证明你的数据安全水平
而HIPAA安全遵从性有一组基本原则,这是不可协商的, 每个组织在如何将这些需求纳入自己的HIPAA安全遵从性策略方面都有一定的灵活性. 换句话说,你所做的关于遵守的选择将由你自己决定.
HIPAA安全遵从性具有一定程度的内在灵活性, 因为该法律旨在允许各种规模的组织优化资源,并根据风险提供充分的保护. 任何给定的被覆盖实体或业务伙伴放置控制的能力将根据大小而不同, 数据的性质, 技术限制和预算限制. 但是HIPAA规则倾向于考虑组织的约束, 你做的每一个决定都必须是你能证明的.
OCR审计:平衡合规和风险
最终, 您选择的安全防护措施以及它们应用的水平将基于您对任何特定领域的风险的评估. 取, 例如, 自动注销的要求, 安全规则下的可寻址标准. 由于许多应用程序缺乏自动注销的能力——在一些护理设置中,自动注销用户是不合适的——许多组织依赖于会话超时或自动屏保程序,它们会在一段时间不活动后使屏幕变成空白. 要重新获得访问权限,用户必须输入密码. 其目标是防止未授权方在无人值守的工作站查看运行状况信息.
这类接触的风险差别很大, 取决于设置, 每个工作站的位置和定位. 例如, 假设你是检查室的授权人员,负责记录病人的生命体征和病史. 你走出办公室,从医生那里得到某种类型的验证. 理想情况下,你会记得锁上你的键盘. 但如果你忘记了怎么办? 在这个场景中, 最好将您的工作站设置为快速超时,这样您的病人就不会开始翻阅他或其他人的病人记录. 但需要在暂停治疗和适当的病人护理之间进行权衡.
如果上述情况发生在急诊室, 短时间的暂停可能不利于及时响应病人. 那在滚动的推车上做工作站呢? 如果任其发展, 任何人 路过的人会被邀请去看屏幕上的内容. 在这里,我们可能会看到一个短暂的暂停.
除非程序规定,在没有授权人员在场的情况下,推车不能离开——除非它在护士站后面. 在这种情况下, 只要你的员工训练有素, 为了方便起见,您可能希望将超时设置得更长一些. 不管你的决定如何, 对于你选择的内部标准,你需要一个合理的理性. 当有疑问的时候,最好是坚持对每个要求的行业标准. 如果你打算偏离常规, 特别重要的是,你要有充分的理由来解释为什么.
OCR审计:决定安全保障措施
当你检查规则并为即将到来的OCR审核做准备时,以下是你需要牢记的基本要点:
- 行业标准: 在做任何决定时都要考虑行业标准. 像健康信息信任联盟(HITRUST)这样的框架可以帮助您做到这一点. HITRUST比HIPAA更具规定性,并提供了有关密码长度的建议, 超时等. NIST还发布了一份关于遵守安全规则的指南(NIST SP 800-66),可能会有所帮助.
- 环境: 考虑你自己的工作环境. 它的独特之处是什么? 它比其他环境更危险吗? 那么? 你可能需要 超过 行业标准,或者如果你在一个低风险的环境中,你可能会低于这个标准. 在所有情况下, 您仍然需要处理并满足安全规则所需的标准和实现规范.
- 文档: 为你所做的每一个决定记录理由. OCR审计会考虑到你是否很好地记录了每个审计背后的原因.