HIPPA 於 1996 年開始實施,提供有關資料隱私性和安全性的規範,以保障醫療資訊的安全。 截至 2017 年,有 86% 的基層開業醫師已將患者的醫療記錄數位化。 為了提供保密性、完整性和安全性相關標準, 美國衛生及公共服務部 (Department of Health and Human Services, HHS) 頒布 HIPAA 安全性規範。 遵循此規範被廣泛認為是保障電子受保護健康資訊 (ePHI) 安全性的最佳做法。
什麼是 HIPPA 安全性規範?
HIPAA 安全性規範規定相關國家標準,以保護個人由受管轄實體建立、接收、使用或維護的電子個人健康資訊。 安全性規範訂有適當的行政、實體和技術安全保障,以確保 ePHI 的保密性、完整性和安全性。
如果您的組織未遵守 HIPAA 會怎麼樣?
違規成本可能總計達數百萬美元。 但是,如果不遵循 HIPAA 安全性規定,還可能導致比財務損失更加嚴重的健康資料外洩。
確保 HIPAA 相關資料安全的藍圖
哪些是 HIPAA 安全性規範的適用對象?
HIPAA 安全性規範涵蓋個人和組織。 這些通常被稱為 HIPAA 涵蓋實體。 HIPAA 涵蓋的實體包括健康保險公司、HMO、雇主納保計畫、政府醫療保健計畫、資料交換所和醫療保健業者。
HIPAA 甚至能擴充至與受涵蓋實體合作的商業夥伴。 商業夥伴的範例包括會計師、資料分析師、顧問、收帳人員等。
身分治理因應的關鍵 HIPAA 領域是什麼?
保障 ePHI 的完整性
辨識和分析 ePHI 的潛在風險,並執行治理、風險和法規遵循原則,對弱點進行強化和補償
資訊存取管理/存取控制
瞭解哪些人有權存取哪些應用程式和資料,以及該存取權限被使用的情況。
活動日誌和稽核控制
自動產生所有關鍵應用程式和資料的稽核線索及存取報告,藉此降低法規遵循成本。 |
評估
定期評估安全性原則和程序。
瞭解更多關於
身分主題
身分治理如何協助確保 HIPAA 法規遵循
- 應用人工智慧/預測分析來監視和識別異常存取行為
- 一致地執行存取原則並對所有包含 ePHI 的應用程式加以控制
- 無論結構和非結構化 ePHI 儲存於何處,找到其位置並保障安全性
- 自動定期檢閱使用者存取權限
執行資料治理的步驟
針對您的醫療保健資料採用強力治理原則,這一點非常重要。 醫療保健產業需處理大量個人健康資訊,若沒有辦法治理誰有存取權限、如何獲得存取權限,以及關聯的各種風險,將很難管理和保護資料。
資料治理解決方案能協助醫療保健組織安全地共用資料、授予使用者授權,以及管理患者生命週期的健康資料。
依照以下步驟來執行適合您醫療保健組織的資料治理原則。
1. 辨識所有資料
任何資料治理系統的首要步驟皆為稽核機密資料,尤其是 PHI 和 ePHI。 您要建立資料階層來瞭解資料機密性、目前權限層級,以及遭外洩時會帶來的風險層級。
尤其務必瞭解權限層級,以建立資料治理的「最低權限」原則。 這個概念是限制使用者僅能存取其工作必需的資料。 這一點在處理高機密資料時尤其重要。
2. 清理資料
資料治理程序的另一步驟是資料清理和維護。 過時 (舊) 資料儲存成本太高,且可能會帶來潛在安全風險。 若過時資料的存放位置和使用方式不明確,會讓組織暴露於資料外洩的風險之中。 更不用說,過時資料被用於患者生命週期管理或患者資料儲存,還可能嚴重危及患者福祉。
3. 遵循政府標準
資料處理的方式若不一致,可能會導致違反如 HIPAA 等法律規定。 組織和使用者管理不佳會導致保護患者健康資料的能力受限。
為什麼法規遵循不足以確保醫療保健服務網路安全
實施治理式方法