当谈到OCR的HIPAA审计时, 一些受保实体和业务伙伴已做好准备, 而很多人不是. 甚至一些认为自己符合法规的组织也会做不到. 如果你是医疗保健提供者, 健康计划或医疗保健信息交换中心(或您向他们提供服务), 现在是时候客观地审视你现有的政策和程序,并评估你的风险程度.
明升体育app下载免费导游, 解密OCR审计特性:
不知道从哪里开始? 本指南为如何准备OCR审核提供了一个框架.
HIPAA安全遵从性有一组基本原则,这些原则是不可协商的, 每个组织在如何将这些需求纳入其自己的HIPAA安全遵从性策略方面都有一定的余地. 换句话说,您对遵从性的选择将取决于您自己.
HIPAA安全遵从性具有一定程度的灵活性, 因为该法律旨在允许各种规模的组织优化资源,并根据风险提供适当的保护. 任何给定的被覆盖实体或业务伙伴将控制就位的能力将根据规模而有所不同, 数据的性质, 技术约束和预算限制. 但是,尽管HIPAA规则倾向于考虑您组织的约束, 你所做的每一个决定都必须是合理的.
最终, 您选择的安全保障措施及其应用的级别将基于您如何评估任何给定领域的风险. 取, 例如, 自动下线的需求, 安全规则下的可寻址标准. 由于许多应用程序缺乏自动注销的功能——在一些谨慎的设置中,自动注销用户是不合适的——许多组织依赖于会话超时或自动屏幕保护程序,它们会在一段时间不活动后使屏幕变为空白. 用户必须输入密码才能重新获得访问权限. 目标是防止未经授权的各方在无人值守的工作站上查看健康信息.
这类暴露的风险差别很大, 取决于设置, 各工作站的位置和定位. 例如, 假设您是检查室的授权人员,负责记录患者的生命体征和病史. 你走出办公室,从医生那里得到某种形式的证明. 理想情况下,你会记得锁上键盘. 但是如果你忘记了呢? 在这个场景中, 最好将你的工作站快速设置为超时,这样你的病人就不能开始翻阅他或其他人的病历了. 但需要在暂停治疗与适当的病人护理之间进行权衡.
如果上面的场景发生在急诊室, 短暂的暂停可能不利于及时对病人作出反应. 那把工作站放在手推车上呢? 如果任其发展, 任何人 路过的人被邀请去看屏幕上有什么. 这里,我们可能会看到一个短暂的暂停.
除非程序规定,在没有授权人员在场的情况下,手推车永远不能离开——除非它在护士站后面. 在这种情况下, 只要你的员工训练有素, 为了方便起见,您可能希望将超时设置得更长. 不管你的决定如何, 您将需要为您选择的内部标准提供一个合理的理由. 当有疑问时,最好遵循每个需求的行业标准. 如果你打算偏离常规, 尤其重要的是,你要有一个充分的理由来解释为什么.
以下是您在检查规则并为即将到来的OCR审计做准备时需要记住的基本内容:
