关键外卖:

  • 恢复HIPAA审核: HHS OCR将重新启动随机HIPAA审计,以确保符合数据隐私和安全.
  • 故障率高: 覆盖实体在过去的风险分析和管理审计中有80%以上不合格.
  • 执行重点: OCR将优先执行HIPAA安全规则的风险分析要求, 特别是对于较小的组织.
  • 制备方法: 组织应做好准备,保持准确的记录, 组建响应小组, 及时响应审计请求.

HIPAA审计:HSS OCR恢复HITECH法案

由于疫情,美国最初停止了援助.S. 美国卫生与公众服务部(HHS)民权办公室(OCR)透露了他们的意图 恢复随机HIPAA审核 这个月.

这些审计旨在保证医疗保健机构遵守HIPAA, 所以要保护病人的隐私和安全. 这一行动表明了对HIPAA合规性的全新重视, 因此,这意味着可能会对医疗保健行业的违规行为进行处罚.

而94%的受保企业和88%的业务伙伴未能通过风险管理审计, 在OCR 2016年至2017年进行的上一轮审计中,86%的受调查实体和83%的商业伙伴未能通过风险分析审计.

根据卫生与公众服务部民权办公室主任的说法, 梅兰妮·方特斯·雷纳, HIPAA安全规则对进行风险分析的要求将是执行重点的关键领域. 风险分析仍然是许多各种规模的受监管组织的一个重大弱点, 尤其是对于中小型企业. 糟糕的风险分析实践一直是向该机构报告的许多重大违规行为的主要促成因素.

什么是OCR HIPAA审核计划?

随着出版 由OCR审计协议, 卫生与公众服务部为医疗保健覆盖实体和商业伙伴提供了深入了解他们在被选中进行审计时可能面临的问题的信息.

OCR HIPAA审核程序旨在分析流程, 控制, 以及选定的承保实体和业务伙伴的政策. OCR建立了一个全面的审计协议,其中包含通过这些绩效审计评估的需求. 整个审计协议是围绕模块组织的, 代表不同的隐私元素, 安全, 违约通知.

协议的覆盖范围包括什么?

根据OCR, 多个需求的组合可能会根据选择进行审查的覆盖实体或业务伙伴的类型而变化. 协议范围包括:

  • 隐私规则对(1)PHI隐私实践通知的要求, (2)要求PHI隐私保护的权利, (3)个人对PHI的访问, (4)行政要求, (5) PHI的使用和披露, (6) PHI的修正, (七)披露事项的会计处理.
  • 管理、物理和技术保障的安全规则需求.
  • 违反通知规则的要求.

最新的协议覆盖范围很广, 总共有180个领域,而在最初的试点审计计划中使用的版本中有165个领域.

在OCR的指导下, 对于在HIPAA下有合规义务的组织来说,这是一个完美的时机,可以重新检查他们对监管标准的遵守情况,以及他们是否准备好接受可能的审计. 在最后一小时匆忙回应审计请求并不是成功的秘诀.

我们如何为OCR审计做准备?

准备审计的时间是在你被选中之前. 如果你已经被选中了,我们仍然可以帮你准备.

现在是准备的时候了, 知道你可能会在某个时候被要求出示遵守规定的证据. 请记住,审计不是强制行动.

OCR审计的目标是什么?

OCR审计计划的既定目标是衡量各种覆盖实体和业务伙伴的总体HIPAA遵从性. 这些数据被HHS用于评估行业网络安全的整体健康状况,并确定哪些地方可能需要额外的推广或教育. 如果您被通知您的组织已被选中进行OCR审核, 以下指导方针将有助于您的回答.

如果你被选为OCR审计,动员起来!

组建你的团队. 该团队应该包括您的隐私和安全官员以及您组织的合规官员(如果您有的话)。. 通知你的内部和/或外部法律顾问也是一个好主意,这样他们就可以随时了解OCR的所有请求和你向OCR提供的回复. 让你的顾问随时待命,以便在必要时为你提供指导.

及时完整地回应. 如果通知您已被选中进行审计, 你也会得到如何以及何时回复的指示. 有书面证据表明,如果OCR发现了重大的违规行为,不回应只会让事情变得更糟. 确保你在审计过程中保留所有交易的完整记录, 任命一个人来监督所有与审计相关的信件也是一个好主意.

