2022年4月4日,美国卫生与公众服务部(HHS)发布了一份信息征询函(RFI),旨在征求受《健康保险流通与责任法案》(HIPAA)约束的实体及业务合作伙伴对以下问题的意见:行业如何理解并实施《健康信息技术经济与临床健康法案》(HITECH Act)所定义的"公认安全实践"。 该信息征询函同时要求行业就以下问题提供意见:因违反HIPAA规则而遭受损害的个人应获得何种补偿。
《HITECH法案》于2021年修订,要求卫生与公众服务部(HHS)在确定罚款、审计结果或其他补救措施以解决潜在违反《HIPAA安全规则》的行为时,需考虑受规管实体及其业务合作伙伴在过去12个月内实施的"公认安全实践"。 《HITECH法案》虽未强制要求受管实体及业务合作伙伴实施"公认安全实践",但要求此类实践须符合《HIPAA安全规则》。HHS考量时所依据的安全实践,必须符合修订后《HITECH法案》对"公认安全实践"的定义:
在信息征询函中,HHS指出,组织仅"建立并记录"采用公认安全实践的做法是不够的。 HHS强调:"实体还必须证明这些措施已全面实施,即在相关期间内(即12个月追溯期)被覆盖实体或业务合作伙伴积极且持续地采用。"值得注意的是,《HITECH法案》并未明确规定何种行为将启动12个月追溯期的起算点。
然而,实体在数据事件或投诉发生后收到HHS调查函时仓促制定的安全计划,通常难以满足规定的追溯期要求。因此,实体应评估自身安全措施是否达到《HITCH法案》对"公认安全措施"的标准。若未达标,则需迅速采取行动使安全措施符合要求,从而启动12个月追溯期的计时程序。
在征询意见书中,卫生与公众服务部特别要求就以下问题征求意见:
本次信息征询为受《健康保险流通与责任法案》(HIPAA)监管的实体提供了绝佳契机,使其能够向卫生与公众服务部(HHS)说明自身如何落实公认的安全实践,并提出HHS应发布哪些潜在信息或澄清事项。 受监管实体可借此机会阐明已实施的安全框架及其选择依据,尤其当实体采用的框架非《HITECH法案》中规定的NIST法案或《网络安全法案》框架时。若受监管实体对其所选框架的充分性存疑,HHS可在回应信息征询反馈时提供相应说明。
对信息征询函的回复应包含对实体已实施措施的描述,并简要说明这些措施如何满足《HITECH法案》定义中的要求。实体还可借此机会界定其认为应作为安全实践12个月追溯期起点的事件或行动。 通过向HHS提交安全实践的实施现状或计划实施方案,各实体可协助形成符合医疗保健机构实际风险与挑战的《HITECH法案》相关条款解读。
卫生与公众服务部(HHS)同时就以下问题征求意见:在向因违反《健康保险流通与责任法案》(HIPAA)而受损害的个人分配民事罚款(CMPs)及金钱赔偿时,应考虑哪些类型的损害。目前,损害尚未明确定义。具体而言,HHS希望就以下问题获得反馈:
意见必须在2022年6月6日或之前提交。
