HIPAA 和第三方风险管理

1996 年健康保险可携性与责任法案》(HIPAA)的制定是为了确保敏感的受保护健康信息 (PHI) 不会在未经患者同意的情况下被披露。HIPAA 包括《安全规则》(Security Rule)和《隐私规则》(Privacy Rule),《安全规则》为持有电子存储的受保护健康信息(ePHI)的机构制定了保障措施,《隐私规则》则对未经患者授权使用和披露此类信息设定了限制和条件。

尽管 HIPAA 法规与健康计划、医疗保健信息交换中心和一些医疗保健提供商等 "承保实体 "的关系最为密切,但它也适用于 "业务关联方"--可访问 PHI 的第三方供应商。这大大增加了必须遵守 HIPAA 要求的组织数量和医疗服务提供者必须评估的第三方数量。

各组织必须意识到内部以及可访问电子健康信息的第三方的关键信息所面临的风险。HIPAA 规定了这一要求,并将 "组织 "一词扩展至承保实体和业务合作方。第 164.308(a)(1)(ii)(A)条规定"风险分析(要求)。对[组织]所持有的受保护电子健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确而全面的评估"。

通过供应商风险评估,可以评估供应商是否准备好遵守受保实体的安全预期。

相关要求

  • HIPAA 隐私规则》将受保护的健康信息 (PHI) 定义为 "承保实体持有的与个人健康状况、医疗保健服务的提供或医疗保健服务的支付有关的任何信息"。

  • HIPAA 安全规则》专门涉及保护电子存储的 PHI (ePHI)。

满足 HIPAA 安全规则 TPRM 要求

以下是 Prevalent 如何帮助您满足 HIPAA 第三方风险管理要求:

HIPAA 安全规则 45 CFR 第 160、162 和 164 部分 - 健康保险改革:安全标准;最终规则

我们如何提供帮助

安全管理程序
行政保障措施
(§ 164.308(a)(1))

(A) 风险分析(必填)

承保实体或业务协作方必须对承保实体或业务协作方所持有的受保护电子健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确、彻底的评估。

收集和分析评估结果后,PrevalentTPRM 平台会提供内置的补救建议和指导。通过清晰的报告和补救指导,该平台可确保风险得到识别、分析并升级到适当的渠道,从而使企业达到与其风险承受能力相适应的风险水平。

安全管理程序
行政保障措施
(§ 164.308(a)(1))

(D) 信息系统活动审查(必填)

实施定期审查信息系统活动记录的程序,如审计日志、访问报告和安全事件跟踪报告。

Prevalent 通过互联网和暗网威胁监测以及业务和金融风险分析,提供持续的风险视图,揭示可能影响风险的动态。

Prevalent 平台还可通过专门定制的合同评估问卷进行全面审查,并通过集中式供应商仪表板持续跟踪绩效指标。

Prevalent 拥有一个完整的资料库,其中包括在审查过程中收集和审查的所有文件,以及具体的合规性和安全框架报告。

业务合作合同及其他安排
(§ 164.308(b)(1))

只有在承保实体根据第 164.314(a)条获得业务协作方将适当保护信息的令人满意的保证时,承保实体 才可允许业务协作方代表承保实体创建、接收、维护或传输受保护的电子健康信息。承保实体无需从作为分包商的业务协作者处获得此类令人满意的保证。

Prevalent 的评估功能通过使用行业标准或定制调查(包括衡量信息保护措施的调查)自动收集、分析和纠正供应商的答复,简化了合规性并降低了风险。

尽管不是必需的,但 Prevalent 通过详细的关系映射,提供了第四方和第 N 方(如分包商)的可见性,为整个供应商生态系统的信息流提供了审计跟踪。

安全管理流程,行政保障
§ 164.308(a)(6)

实施规范:响应和报告(必填)

识别和应对可疑或已知的安全事件;在可行的范围内减轻承保实体或业务协作方已知的安全事件的有害影响;记录安全事件及其结果。

Prevalent Vendor Threat Monitor(VTM) 监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和财务信息的公共和私人来源,提供风险的实时可见性,使风险管理和安全团队能够立即采取行动。

Prevalent第三方事件响应服务通过集中管理供应商、进行事件评估、对已识别的风险进行评分以及获取补救指导,使企业能够快速识别第三方漏洞并减轻其影响。

安全管理流程,行政保障
§ 164.308(a)(8)

标准:评估。定期进行技术性和非技术性评估,评估最初以根据本规则实施的标准为基础,随后根据影响电子健康信息安全的环境或操作变化进行,以确定承保实体或业务协作方的安全政策和程序在多大程度上符合本分部分的要求。

Prevalent Vendor Threat Monitor 会提醒企业注意第三方业务的不利变化,并触发有针对性的评估,以应对临时的直接风险。早期警报可让企业有更多时间应对事件,内置的补救指导可帮助企业保护 PHI,避免 OCR 行动和声誉受损。

有些变化,如 COVID-19 大流行,迫使企业从根本上改变运营方式。Prevalent 的评估问卷包括一些问题,旨在揭示内部业务连续性差距和外部供应链薄弱环节,这些问题可能会对企业控制敏感 PHI 的能力产生负面影响,或促使企业考虑替代供应商。

政策和程序以及文件要求
(§ 164.316(b)(1))

标准:文件

  • (i) 以书面(可以是电子)形式保存为遵守本分部分而实施的政策和程序;以及
  • (ii) 如果本分部分要求对某项行动、活动或评估进行记录,则应保留该行动、活 动或评估的书面记录(可以是电子记录)。

Prevalent TPRM 平台包括合同、文件、证据和认证管理,具有内置版本控制、任务分配和集中式供应商档案中的自动审查步调。
此外,Prevalent 还能捕获和审核对话,并根据风险匹配文档或证据。直观明了的仪表板可提供任务、时间表、风险活动、调查完成状态、协议和相关文档的清晰概览。