随着出版 审计协议由OCR, 卫生与公众服务部正在为医疗保健提供商和业务伙伴提供深入了解,如果他们被选中接受审计,他们可能会面临的问题. 

什么是OCR HIPAA审核计划?

OCR HIPAA审核程序是用来分析过程的, 控制, 以及选定的涵盖实体和业务伙伴的政策. OCR已经建立了一个全面的审计协议,其中包含通过这些性能审计来评估的需求. 整个审计协议是围绕模块组织的, 表示不同的隐私元素, 安全, 和违反通知.

协议覆盖范围包括什么?

根据OCR, 多个需求的组合可能会根据所覆盖的实体或选择进行审查的业务伙伴的类型而有所不同. 协议覆盖范围包括:

  • 隐私规则要求(1)PHI隐私惯例的通知, (2)请求PHI隐私保护的权利, (3)个人对PHI的访问, (4)管理要求, (5) PHI的使用和披露, (6) PHI的修正, (七)披露会计.
  • 管理、物理和技术安全保障的安全规则要求.
  • 违反通知规则的要求.

预计接下来的几轮审计将以“案头审计”的综合方法为基础,这种方法将远程执行,并对选择的实体进行更全面的现场审计. 新协议的覆盖范围较宽,共有180个领域,而试点审计项目使用的版本有165个领域.

有了OCR的新指导, 对于遵守HIPAA规定的组织来说,这是一个完美的时机,可以重新检查他们对法规标准的遵守情况,以及他们对可能的审计的准备情况. 在最后一小时仓促地响应审计请求不是成功的秘诀.

我们如何准备OCR审核?

准备审计的时间是在您被选中之前. 但是,如果你已经被选中了,我们仍然可以让你做好准备.

现在是准备的时候了, 知道你可能会在某个时候被要求出示服从的证据. 请记住,审计不是强制行动.

OCR审计的目标是什么?

OCR审计计划的既定目标是在广泛覆盖的实体和业务伙伴中衡量HIPAA的整体合规性. 这些数据将被美国卫生与公众服务部用于评估该明升体育app下载安全的整体健康状况,并确定哪些地方可能需要额外的推广或教育. 如果您被通知您的组织已被选择进行OCR审计, 以下是关于您想要做什么的指导方针.

如果您被选中进行OCR审计,请使用“动员”!

组装你的团队. 这个团队应该包括您的隐私和安全官员以及您组织的合规官员(如果有的话). 通知您的内部和/或外部法律顾问也是一个好主意,这样他们就可以随时通知OCR的所有请求和您向OCR提供的答复. 在必要时,随时准备好你的建议,为你提供指导.

及时、完整地回应. 如果您被通知您已被选中进行审计, 你也会得到关于如何以及何时回复的指示. 有书面证据表明,如果OCR发现了重大的违规发现,不响应只会让事情变得更糟. 确保在审计过程中对所有交易都有完整的记录, 任命一个人来负责所有与审计相关的通信是一个好主意.

OCR的一些附加指导要点包括:

  • 只有按时提交的数据才会被评估.
  • 所有文件必须是截止申请日期的最新文件.
  • 如果你的工作是案头审计, 审核员将没有机会联系您进行澄清或要求您提供更多信息, 因此,您的文档必须充分反映程序.
  • 不要提交额外的资料,因为这会增加审核员评估所需项目的难度.
  • 未能对请求提交答复可能导致提交区域合规审查.

回答时要谨慎,不要羞于提出你认为不准确的发现. 从历史上看,OCR允许组织对确定的问题做出响应. 准备好用事实来证明您的立场,并解释您所做的关于遵从性和安全策略的决定的基本原理. 在许多领域,HIPAA缺乏明确的方向,这对您是有利的, 假设您可以演示一种经过深思熟虑的、合理的方法来遵守所有的标准. 希望你的OCR审核能顺利进行. 如果您在遵循标准和构建您的安全程序方面做得很好, 这份报告很少或根本不需要采取后续行动. 如果不是, 您可能会接受自愿的遵从性活动或更深入的遵从性审查. 确定重大问题的遵从性审查可能需要额外的纠正措施,或者可能导致解决方案的协议. 在这些情况下, 最好是聘请精通OCR的律师和顾问.

如果您的OCR审计是正在进行的OCR审计计划的一部分, 请注意,随机审计的目的是衡量更大群体的遵从性. 不只是你. OCR负责教育和装备组织的合规策略, 这个任务的一部分必然包括一定数量的审计,以发现组织是如何执行的.