OCR的一些额外指导要点包括:

  • 只有按时提交的数据才会被评估.
  • 所有文件必须是截止申请日期的最新文件.
  • 如果你的工作是办公桌审计, 审核员将没有机会与您联系以澄清或要求提供额外信息, 因此,您的文档充分反映程序是至关重要的.
  • 不要提交多余的信息,因为这会增加审核员评估所需项目的难度.
  • 未能提交请求的答复可能导致转介进行区域合规审查.

精心设计回答,不要羞于质疑你认为不准确的发现. 从历史上看,OCR允许组织对确定的问题做出响应.

准备好用事实来证明你的立场,并解释你关于遵从性和安全策略决策的基本原理. HIPAA在许多方面缺乏具体的指导,这对您是有利的, 假设您可以演示符合所有标准的深思熟虑和合理的方法.

希望您的OCR审核能够顺利进行. 如果您在处理遵从性标准和构建安全程序方面做得很好, 这份报告几乎不需要后续行动. 如果没有,您可能会受到自愿合规活动或更深入的合规审查的影响.

识别重大问题的合规性审查可能需要额外的纠正措施或导致解决协议. 在这些情况下, 最好聘请精通OCR工作的律师和顾问.

如果您的OCR审核是正在进行的OCR审核计划的一部分, 请注意,随机审计的目的是衡量更大群体的遵从性. 不只是你. OCR负责为组织提供合规策略的教育和装备, 这项任务的一部分必然包括一定数量的审计,以找出组织的执行情况.

OCR审核准备清单

如果您的企业被选中进行OCR审计,以下是您的企业需要准备的内容:

  1. 进行全面的风险分析.
  2. 提供风险管理计划的证据; 包括已知风险的列表和解决这些风险的策略.
  3. 记录政策、过程和解释 他们的应用.
  4. 保持业务伙伴的库存; 以及相关合同和业务合作协议(BAAs).
  5. 说明ePHI存储位置; 涵盖内部存储、打印输出、移动设备、媒体和第三方.
  6. 监控移动设备和媒体; 比如u盘、cd和备份磁带.
  7. 文件泄露报告政策 并提供对违规行为的回应记录.
  8. 记录安全培训课程 已经进行过的.
  9. 显示加密功能的证据 保护敏感资料.

OCR期望组织以高度客观的态度评估其程序和ePHI的安全性. 如果你正在引入新的商业策略, 安装新资讯系统, 或者瞄准新市场, 您将需要分析每个计划的相关风险.

在他们的试点项目中, OCR发现三分之二的被审计组织缺乏完整和准确的风险分析.

确保合规性并保护您的组织, 进行彻底和精确的风险分析是至关重要的. 现在采取这些步骤可以帮助您避免成为该统计数据的一部分,并更好地为OCR审计做准备. 优先考虑您的风险管理工作,以保护您的ePHI并保持您运营的完整性.

OCR审计要点清单

实现增长和医疗保健合规性的全面解决方案

虽然管理一家盈利的公司是必要的,但遵守法规只是强制性的. 一个强大的信息安全计划可以让你的管理团队对你的公司所面临的危险有重要的了解, 所以指导性决策. 提供合理的, 价格合理的解决方案迎合了您的特定风险情况, LBMC网络安全以产生实际成果和明确的投资回报而脱颖而出.

LBMC网络安全在帮助医疗保健公司达到合规性和支持扩展方面发挥了重要作用. 高级数据安全解决方案, 组织程序, 明升体育app下载数据安全专业团队非常了解医疗监管政策. 风险评估, 渗透测试, HIPAAHITRUST 评估, SOC 1和SOC 2审计 HIPAA映射, 安全项目咨询、CMS信息安全; GDPRACAB 评估, 入侵检测和防御, 漏洞管理包括我们完整的服务.

准备好检查你的安全问题了? 明升体育app下载的团队 确保您的医疗保健组织受到保护并符合要求.

提供的内容 亚当·纳恩加勒特Zickgraf、LBMC网络安全.