在数据安全和合规方面,神话比比皆是. 这并不奇怪——hipaa涵盖了很多方面,许多组织自己决定如何最好地实现兼容的数据安全解决方案. 要将兼容的数据安全解决方案落实到位,关键的第一步是将事实与虚构区分开来.  

关于数据安全性和HIPAA遵从性的四个常见误区 

神话# 1: 如果我们以前从没发生过数据安全事故的话, 我们必须遵守HIPAA安全规则.

很容易落入这个陷阱. 没有发生过事故是一个好的开始,但是HIPAA要求你采取更积极的姿态. 太频繁, 没有人专门负责监测HIPAA规定的电子保护健康信息(ePHI). 数据必须被监控——也就是说, 必须有人积极地检查数据记录和安全日志,以提防可疑活动.

您当前的IT框架很可能包括防火墙和防病毒/反病毒软件, 所有系统都有事件日志. 这些工具收集的数据往往未经检查. 简单地指派某人检查您已经拥有的数据将大大提高您对HIPAA监视要求的遵从性, 更重要的是, 你可能会发现一些需要你注意的事情.

超越你的技术基础设施, 你的设施安全, 硬拷贝处理, 工作站的位置, 便携媒体, 移动设备使用和业务伙伴协议都需要进行评估,以确保它们符合HIPAA隐私和安全法规. 不要忘记你的员工. HIPAA要求您的员工接受关于如何适当地处理PHI的培训(有定期的提醒).

神话# 2: 实现HIPAA安全遵从性解决方案将涉及大量的技术支出.

事实未必如此.  组织在数据安全解决方案方面的投资可能有所不同, 主要取决于它的大小, 预算及交易性质. 公民权利办公室(OCR)当然考虑到了这些变数, 与大公司相比,私人诊所用于安全合规的资源更少. 只要您已经证明了您所做的每一个决定是正确的,您就可以使用自己的方法来遵守每一个标准, 如果你被审计,OCR会考虑你的职位.

最有可能的, 您已经有了许多必要的适当的技术安全工具来满足遵从性. 增加的费用将更有可能与 管理 您的数据安全遵从策略.

神话# 3: 我们已经阅读了HIPAA的指导方针,并制定了合规策略. 我们必须遵守规定.

也许你的组织 is 严格遵守法律条文. 制定了政策和程序, 你的员工在如何正确处理病人数据方面受过良好的训练. 从所有的表象来看,你正在做出真诚的努力来顺从.

但是HIPAA的大部分规定都是关于保密的, 完整性, ePHI的可用性由IT部门监控. 如果团队中没有人被指派监视事务和标记异常, 你在办公室前面的所有辛勤工作可能都白费了.

而如果你被审计的话,对HIPAA遵从性的“勾选”方法可能会有所帮助, 除非它包括对系统的持续监控, 你的病人数据可能会被泄露.

谬论# 4: OCR不会浪费时间去审核这些“小人物”.毕竟,该机构不是有更重要的事情要做吗?

这是不正确的. 各种规模的医疗保健组织都有资格接受审计. 想想这个警示性的故事:这是一个被报道的事件的结果, 马萨诸塞州的一位皮肤科医生被罚了150美元,一名员工的u盘从车里被偷了,被罚款5万.

不管组织的规模大小,对不遵守规定的罚款都可能很高. 如果你还没有这样做的话, 现在可能是进行风险评估并做出适当调整的好时机. OCR不会因为你小就给你让步,但他们 将 考虑诚信,努力遵守.

数据安全和HIPAA合规:不做任何假设

作为一个供应商, 你可能已经知道审计马上就要开始了, 但也许你不太确定这对你意味着什么. 用事实武装自己. 如有必要,请咨询外部来源, 但请注意,OCR正在为各种规模的医疗保健组织设置更高的标准. 你也可以考虑这么做. 你的生意和你的病人都指望着它.

点击这里 浏览更多有关HIPAA服务的资料.

最初发布在EMR上 & HIPAA.

友情链接: 1 2 3 4 5 6 7 8 9 10