健康保险可携带性和可访问性法案(HIPAA)是一项旨在保护美国境内患者医疗信息的法规。某些有权访问受保护健康信息(PHI)的组织需要实施HIPAA法规中概述的安全控制、流程和程序。
谁需要符合HIPAA标准,为什么?
HIPAA定义了两种需要遵守其要求的组织:
根据HIPAA,涵盖的实体和商业伙伴都必须遵守HIPAA。涵盖的实体由卫生与公众服务部(HHS)民权办公室(OCR)直接监管。HIPAA要求通过商业伙伴与涵盖实体的合同强制执行。
该法规仅适用于符合法律所涵盖实体或商业伙伴定义的组织。其他有权访问健康信息但未从涵盖实体接收的组织不受HIPAA法规的约束。例如,直接从用户那里收集健康信息但不是医疗保健组织的健康和健身应用程序的开发人员不需要遵守其指令。
这些组织可以从中受益。HIPAA描述了保护PHI的最佳实践,遵守这些最佳实践可以减少组织面临网络威胁的风险以及潜在数据泄露的可能性和影响。此外,在发生违规或安全事件时,遵守法规有助于证明公司进行了尽职调查并努力保护其客户的数据。
HIPAA分为两个主要规则:隐私规则和安全规则。除了这些规则之外,还有违反通知规则,它描述了组织应如何报告违反PHI的行为,以及综合规则,它扩展了HIPAA要求以包括业务伙伴。
隐私规则。个人可识别健康信息隐私标准(隐私规则)规定医疗保健组织应如何保护委托给他们的某些类型的健康信息。隐私规则定义了可以访问和披露PHI的情况。它还定义了涵盖实体应采取的保护PHI的保障措施,并赋予患者有关其PHI的某些权利。
安全规则。电子受保护健康信息保护安全标准(安全规则)描述了公司应为以电子方式存储或传输的受保护健康信息(PHI)实施的IT安全控制。它提供了组织必须具备的具体IT安全控制、流程和程序,以满足隐私规则中概述的数据保护要求。
HIPAA旨在保护患者向涵盖实体及其业务伙伴提供的PHI。HHS定义了十八种类型的PHI标识符,包括:
HIPAA合规性对于涵盖的实体是强制性的,这些组织可能会因不合规而受到处罚。HIPAA定义了四级违规:
大多数HIPAA违规包括有意或无意破坏PHI。一些常见的HIPAA违规行为包括:
实现HIPAA合规性是一个多步骤的过程。需要采取的一些关键步骤包括:
本文来源:国外服务器--什么是合规及合规风险(字母圈csj是什么意思)
本文地址:https://www.idcbaba.com/guowai/2726.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 1919100645@qq.com 举报,一经查实,本站将立刻删除。
