标准简介
《健康保险流通与责任法案》(HIPAA)是美国于 1996 年 8 月颁布的基础性联邦法律,旨在保护敏感的患者健康信息,防止未经患者同意或知情而被披露。HIPAA 建立了保护受保护健康信息(PHI)的国家标准,确保医疗保健提供者、健康计划、医疗保健清算所及其业务合作伙伴实施适当的安全措施。该法律包括多项规则,包括隐私规则(2003 年 4 月生效)、安全规则(2005 年 4 月生效)和违规通知规则(2009 年 9 月可执行)。HIPAA 适用于'受保实体'(进行电子交易的医疗保健提供者、健康计划和医疗保健清算所)以及代表受保实体处理 PHI 的'业务合作伙伴'。
HIPAA 合规要求实施三类安全措施:行政措施(政策、程序、培训)、物理措施(设施访问控制、工作站安全)和技术措施(访问控制、加密、审计控制)。隐私规则管理 PHI 的使用和披露,赋予患者访问其记录、请求更正和接收披露说明的权利。安全规则专门针对电子 PHI(ePHI)保护,通过必需和可寻址的实施规范。最新更新包括 2024 年生殖健康隐私规则和 2025 年提议的网络安全增强措施,以应对勒索软件和黑客威胁。美国卫生与公众服务部民权办公室(OCR)通过审计和调查执行 HIPAA,每次违规的罚款从 100 美元到 50000 美元不等,每类违规每年最高可达 150 万美元。2024-2025 年 HIPAA 审计计划重点关注与网络安全威胁相关的安全规则合规性。
受保护的健康信息
建立保护可个人识别健康信息(PHI)的国家标准——包括电子、纸质和口头形式。
安全规则保障措施
要求实施管理、物理和技术保障措施,以确保电子受保护健康信息(ePHI)的保密性、完整性和可用性。
违规通知
在发现未受保护 PHI 违规后 60 天内,必须通知受影响的个人、HHS,以及(针对大规模违规)媒体。
list_alt 关键规则
- 隐私规则——限制 PHI 的使用和披露
- 安全规则——针对 ePHI 的管理、物理和技术保障措施
- 违规通知规则——60 天通知要求
- 执法规则——调查和处罚程序
- 最小必要标准——将 PHI 限制在所需范围内
- 必须签订业务伙伴协议(BAA)
- 患者有权访问其健康记录
谁需要合规?
受管制实体(健康计划、医疗保健信息交换所、开展电子交易的医疗服务提供者)及其创建、接收、维护或传输 PHI 的业务伙伴。
关键要求
风险分析
对组织持有的 ePHI 的保密性、完整性和可用性所面临的潜在风险和脆弱性进行准确而全面的评估。
访问控制
实施技术策略和程序,将对 ePHI 的访问限制为仅已获授权的人员和软件程序。包括唯一用户 ID、紧急访问和自动注销。
业务伙伴协议
与代表贵方创建、接收、维护或传输 PHI 的所有业务伙伴签订书面合同。BAA 必须明确允许的用途并要求实施保障措施。
审计控制
实施硬件、软件和/或程序机制,以记录和检查包含或使用 ePHI 的信息系统中的活动。
员工培训
对所有员工进行 HIPAA 政策和程序的培训。对违反政策的员工实施相应的处罚。
实施路线图
准备与界定范围
确定您的组织是covered entity还是business associate,并识别所有创建、接收、维护或传输PHI和ePHI的系统、工作流程和供应商。任命隐私官和安全官,梳理数据流,并绘制PHI在本地与云环境中的分布位置。
差距分析与风险分析
开展Security Rule所要求的风险分析,识别对ePHI的机密性、完整性和可用性构成的威胁与脆弱性。将当前做法与Privacy、Security和Breach Notification规则进行比对,记录差距并根据可能性和影响确定整改优先级。
实施保障措施
部署管理、物理和技术层面的保障措施,例如访问控制、审计日志、对传输中和静态ePHI的加密以及员工培训。与所有处理PHI的供应商签署Business Associate Agreements (BAAs),并制定政策、程序以及事件响应和违规通知流程。
审计与维护
建立持续监控、定期更新风险分析和内部审计机制,以便在系统和威胁演变时保持合规。审查BAA、重新培训员工、测试事件响应,并将文档至少保留六年,以向HHS OCR证明问责能力。
合规检查清单
checklist 管理保障措施
checklist 技术保障措施
checklist 违规与事件响应
处罚与执行
根据过错程度,民事处罚为每次违规 141 美元至 2,134,831 美元。故意滥用的刑事处罚最高可达 25 万美元罚款和 10 年监禁。HHS OCR 通过审计和调查进行执法。
常见问题解答
谁必须遵守HIPAA?