OCR审核准备清单

如果您被选中进行OCR审计,您的企业需要准备以下内容:

  1. 风险分析
  2. 风险管理计划的证据(e.g. 已知风险列表,以及你如何处理这些风险)
  3. 策略和程序以及如何实现它们的描述
  4. 业务伙伴的库存及相关的合同和BAAs
  5. 计算ePHI的存储位置(内部), 打印出来, 移动设备和媒体, 第三方)
  6. 如何监控移动设备和移动媒体(u盘、cd、备份磁带)
  7. 有关违约报告政策的文件,以及您如何应对违约
  8. 曾接受保安训练的记录
  9. 加密能力的证据

OCR将期望组织以高度客观的态度评估他们自己的程序和相应的ePHI安全性. 如果你要引入新的商业策略, 安装新的信息系统或瞄准新的市场, 你将被要求分析你每一个计划的风险. 在他们的试点项目中, OCR发现,他们审计的三分之二的组织没有进行完整而准确的风险分析.

这一次,我们鼓励你不要成为其中的一员.

医疗保健机构应如何准备OCR审计

您的医疗保健组织如何高效、有效地演示遵从性? 让我们看看准备OCR审计的基本步骤.

消除HIPAA的误解

第一个, 关于HIPAA的合规和执行有太多的流言蜚语, 澄清什么是审计是很重要的, 他们不是什么.

OCR审计不等同于强制执行行动. 而不是, 它们是衡量整个行业中被覆盖实体之间HIPAA合规性的广泛努力的一部分, 并最终确定需要更好地保护医疗保健数据的公共领域.

因此,如果您收到被选中进行审计的通知,不要惊慌. 你可能在显微镜下,是的,但这并不是因为你做错了什么. 关键是有效的准备.

如何以及何时应对OCR

您最关心的问题之一应该是收集审计人员将寻找的信息. 这将有助于简化过程,并帮助您评估自己的准备情况. 如果您被选中进行审计,OCR将为您提供如何准确答复的指示.

这些指示也会告诉你何时回应,这是同样重要的一点. 只有您按照时间表提交的信息才会被评估, but that does not give you an advantage; we’ve seen evidence that being slow-to-respond can compound your difficulties if you are ultimately found to be out of compliance in a significant way.

记住这一点, 及时与OCR进行通信, 遵守他们设定的时间表. 通常,指派一个人负责这些沟通是合适的. 确保您的信息在请求时是最新的, 并且不要发送OCR没有要求的数据. 在审核过程中,要确保对所有的往来都做全面的记录.

建立正确的OCR审计响应团队

为了有效地响应审计,您需要合适的团队. 这意味着您组织中的安全和隐私官员, 有关高级决策者, 还有你的合规官, 如果你已经指定了一个.

你的法律顾问, 无论是内部还是外部, OCR审核响应团队的另一个重要组成部分. 在整个过程中保持它们是最新的, 让他们可以访问你的组织和OCR之间的所有通信.

在你的组织, 透明度和有关官员之间的协调绝对是关键.

当你有顾虑的时候说出来

在审计过程中及时提供帮助是很重要的, 但这并不意味着你应该害羞或过度恭顺. 如果OCR提供了一个您认为不准确的发现, 你应该大声说出来——OCR通常会给组织提供回应他们提出的问题的机会.

当然, 如果你质疑OCR的发现, 你应该随时准备用事实证明你的主张. 尽可能使用书面证据,并能够证明您的安全和合规策略.

关于HIPAA需要记住的一件关键事情是,您有一定的灵活性,可以以各种方式满足它的许多要求, 但是您必须能够为您的决定提供基本原理. 最近, 我们讨论了组织如何使用各种会话超时的方法,以满足HIPAA实现规范在访问ePHI的设备上进行自动注销.

接下来的步骤

当你用OCR进行交流时,要清晰和深思熟虑. 仔细设计你的信息, 并以透明的细节提供所要求的信息——但避免提供任意或多余的数据. 所有的回复都要及时, 并确保你有一个合格的和响应及时的团队来处理审计过程.

如果您的报告发现了问题该怎么办?

在这种情况下, 您可能会被要求进行自愿合规活动, 或者是更详细的回顾. 对于非常严重的问题, your organization may be required to take actions to correct your issues; in some cases, 你可能需要通过决议协议. 在这种情况下, 我们建议与有处理OCR经验的顾问和律师合作.

对许多人来说,审计是一种伤脑筋的经历, 但你可以采取措施,将风险和干扰都降至最低. 如果您已经做好了适当的准备,并将强大的遵从性措施与强大的安全程序放在一起, 在你的报告之后,你应该有最少甚至不需要的后续活动. 用正确的行动, 你可以顺利通过审核,把注意力集中在帮助病人上.

友情链接: 1 2 3 4 5 6 7 8 9 10