随着该书的出版 OCR 的审计协议, HHS 正在为医疗保健提供者和业务伙伴提供深入了解他们如果被选中接受审计可能面临的问题。 

什么是 OCR HIPAA 审核计划?

OCR HIPAA 审计计划旨在分析选定的涵盖实体和业务伙伴的流程、控制和政策。 OCR 已经建立了一个全面的审计协议,其中包含要通过这些绩效审计进行评估的要求。整个审计协议围绕模块组织,代表隐私、安全和违规通知的独立元素。

协议覆盖范围包括什么?

根据 OCR,多项要求的组合可能会根据选择进行审查的涵盖实体或业务伙伴的类型而有所不同。协议覆盖范围包括:

  • 隐私规则要求 (1) PHI 隐私惯例通知,(2) 请求 PHI 隐私保护的权利,(3) 个人访问 PHI,(4) 管理要求,(5) PHI 的使用和披露,( 6) PHI 的修订,以及 (7) 披露的会计处理。
  • 管理、物理和技术保护措施的安全规则要求。
  • 违反通知规则的要求。

预计即将到来的一轮或多轮审计将基于远程执行的“桌面审计”和更全面的现场审计的组合方法,以对更有限的实体进行选择。新协议的覆盖范围更广,共有 180 个领域,而试点审计计划中使用的版本为 165 个。

有了 OCR 的这一新指南,对于根据 HIPAA 负有合规义务的组织来说,现在是重新检查他们对监管标准的遵守情况以及他们是否为可能的审计做好准备的最佳时机。在最后一小时争先恐后地响应审计请求并不是成功的秘诀。

我们如何准备 OCR 审核?

准备审核的时间是在您被选中之前。但是,如果您已经被选中,我们仍然可以让您做好准备。

现在是准备的时候了,因为您知道在某些时候可能会被要求出示合规证据。请记住,审计不是强制措施。

OCR 审计的目标是什么?

OCR 审计计划的既定目标是衡量各种涵盖实体和业务伙伴的整体 HIPAA 合规性。 HHS 将使用这些数据来评估行业信息安全的整体健康状况,并确定可能需要额外外展或教育的地方。如果您被告知您的组织已被选中进行 OCR 审核,以下内容提供了有关您将要执行的操作的指南。

如果您被选中进行 OCR 审核,请动员起来!

组建你的团队。 该团队应包括您的隐私和安全官员以及您组织的合规官(如果您有)。通知您的内部和/或外部法律顾问也是一个好主意,以便他们可以随时了解 OCR 的所有请求以及您向 OCR 提供的回复。如有必要,让您的律师随时待命,为您提供指导。

完全及时地做出回应。 如果您被告知您已被选中接受审核,您还将获得有关如何以及何时回复的说明。有书面证据表明,如果 OCR 发现不合规的重要发现,那么无响应只会让您的情况变得更糟。确保在审计过程中保留所有交易的完整记录,最好指定一个人负责所有与审计相关的通信。

OCR 的一些额外指导要点包括:

  • 只有按时提交的请求数据才会被评估。
  • 所有文件必须在请求之日是最新的。
  • 如果您的文件是案头审核,则审核员将没有机会与您联系以进行澄清或要求提供其他信息,因此您的文件充分反映该计划至关重要。
  • 不要提交无关信息,因为这会增加审核员评估所需项目的难度。
  • 未能提交对请求的响应可能会导致转介进行区域合规性审查。

谨慎地做出回应,不要因为质疑你认为不准确的发现而害羞。 从历史上看,OCR 允许组织对已识别的问题做出响应。准备好用事实证明您的立场,并解释您对合规性和安全策略所做决策的理由。 HIPAA 缺乏具体指导的许多领域对您有利,假设您可以展示一种深思熟虑且合理的方法来遵守所有标准。希望您的 OCR 审核能够顺利进行。如果您在解决合规性标准和构建安全计划方面做得很好,则报告几乎不需要或不需要跟进。否则,您可能需要参加自愿合规活动或更深入的合规审查。确定重大问题的合规审查可能需要额外的纠正措施或可能导致达成解决协议。在这些情况下,建议聘请精通 OCR 的律师和顾问。

如果您的 OCR 审核是正在进行的 OCR 审核计划的一部分,请注意随机审核的目的是衡量更多人群的合规性。不只是你。 OCR 负责对组织进行合规策略的教育和培训,该任务的一部分必然包括一定数量的审计,以了解组织的表现。

OCR 审计准备清单

如果您被选中进行 OCR 审核,您的企业需要准备以下内容:

  1. 风险分析
  2. 风险管理计划的证据(例如已知风险列表以及您如何处理它们)
  3. 政策和程序以及如何实施的说明
  4. 商业伙伴和相关合同和 BAA 的存货
  5. ePHI 的存储位置(内部、打印输出、移动设备和媒体、第三方)
  6. 您如何监控移动设备和移动媒体(拇指驱动器、CD、备份磁带)
  7. 有关违规报告政策以及您如何应对违规的文件
  8. 已进行的安全培训记录
  9. 加密能力的证据

OCR 将期望组织以高度客观的方式评估他们自己的程序和 ePHI 的相应安全性。如果您要引入新的业务战略、安装新的信息系统或瞄准新市场,您将需要分析每个计划的风险。在他们的试点计划中,OCR 发现他们审计的组织中有三分之二没有完整和准确的风险分析。

这一次,我们鼓励您不要成为其中之一。

医疗机构应如何准备 OCR 审计

您的医疗保健组织如何有效地证明合规性?让我们来看看准备 OCR 审计的基本步骤。

清除 HIPAA 神话

首先,有很多关于 HIPAA 合规性和执行的神话,重要的是要澄清审计是什么,什么不是。

OCR 审计与强制措施不同。相反,它们是衡量整个行业涵盖实体之间 HIPAA 合规性的广泛努力的一部分,并最终确定需要更好地保护医疗保健数据的共同领域。

因此,如果您收到被选中进行审核的通知,请不要惊慌。你可能在显微镜下,是的,但这不是因为你做错了什么。关键是有效的准备。

如何以及何时响应 OCR

您最关心的问题之一应该是收集审计员将寻求的信息。这将有助于简化流程并帮助您衡量自己的准备情况。如果您被选中接受审核,OCR 将向您提供具体如何回复的说明。

这些说明还会告诉您何时做出回应,这是同样重要的一点。只会评估您按计划提交的信息,但这不会给您带来优势;我们已经看到证据表明,如果您最终被发现严重不合规,反应迟缓会加剧您的困难。

考虑到这一点,请注意及时与 OCR 进行所有通信,遵守他们设定的时间表。通常指派一个人负责这些通信是合适的。确保您的信息在请求时是最新的,并且不要发送 OCR 没有要求的数据。随着审计过程的进行,请务必对您的所有信件进行全面记录。

建立合适的 OCR 审计响应团队

为了有效地响应审核,您需要合适的团队。这意味着组织内的安全和隐私官员、相关高级决策者以及合规官(如果您已指定)。

您的内部或外部法律顾问是您的 OCR 审计响应团队的另一个重要组成部分。在整个过程中让他们保持最新状态,让他们能够访问您的组织和 OCR 之间的所有通信。

在您的组织内,相关官员之间的透明度和协调绝对是关键。

有顾虑时说出来

在审核期间及时提供帮助很重要,但这并不意味着您应该害羞或过度恭顺。如果 OCR 得出您认为不准确的结果,您应该说出来——OCR 通常为组织提供机会回应他们提出的问题。

当然,如果您质疑 OCR 的发现,您应该准备好用事实来支持您的断言。尽可能使用记录在案的证据,并能够证明您的安全性和合规性策略的合理性。

关于 HIPAA 需要记住的一件重要事情是,您可以灵活地以各种方式满足其许多要求,但您必须能够为您的决定提供理由。最近,我们讨论了组织如何采用各种方法来设置会话超时,以满足 HIPAA 实现规范,以便在可以访问 ePHI 的设备上自动注销。

下一步

当您与 OCR 沟通时,要清楚而慎重。仔细制作您的消息,并以透明的细节提供所需的信息——但避免提供任意或多余的数据。及时做出所有回应,并确保您拥有一支合格且反应迅速的团队来处理审核流程。

如果您的报告发现问题怎么办?

在这种情况下,您可能会被要求进行自愿合规活动,或者可能需要进行更详细的审查。对于非常严重的问题,您的组织可能需要采取措施来纠正您的问题;在某些情况下,您可能需要通过解决协议。在这种情况下,我们建议与有处理 OCR 经验的顾问和律师合作。

审计对许多人来说是一种伤脑筋的经历,但您可以采取措施将风险和中断降至最低。如果您已做好适当的准备,并在强大的安全计划旁边采取了强有力的合规措施,那么您应该在报告后进行最少甚至不需要的后续活动。通过正确的行动,您可以顺利通过审核,并将注意力集中在帮助患者上。