《健康保险流通与责任法案》(HIPAA) 于 1996 年制定,旨在实现医疗保健信息流的现代化。它规定了应如何保护医疗保健和医疗保险行业维护的所有个人数据免受欺诈和盗窃。它还解决了医疗保险覆盖范围的限制。
所有医疗保健和医疗保险行业都必须遵守 HIPAA 准则,并且可能会受到民权办公室 (OCR) 的审计,民权办公室 (OCR) 是美国卫生与公共服务部 (HHS) 的一个组织。
应非常重视 HIPAA 合规性,因为违规行为可能会受到民事甚至刑事处罚,更不用说数据泄露对公司信誉的巨大影响了。
这里有一些提示可以帮助您使这个过程尽可能简单和顺利。
更新您的政策
自 1996 年以来,技术发生了翻天覆地的变化,这导致 2013 年对 HIPAA 指南进行了调整。现在,7 年过去了,数据存储和数据安全协议仍在发生巨大变化,因此让您的政策保持最新非常重要.每年实施小的变化比等到不可避免的时候再实施大的变化成本要低得多。
检查合作伙伴的合规性
重要的是要记住,审核员不仅要在您的组织内寻求合规性,而且还要与您合作的任何合作伙伴一起寻求合规性。这适用于您的任何有权访问或可能接触患者个人数据的业务伙伴。例如律师、会计师、IT 承包商、计费公司、云存储服务、接待员等。请务必检查您的所有业务伙伴是否都遵守 HIPAA,并且他们也保持该状态。
教育员工
员工教育和持续培训是确保您的公司符合 HIPAA 标准的重要组成部分。解决此问题的最佳方法是就您希望如何进行此培训制定计划,请记住这需要持续进行。最重要的是确保员工知道如何保护数据。
指派安全人员
最好指派一名员工担任负责您的 HIPAA 合规计划的安全官。这将帮助您保持合规性,而且当您的公司接受审计或您遭受数据泄露时,他们也很重要,因为他们将负责致电任何第三方供应商来帮助您解决问题。
轨迹数据
从员工捕获个人数据的那一刻起,直到将其存储在本地或虚拟服务器中,您应该采取必要的步骤来确保这些数据始终受到保护。审核数据所采用的路径可以更轻松地识别和消除所有易受破坏的弱点。
第一步是实施虚拟专用网络 (VPN),以确保您网络中的所有通信都经过加密和保护。要记住的其他措施是对安全网络之外发生的所有通信进行加密,这意味着所有计费通信、电子邮件、即时消息,甚至传真机都必须受到保护。必须测试安全性的稳健性以确保数据安全。
学会识别违规行为
任何时候受保护的信息落入无意的(不一定是恶意的)一方手中都构成违规。即使这些数据是加密的并且对于任何没有正确解密密钥的人来说都是无用的,这仍然是一种违规行为,应该记录下来,并且应该立即解决它发生的原因。在这里,更新所有政策和程序将帮助每个人在发现违规行为后确切地知道该怎么做。
制定行动计划
HIPAA 安全规则要求制定一个详细说明如何向 HIPAA 安全官报告所有违规行为的计划。因此,请确保每个人都知道如何在发现任何违规行为后立即报告。
整合所有数据存储
存储敏感数据的方式有很多种,从纸张到可移动 USB 驱动器等等,所有这些信息很难保存在一个地方。这就是为什么整合所有数据存储非常重要,以便您更轻松地确保所有数据的安全。
保持合规
在您完全遵守 HIPAA 准则后,最好组建一个定期(通常每季度一次)开会以确保您保持合规性的合规委员会。
很明显,在雇用外部服务(例如现场接待员服务)时,HIPAA 准则很重要,可以确保以专业的方式接听您的所有业务电话,代表您安排约会,并保护您的时间来自讨厌的机器人电话或律师。当您雇用 phone.com 的现场接待员服务时,您可以放心,我们所有的现场接待员都符合 HIPAA 标准。