在数据安全性和合规性方面,神话比比皆是。这并不奇怪——HIPAA 涵盖了很多领域,许多组织需要自行决定如何最好地实施合规数据安全解决方案。实施合规数据安全解决方案的关键第一步是区分事实与虚构。  

数据安全和 HIPAA 合规性的四个常见误区 

误区一: 如果我们以前从未发生过数据安全事件,那么我们必须在遵守 HIPAA 安全规则方面做得很好。

很容易掉入这个陷阱。没有发生事故是一个好的开始,但 HIPAA 要求您采取更主动的立场。很多时候,没有人按照 HIPAA 的规定专门监控受电子保护的健康信息 (ePHI)。数据必须受到监控——也就是说,必须有人主动查看数据记录和安全日志,以寻找可疑活动。

您当前的 IT 框架很可能包括防火墙和防病毒/反恶意软件,并且所有系统都有事件日志。这些工具收集的数据往往未经检查。简单地指派某人来审查您已有的数据将大大提高您对 HIPAA 监控要求的遵守情况,更重要的是,您可能会发现需要您注意的事件和事件。

除了您的技术基础设施之外,您的设施安全、硬拷贝处理、工作站位置、便携式媒体、移动设备使用和业务伙伴协议都需要进行评估,以确保它们符合 HIPAA 隐私和安全法规。并且不要忘记您的员工。 HIPAA 要求您的员工接受有关如何适当处理 PHI 的培训(定期提醒)。

神话#2: 实施 HIPAA 安全合规性解决方案将涉及大量技术支出。

情况并非一定如此。组织对数据安全解决方案的投资可能会有所不同,这在很大程度上取决于其规模、预算和交易性质。民权办公室 (OCR) 将这些变量考虑在内——当然,私人实践将比大公司拥有更少的资源用于安全合规。只要您就自己遵守每项标准的方法做出的每项决定都证明是合理的,如果您接受审计,OCR 就会考虑您的立场。

最有可能的是,您已经拥有了满足合规性所需的一些适当的技术安全工具。增加的费用更有可能与 管理 您的数据安全合规性策略。

神话#3: 我们已阅读 HIPAA 指南,并制定了合规策略。我们必须遵守合规性。

也许你的组织 is 遵循法律条文。政策和程序已经到位,您的员工在如何正确处理患者数据方面受过良好培训。从表面上看,您正在真诚地努力遵守规定。

但是,HIPAA 合规性的很大一部分涉及 IT 部门如何监控 ePHI 的机密性、完整性和可用性。如果团队中没有人被指派监控交易和标记异常,那么您在办公室前的所有辛勤工作都可能是徒劳的。

如果您接受审核,HIPAA 合规性的“勾选”方法可能会有所帮助,除非它包括对您的系统的持续监控,否则您的患者数据实际上可能会暴露。

误区四: OCR 不会浪费时间审核“小家伙”。毕竟,该机构没有更大的鱼可以炒吗?

这是不正确的。各种规模的医疗保健组织都有资格接受审计。想想这个警示故事:由于报道的事件,马萨诸塞州的一名皮肤科医生因一名员工的拇指驱动器从汽车上被盗而被处以 150,000 美元的罚款。

无论组织的规模如何,对违规行为的罚款都可能很高。如果您还没有这样做,现在可能是进行风险评估并进行适当调整的好时机。 OCR 不会仅仅因为你小就给你让步,但他们 将要 考虑到真诚地努力遵守。

数据安全和 HIPAA 合规性:不做任何假设

作为供应商,您可能知道审核即将开始,但您可能不太确定这对您意味着什么。用事实武装自己。如有必要,请咨询外部资源,但请注意,OCR 为各种规模的医疗保健组织设定了更高的标准。您可能也想考虑这样做。您的企业和您的患者都依靠它。

点击这里 有关我们 HIPAA 什么软件买球,什么软件买球的更多信息。

最初发布在 EMR 和 HIPAA 上。