HIPAA 是一項聯邦法律,規範某些參與提供醫療保健的組織如何處理和保護健康資訊。
閱讀本文後,您將能夠:
複製文章連結
《美國健康保險流通與責任法案》(HIPAA) 是一項聯邦法律,規範如何處理和保護健康資訊。HIPAA 透過要求安全控制電子健康資訊和強制隱私做法來幫助確保健康資訊的保護。
HIPAA 影響兩種主要類型的組織:「涵蓋實體」,例如醫療保健提供者、健康計畫和醫療保健資訊交換所;以及所涵蓋實體的「業務夥伴」,例如計費公司、電子健康記錄 (EHR) 廠商、顧問或 IT 提供者。
受保護的健康資訊 (PHI) 是指與提供涵蓋實體和業務夥伴建立、接收、儲存或傳輸的醫療保健相關的任何可識別的個人健康資訊。PHI 是個人識別資訊 (PII) 的一種,後者是可用於識別個人身分的資料。
如果由涵蓋實體或業務夥伴處理,且資料與提供醫療保健相關,則以下資料欄位可能屬於 PHI:
一個重要的注意事項是,PHI 可能以書面資料、口頭資料、電子資料等多種形式出現。
假設 Michael 第一次去看全科醫生,該醫生的辦公室記錄了 Michael 的姓名和地址,獲取了他的健康保險信息,並口頭向他以前的提供者索取了他的醫療記錄。所有這些書面和口頭資料都被視為 PHI,必須受到保護。
現在假設 Michael 下週與這位醫生進行了遠距醫療預約。有關 Michael 線上活動的資訊(透露其遠距醫療預約的詳細資訊)也可能被視為 PHI,即使它是電子的,而不是書面或口頭資訊。
HIPAA 隱私權規則要求涵蓋實體和業務夥伴建立適當的隱私權保護措施和原則來保護 PHI。對於組織在未經個人同意的情況下可以對 PHI 進行的操作有嚴格的規定,並且隱私權規則授予個人瞭解其資料如何被使用和/或請求更正的權利。
HIPAA 安全性規則要求行政、實體和技術保障措施,以電子方式適當處理 PHI,包括確保安全的設施存取和裝置控制、指定安全人員、實作員工培訓,以及進行風險分析。
HIPAA 安全性和隱私權規則對於確保個人健康資訊得到適當保護非常重要,同時允許提供和促進高品質醫療保健以及保護公眾健康和福祉所需的健康資訊流動。考慮到醫療保健市場的多樣性、需要解決的用途和揭露的多樣性,以及醫療保健領域創新新技術的湧入(包括遠距醫療、遠端治療、電子健康記錄、基於裝置的健康監測和人工智慧輔助護理),這些規則尤其重要。特別是,這些新的創新技術都有其獨特的安全和隱私挑戰,組織需要根據 HIPAA 安全性和隱私權規則來解決這些挑戰。
違反 HIPAA 可能會導致嚴厲處罰和法律訴訟。一些最常見的違規行為包括:
想像一下,Michael 的醫生將包含 Michael 姓名、出生日期、社會安全號碼和醫療問題的患者表格留在候診室 24 小時,任何患者或工作人員都可以存取該表格。然後,想像醫生將 Michael 的健康資訊上傳到一個沒有密碼保護的線上入口網站。這兩種情況都是違反 HIPAA 合規性的範例。
對HIPAA 違規行為的處罰非常嚴重,從每次違規 100 美元到每年每項規定 150 萬美元不等。民權辦公室 (OCR) 根據嚴重程度和故意忽視程度對 HIPAA 違規行為進行分類。
雲端提供者必須與其客戶簽署符合 HIPAA 的業務夥伴協議 (BAA),才能建立、接收、維護或傳輸 PHI。BAA 要求雲端服務提供者為 PHI 提供適當的保護,並進行風險分析以識別潛在的漏洞。它還可能包括有關資料可用性、備份、災難復原和資料保留的具體說明。
雲端服務提供者也應對任何未經授權的 PHI 揭露、或未能保護 PHI 或未能將資料外洩通知相關機構承擔責任。
以下是確保 HIPAA 合規性的六項建議:
Cloudflare 提供基於雲端的網路、應用程式和企業安全服務,可以幫助組織滿足 HIPAA 安全性規則的嚴格技術要求,並避免無意中洩露或濫用 PHI,導致違反 HIPAA 隱私權規則。這些服務包括以下內容:
Cloudflare 的產品也符合業界認可的安全和隱私標準,包括 ISO 27001、ISO 27701、SOC 2 和《歐盟雲端行為準則》。雖然 HIPAA 沒有提供正式的合規性驗證,但 Cloudflare 的網路、管理基礎架構和程序符合 HIPAA 安全性和隱私權規則及相關法規。
深入瞭解全球連通雲內建的安全性、隱私權和合規性功能。