鉴于针对医疗机构及其宝贵患者数据的成功网络攻击事件日益增多,监察长办公室(OIG)呼吁加强《健康保险流通与责任法案》(HIPAA)审计计划。公民权利办公室(OCR)在回应监察长办公室时指出,HIPAA审计预计将于今年晚些时候恢复,这意味着审计工作可能在2024年最后几周或2025年初启动。 OCR上次开展HIPAA审计是在2016-2017年,当时审计了166家覆盖实体和41家业务合作伙伴。OCR于2020年公布了这些审计的结果。
在2024年11月发布的报告中,监察长办公室重点指出两项主要发现:
为解决这些问题,监察长办公室向民权办公室提出多项建议,以完善其《健康保险流通与责任法案》审计计划。民权办公室于2024年8月致函回应监察长办公室的调查结果,该函件已随报告一并公布。以下是监察长办公室对民权办公室的建议及民权办公室的相应回应摘要:
监察长办公室报告包含了OCR对潜在HIPAA违规行为的执法流程摘要及示意图。简而言之,OCR会审查通过其投诉门户收到的投诉、被提请注意的事件或事故(例如通过违规报告、媒体、其他机构转介等渠道),或通过收到的投诉发现的违规模式。 凡涉及500人以上的违规报告,OCR必须启动调查。若发现严重合规问题或涉及不足500人的违规事件,OCR亦可启动调查。若存在刑事违法嫌疑,OCR将把案件移交司法部,该部门可在OCR民事调查之外开展刑事调查。
民权办公室(OCR)将收集各类证据以判定相关实体是否遵守《健康保险流通与责任法案》(HIPAA)规定。受HIPAA监管的实体依法必须配合投诉调查及合规审查。若OCR发现存在因故意疏忽导致的违规迹象,或认定违规性质与范围需采取进一步执法行动,则将推动达成和解协议——该协议包含和解金支付条款及强制性整改计划,以解决合规问题。 若OCR与受HIPAA监管的实体未能达成协议,或该和解协议条款遭到违反,OCR可启动正式执法程序,包括处以民事罚款。
关键要点在于,OCR已承诺重启HIPAA审计工作,且审计范围将较之前扩大。
为迎接审计工作的重启,相关实体及业务合作伙伴应全面审查其《健康保险流通与责任法案》(HIPAA)合规计划,包括确保具备最新且全面的HIPAA安全风险分析、足以满足HIPAA隐私规则、安全规则及违规规则要求的政策体系、员工HIPAA培训机制,以及在HIPAA要求范围内落实业务合作伙伴协议。
受监管实体还应确保其《隐私保护措施通知》包含HIPAA要求的全部内容,并按照HIPAA规定进行分发。如需了解本报告详情或数字健康/数据隐私相关的法律考量,请联系富乐律师事务所远程医疗与数字健康团队或网络安全与数据隐私团队。
