证明您的数据安全级别

虽然 HIPAA 安全合规性有一套基本原则,不可协商,但每个组织在如何将这些要求纳入其自己的 HIPAA 安全合规性策略方面都有一定的回旋余地。换句话说,您对合规性所做的选择将取决于您。

HIPAA 安全合规性具有一定程度的灵活性,因为该法律旨在允许各种规模的组织优化资源并根据风险提供足够的保护。任何给定的涵盖实体或业务伙伴实施控制的能力将因规模、数据性质、技术限制和预算限制而异。但是,虽然 HIPAA 规则倾向于考虑您组织的限制,但您做出的每一个决定都必须是您可以证明的。

OCR 审计:平衡合规性和风险

最终,您选择的安全保护措施及其应用级别将取决于您在任何给定区域评估风险的方式。以自动注销的要求为例,这是安全规则下的一个可寻址标准。由于许多应用程序缺乏自动注销功能——并且在某些护理设置中,自动注销用户是不合适的——许多组织依赖会话超时或自动屏幕保护程序,使屏幕在一段时间不活动后变为空白。要重新获得访问权限,用户必须输入密码。目标是防止未授权方在无人值守的工作站查看健康信息。 

这种暴露的风险差异很大,取决于每个工作站的设置、位置和定位。例如,假设您是检查室的授权人员,负责记录患者的生命体征和病史。您走出办公室,从其中一位医生那里获得某种类型的验证。理想情况下,您会记得锁定键盘。但是如果忘记了呢?在这种情况下,最好将您的工作站设置为快速超时,以便您的患者无法开始滚动浏览他的或任何其他人的患者记录。但是超时需要权衡足够的患者护理。

如果上述场景发生在急诊室,短暂的超时可能不利于及时响应患者。那么推车上的工作站呢?无人看管, 任何人 路过的人被邀请查看屏幕上的内容。再次,我们可能会看到一个短暂的超时。

除非程序规定手推车在没有授权人员在场的情况下不得离开——除非它在护士站后面。在这种情况下,只要您的员工训练有素,为了方便起见,您可能希望将超时设置得更长。无论您做出何种决定,您都需要为您选择的内部标准提供合理的理由。如有疑问,最好遵守每个要求的行业标准。如果您打算偏离常规,那么您有一个详细记录的原因就显得尤为重要。

OCR 审计:制定安全保障措施

以下是您在检查规则并决定为即将到来的 OCR 审核做准备时要牢记的基础知识:

  1. 行业标准: 为您做出的任何决定考虑行业标准。像健康信息信任联盟 (HITRUST) 这样的框架可以帮助您做到这一点。 HITRUST 比 HIPAA 更具规范性,并提供有关密码长度、超时等的建议。 NIST 还发布了有关遵守安全规则 (NIST SP 800-66) 的指南,这可能会有所帮助。
  1. 环境: 考虑你自己的工作环境。它有什么独特之处?是否比其他环境风险更大?少吗?你可能需要实际 超出 行业标准,或者如果您处于低风险环境中,您可能能够低于它们。在所有情况下,您仍然需要满足并满足安全规则的要求标准和实施规范。
  1. 文档: 为您所做的每个决定记录理由。 OCR 审核会考虑您记录每个审核背后的原因的程度。

在可供下载的免费指南 OCR 审计揭秘中了解有关为 OCR 审计做准备的更多信息。

ocr 审计