美国《健康保险便携性和责任法案》(HIPAA)的制定是为了确保敏感的受保护健康信息(PHI)不会在未经患者同意的情况下被披露。HIPAA 包括《安全规则》(Security Rule)和《隐私规则》(Privacy Rule),《安全规则》为持有电子存储的受保护健康信息 PHI(ePHI)的机构制定了保障措施,《隐私规则》则为未经患者授权使用和披露此类信息设定了限制和条件。
尽管 HIPAA 法规与健康计划、医疗保健信息交换中心和一些医疗保健提供商等 "承保实体 "的关系最为密切,但它也适用于 "业务关联方"--可访问 PHI 的第三方供应商。这大大增加了必须遵守 HIPAA 要求的组织数量,以及医疗服务提供者必须评估的第三方数量。
HIPAA 如何定义受保护信息:隐私与安全
HIPAA 隐私规则》将受保护的健康信息 (PHI) 定义为 "承保实体持有的与个人健康状况、医疗保健服务的提供或医疗保健服务的支付有关的任何信息"。
HIPAA 安全规则》专门涉及保护电子存储的 PHI(ePHI)。该规则规定,组织(称为承保实体)创建、接收、维护或传输的电子健康信息必须受到保护,以免受到合理预期的威胁、危害以及不允许的使用和/或披露。HIPAA 安全规则规定了有关安全标准的一般规则,包括管理、技术和物理保障措施。组织要求和记录在案的政策与程序完善了立法规范。
第三方风险与 HIPAA 有何关系?
各组织必须意识到关键信息的风险,包括其自身实体内部的风险,以及可访问电子健康信息的第三方的风险。HIPAA 规定了这一要求,并将 "组织 "一词扩展至承保实体和业务合作方。第 164.308(a)(1)(ii)(A)条规定:
风险分析(必填)。
对[机构]所持有的受保护电子健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确、全面的评估。
您可以通过供应商风险评估来评估供应商是否准备好满足您的安全预期。
核对表:业务合作方的 HIPAA 要求
医疗保健和相关组织必须确保业务合作方和其他第三方具备安全和隐私控制措施,以防止意外访问影响电子健康信息的保密性、完整性或可用性。为此,公司应进行全面的供应商风险评估。下表总结了需要评估的关键 HIPAA 要求。
| HIPAA 要求 | 这意味着什么 |
|---|---|
| 安全管理流程 行政保障 (§ 164.308(a)(1))(A) 风险分析(必填) 承保实体或业务协作方必须对承保实体或业务协作方所持有的受保护电子健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确、彻底的评估。 |
遵守 HIPAA 法规的第一步是进行全面的风险评估,包括内部风险评估和对可能接触 PHI 的第三方的风险评估。虽然有些组织尝试使用基于电子表格的调查表来进行评估,但这种方法并不适用。 |
| 安全管理流程 行政保障 (§ 164.308(a)(1))(B) 风险管理(必修) 实施足够的安全措施,将风险和漏洞降低到合理适当的水平,以符合 [HIPAA 安全标准]。 |
一旦确定了风险,组织就必须实施控制措施,将风险降至最低。 |
| 安全管理流程 行政保障 (§ 164.308(a)(1))(D) 信息系统活动审查(必填) 实施定期审查信息系统活动记录的程序,如审计日志、访问报告和安全事件跟踪报告。 |
由于两次年度评估之间可能会发生很多变化,组织应持续监控风险、合同执行情况和服务水平协议(SLA)。 |
| 业务合作合同及其他安排 (§164.308(b)(1))只有在承保实体根据§164.314(a)获得令人满意的保证,即业务合作方将适当保护信息的情况下,承保实体才可允许业务合作方代表承保实体创建、接收、维护或传输受保护的电子健康信息。承保实体无需从作为分包商的业务协作者处获得此类令人满意的保证。 |
业务关联方合同是必需的,但聪明的合规和安全团队会要求提供合规和控制证据。 |
| 安全管理程序、行政保障措施 § 164.308(a)(6)实施规范:响应和报告(必填) 识别和应对可疑或已知的安全事件;在可行的范围内减轻承保实体或业务协作方已知的安全事件的有害影响;记录安全事件及其结果。 |
有些供应商可能不知道自己何时被攻破,或者没有及时报告事件,这可能会延迟平均发现时间(MTTD)和平均解决时间(MTTR),使组织面临潜在的漏洞。 |
| 安全管理流程,行政保障 § 164.308(a)(8)标准:评估。定期进行技术性和非技术性评估,评估最初以根据本规则实施的标准为基础,随后根据影响电子健康信息安全的环境或操作变化进行,以确定承保实体或业务协作方的安全政策和程序在多大程度上符合本分部分的要求。 |
所有组织都会经历人事变动,并定期实施新的政策和程序。在年度内部控制评估之间,受控实体必须持续监控网络、业务和财务情报,以了解供应商风险状况的重大变化。 |
| 政策和程序以及文件要求 (§ 164.316(b)(1))标准:文件 (i) 以书面(可以是电子)形式保存为遵守本分部分而实施的政策和程序;以及 (ii) 如果本分部分要求对某项行动、活动或评估进行记录,则以书面形式(也可以是电子 形式)保存该行动、活动或评估的记录。 |
在发生事故或审计时,或在业务关系过程中,组织必须提供支持政策、已识别风险和控制措施的证据。 |
遵守 HIPAA 的下一步措施
遵守 HIPAA要求对所有业务合作方的控制措施进行全面的内部和外部审查。使用手工电子表格在数百个第三方之间有效管理这一流程是不可能的。从根本上讲,企业应该
- 实现业务协作供应商入职和离职自动化,确保流程一致
- 对固有风险进行剖析、分级和评分,为全面风险评估决策提供指导
- 根据简化监管和标准映射的标准化内容评估业务关联方
- 集中管理所有业务关联方文件,包括合同、报告和证据
- 对网络安全、业务/声誉和财务信息进行持续监控,将风险与评估结果联系起来
- 使用预制的标准化模板,定期根据服务水平协议、性能和合规性进行报告
- 利用最佳实践指南,根据组织风险偏好指导补救决策
如需了解 HIPAA 第三方风险管理要求的完整清单以及 Prevalent 功能如何与之匹配,请阅读《HIPAA 第三方合规性检查表》或立即申请演示。要了解第三方风险管理如何适用于其他 20 多项法规,请下载《第三方风险管理合规手册》。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