expand_more
HIPAA适用于covered entities,包括健康计划、医疗信息交换机构以及为特定交易以电子方式传输健康信息的医疗服务提供者。它同样适用于business associates,即代表covered entity创建、接收、维护或传输PHI的供应商和分包商。这两类主体都直接受HIPAA规则约束并承担责任。
什么是PHI和ePHI?
expand_more
PHI即受保护健康信息,是covered entity或business associate以任何形式持有或传输的可识别个人身份的健康信息。ePHI就是以电子形式创建、存储或传输的PHI,也是HIPAA Security Rule的具体关注对象。两者都必须防止未经授权的使用和披露。
什么是BAA,何时需要它?
expand_more
Business Associate Agreement (BAA)是一份书面合同,约束处理PHI的供应商保护该数据并仅在允许范围内使用。每当covered entity向business associate披露PHI,以及每当business associate使用会接触PHI的分包商时,都需要签署BAA。若未签署BAA,向供应商共享PHI通常构成HIPAA违规。
Security Rule的保障措施类别有哪些,什么是必需的风险分析?
expand_more
HIPAA Security Rule将保护措施划分为三类:管理保障措施(政策、培训和风险管理)、物理保障措施(设施访问和设备控制)和技术保障措施(访问控制、审计控制、完整性和传输安全)。管理保障措施的基石是风险分析,即对ePHI的机密性、完整性和可用性所面临的威胁与脆弱性进行系统性评估。风险分析是明确要求的,HHS OCR在执法行动中经常指出其缺失。
违规通知的时限和门槛是什么?
expand_more
根据Breach Notification Rule,covered entities必须在发现违规后不无理拖延地通知受影响个人,且不得晚于60天。影响500人或以上的违规还必须在该60天窗口内报告给HHS OCR和主要媒体。规模较小的违规可以记录在案,并在日历年度结束后60天内每年向HHS OCR报告一次。
HIPAA违规的处罚有哪些?
expand_more
民事罚款根据过错程度分级,从不知情的违规到故意疏忽不等。罚款按每次违规计算,并对相同违规类别设有每年上限,该上限会定期根据通货膨胀调整,每个类别每年可达约190万美元。情节恶劣的违规还可能招致刑事起诉和声誉损害。
HIPAA是否要求加密?
expand_more
HIPAA将加密归类为可斟酌的实施规范,而非严格强制要求,这意味着您必须在合理且适当的情况下实施加密,或记录为何采用等效的替代方案。实践中,对传输中和静态ePHI的加密是一项有力的保障措施,若已正确加密的数据丢失,还可享有免于违规通知的安全港。多数组织实际上将加密视为必需。
对于云和SaaS供应商应考虑什么?
expand_more
存储或处理ePHI的云和SaaS提供商属于business associates,在共享任何PHI之前必须签署BAA。您仍需负责核实供应商的保障措施、理解共享责任模型,并确保您自身一侧的配置(例如访问控制和加密)正确无误。使用合规的提供商并不会转移您在HIPAA下的自身问责。