HIPAA、HITECH和HITRUST——全面解析医疗数据安全合规框架
医疗保健行业及相关合作组织常听到HIPAA、HITECH和HITRUST合规要求,但可能不清楚它们的具体含义及相互关系。本文将通过解释这些框架的异同来澄清这一问题。
HIPAA
《健康保险携带和责任法案》(HIPAA)是一项最初于1996年通过的法律,包含五个部分,每部分涵盖不同主题:
| 标题 | 目的 |
|---|---|
| 标题 I | 保护工人及其家属在更换或失去工作时的健康保险覆盖 |
| 标题 II | 建立电子医疗交易标准并要求其使用 |
| 标题 III | 为税前医疗账户设定指南 |
| 标题 IV | 为团体健康计划设定指南 |
| 标题 V | 规范公司拥有的寿险政策 |
大多数组织询问HIPAA合规性(尤其是联系像TrustedSec这样的安全咨询公司时)主要关注HIPAA标题II。虽然标题II的主要目的是定义电子交易标准,但它也规定了这些电子交易的安全和隐私要求。
HIPAA产生的法律仅提供了其要求的模糊轮廓,并指示卫生与公众服务部(HHS)创建详细法规以更好地定义要求。为支持标题II,HHS已制定了包括以下法规:
- 《行政规则》(45 CFR Part 162):记录标准交易格式及其要求时机
- 《安全规则》(45 CFR Part 164 Subpart C):定义如何保护行政规则涵盖的电子交易
- 《隐私规则》(45 CFR Part 164 Subpart E):定义组织可以对行政规则涵盖的交易中包含的信息做什么
HITECH
HIPAA被另一项法律修订,即《健康信息技术促进经济和临床健康法案》(HITECH),该法案包含在2009年《美国复苏与再投资法案》的标题XIII中。HITECH的主要目的是为使用电子健康记录(EHR)建立财务激励,但HITECH还扩展了HIPAA的安全和隐私要求,并增加了违规通知要求。
HHS为支持HIPAA创建的原始法规在2013年被《综合规则》调整,以符合HITECH的新要求。这包括对安全规则和隐私规则的更改,以及引入《违规通知规则》(45 CFR Part 164 Subpart D)。
此后发生了各种其他较小的法规变化。HIPAA安全规则法规的重大更改于2024年12月提出,并在本博客发布时正在通过监管程序,同时还有各种其他更改。
HITECH不应被视为单独的合规义务,因为它修订了HIPAA产生的现有法律,并且为支持HIPAA创建的法规已被修订以符合HITECH。实际上,所有HIPAA合规现在都是HIPAA/HITECH合规,但大多数组织仍将其称为“HIPAA合规”。
HITRUST
HITRUST指的是HITRUST通用安全框架(CSF)。与HIPAA和HITECH不同,HITRUST不是法律或法规。HITRUST CSF由一家名为HITRUST的私人营利性公司创建,该公司发布并认证咨询公司以帮助客户对齐和认证HITRUST CSF的合规性。其与HIPAA和HITECH的关联是由于针对医疗保健行业的重营销,也可能部分由于相似的(有些人可能说令人困惑的相似)命名。
医疗保健组织要求其业务伙伴维持HITRUST认证是相当常见的。然而,HIPAA、HITECH及其支持法规不要求HITRUST或任何其他认证。像大多数法律和法规一样,HIPAA、HITECH和支持法规期望按照书面规定遵循,面临法规本身定义的政府处罚威胁。HITRUST要求是组织与其合作伙伴之间可协商的私人合同问题,这是除了HIPAA、HITECH及其支持法规施加的合规义务之外且无关的。
一些医疗保健组织可能要求其业务伙伴获得HITRUST认证,作为HIPAA安全规则合规的代理指标。虽然HITRUST CSF是一个完全合理的安全框架,在医疗保健行业内外都有用,但HITRUST认证并不是组织HIPAA合规的自动指标,如下所述。在依赖认证作为HIPAA合规指标之前,组织必须确保了解其合作伙伴HITRUST认证的范围和适用性。
HITRUST作为HIPAA合规代理
HITRUST CSF建立了各种控制规范,每个规范广泛描述了安全最佳实践,通常与HIPAA或其他合规框架的任何特定要求重叠,但并不特定于任何框架。大多数控制规范过于模糊,无法用于满足HIPAA或任何其他监管框架的详细要求。以单个控制规范为例,控制参考03.b执行风险评估指出:
“应执行风险评估以识别和量化风险。”
虽然此控制规范与HIPAA安全规则风险评估要求(45 CFR 164.308(a)(1)(ii)(A))重叠,但缺乏HIPAA版本要求中包含的许多细节。例如,根据HIPAA安全规则,风险评估必须特别涵盖电子受保护健康信息(ePHI)的风险,并且风险评估必须涵盖的某些方面定义如下:
“进行准确而彻底的评估,涵盖覆盖实体或业务伙伴持有的电子受保护健康信息的保密性、完整性和可用性的潜在风险和漏洞。”
为了解决这个问题,HITRUST控制规范被映射到各种合规框架,包括HIPAA安全、违规通知和隐私规则。在适用的情况下,控制规范包含更详细的实施要求,应与每个映射的框架对齐。例如,上面用作示例的控制规范03.b的HIPAA实施要求指出:
“用于确定是否需要向卫生与公众服务部部长报告未受保护健康信息(PHI)违规的风险评估(分析)必须证明妥协概率低(LoProCo),而不是重大伤害风险。该方法至少涉及以下因素:所涉及的PHI的性质,包括标识符类型和重新识别的可能性;使用PHI或向其披露的未经授权人员;PHI是否实际被获取或查看;PHI风险已缓解的程度;以及部长颁布的其他因素/指南。”
虽然此实施要求比其伴随的控制规范更具描述性,但它与执行风险分析的HIPAA安全规则要求仍然非常不同。实施要求似乎更侧重于未受保护PHI的违规,并未解决分析所有ePHI保密性、完整性和可用性风险的HIPAA要求,无论该ePHI是否涉及违规。因此,组织可以按书面执行此HITRUST实施要求,但仍然不满足支持的HIPAA风险分析要求。
还存在持有HITRUST认证的组织根本没有实施HIPAA实施要求的风险。实施HITRUST的组织可以自由定义其计划的范围,并选择在该范围内实施哪些实施要求。虽然受HIPAA合规约束的组织实施与HIPAA相关的实施要求是有意义的,但认证并不严格需要。因此,组织可以在不实施任何与HIPAA对齐的控制的情况下持有HITRUST认证。这对不加批判地依赖HITRUST认证作为HIPAA合规代理指标的组织提出了明显的问题。
实现HIPAA合规
TrustedSec拥有多年帮助组织满足HIPAA安全和隐私合规要求的经验。如果您对此主题有任何疑问,或您的组织需要协助其HIPAA合规计划,请与我们联系。
对HIPAA安全、隐私和违规规则如何适用有疑问的组织应保持关注,因为我们很快将发布多篇博客文章,更深入地探讨这些主题。