点是HIPAA的隐私、安全和违规通知规则的某些规定。在审查从这些组织获得的文件后,OCR给每个组织的分数为1到5,1表示完全遵守,5表示没有“严重企图”遵守。
在63个涵盖的实体和41个商业伙伴审计的风险分析中,只有16个比3,OCR报告得多。对于风险管理,这些数字甚至更差:44个涵盖的实体中的44名,41个商业伙伴的28次。
HIPAA要求受保护实体和业务伙伴(包括集团健康计划)及其服务提供商对其电子保护健康信息(e-PHI)的潜在风险和漏洞进行准确、彻底的评估。这意味着识别组织创建、维护、接收或传输的所有e-PHI。
然而,据Zinethia Clemmons,OCR的HIPAA合规审计计划主任,组织经常低估其环境中E-PHI的扩散。“实体没有考虑他们整个实体的所有[E-PHI],”她说。许多人也未能证明他们根据环境变化定期更新风险分析。
一旦确定了风险和漏洞,HIPAA的风险管理标准需要安全措施,以将这些风险降至合理,适当的水平。然而,在调查报告的违规行为时,OCR经常发现先前已在风险分析中确定的潜在风险,但该组织未能采取适当的措施来解决它们,克莱姆蒙门说。例如,在某些情况下,加密包含在修复计划中,但不包括在合理的时间范围内实现。
在审计中,OCR不仅要求查看风险分析本身,还要求查看组织进行风险分析的详细政策和程序。Davis Wright Tremaine LLP律师亚当·格林(Adam Greene)表示,这些应该表明谁将进行风险分析,多久进行一次,以及什么类型的新风险或事件将触发新的风险或事件。此外,“这将传达给什么样的领导层?”
关于风险管理,OCR正在寻求更具体的政策,比“管理可接受的水平的风险”,“Greene表示。该机构希望在可接受的风险水平上,审查持续风险的频率(不仅仅是“不断地”)和员工在风险管理过程中的角色。OCR还希望看到特定于HIPAA和PHI的风险管理政策,尽管“我认为这是一个相当争议的点,”他补充道。
此外,OCR期望风险管理计划与潜在风险分析“一一对应”,这不是每个组织都能做到的,Greene继续说道。保存风险管理计划正在实施的证据也很重要,例如,所有台式机都在计划日期之前进行了加密。”信息安全并不总是有合规思维,”他指出。
访问权
在审计的隐私部分,最大的问题面积是HIPAA要求,让个人因要求提供自己的PHI。103个涵盖的实体审计,65项在此项目上得分为4或5。
“进入真的是一个令人不安的地区,”克莱姆门说。OCR发现了不充分的访问请求文档,以及策略和程序中的缺陷,如错误抵消截止日期或未能提及个人指定第三方收件人的权利。
Greene说,各组织需要确保其准入政策反映最新的监管变化,包括2014年关于临床实验室的修正案。该政策还应规定HIPAA允许该组织收取的费用,他补充道。”如果您最近没有这样做,请修改您的政策。”实体还应确保其隐私实践通知详细说明访问权,包括时间安排、获得电子副本的权利和转发副本的权利。
克莱蒙斯说,总体而言,隐私通知产生了良好的审计结果,及时的违规通知也是如此。她说,OCR将审查相关实体的做法,以获取可在技术援助中分享的经验教训。相反,对于风险分析和管理以及实现个人访问,OCR正在努力加强其技术援助,以帮助实体跟上进度。
克莱蒙斯和格林在弗吉尼亚州阿灵顿举行的第27届全国HIPAA峰会上发表了讲话。
 大卫A.屠宰,JD是BLR汤普森人力资源产品的高级法律编辑,专注于符合福利。在来到BLR之前,他担任汤普森信息服务的编辑(TIS)HIPAA指南,以及与TIS'人力资源/福利提供相关的其他写作和编辑职责。屠杀先生获得了弗吉尼亚大学的法律学位和他的B.A.来自达特茅斯学院。他是弗吉尼亚州栏的助理成员。问题?评论?联系大卫dslaughter@blr.com有关此主题的详细信息。 |