HIPAA、HITECH和HITRUST——全面解析医疗合规框架
医疗行业及相关合作机构常听到HIPAA、HITECH和HITRUST合规要求,但可能不清楚它们的具体含义及相互关系。本文将通过解释这些框架的异同,帮助厘清概念。
HIPAA
《健康保险携带和责任法案》(HIPAA)是一项最初于1996年通过的法律,包含五个部分,每部分涵盖不同主题:
| 部分 | 目的 |
|---|---|
| 第一部分 | 保护工人及其家庭在更换或失去工作时的健康保险覆盖范围 |
| 第二部分 | 建立电子医疗交易标准并要求其使用 |
| 第三部分 | 为税前医疗账户设定指南 |
| 第四部分 | 为团体健康计划设定指南 |
| 第五部分 | 规范公司拥有的寿险政策 |
大多数机构询问HIPAA合规(尤其是联系像TrustedSec这样的安全咨询公司时)主要关注第二部分。虽然第二部分的主要目的是定义电子交易标准,但它也规定了这些电子交易的安全和隐私要求。
HIPAA法律仅提供其要求的模糊轮廓,并指示卫生与公众服务部(HHS)制定详细法规以更好地定义要求。为支持第二部分,HHS已发布包括以下法规:
- 《行政规则》(45 CFR Part 162):记录标准交易格式及其要求时机
- 《安全规则》(45 CFR Part 164 Subpart C):定义如何保护行政规则涵盖的电子交易
- 《隐私规则》(45 CFR Part 164 Subpart E):定义机构如何处理行政规则涵盖的交易中包含的信息
HITECH
HIPAA由另一项法律修正,即《健康信息技术促进经济和临床健康法案》(HITECH),该法案包含在2009年《美国复苏与再投资法案》的第十三部分中。HITECH的主要目的是为使用电子健康记录(EHRs)建立财务激励,但也扩展了HIPAA的安全和隐私要求,并增加了违规通知要求。
HHS为支持HIPAA而制定的原始法规在2013年由《综合规则》调整,以符合HITECH的新要求。这包括对安全规则和隐私规则的更改,以及引入《违规通知规则》(45 CFR Part 164 Subpart D)。
此后还发生了各种其他较小的法规变更。HIPAA安全规则法规的重大变更于2024年12月提出,并在本博客发布时正在通过监管程序,同时还有一系列其他变更。
HITECH不应被视为单独的合规义务,因为它修正了HIPAA产生的现有法律,并且为支持HIPAA而制定的法规已修正以符合HITECH。实际上,所有HIPAA合规现在都是HIPAA/HITECH合规,但大多数机构仍称之为“HIPAA合规”。
HITRUST
HITRUST指的是HITRUST通用安全框架(CSF)。与HIPAA和HITECH不同,HITRUST不是法律或法规。HITRUST CSF由一家名为HITRUST的私人营利公司创建,该公司发布并认证咨询公司,以帮助客户对齐和认证HITRUST CSF的合规性。其与HIPAA和HITECH的关联是由于针对医疗行业的重营销,也可能部分归因于相似的(有些人可能说令人困惑的相似)命名。
医疗机构要求其业务伙伴维持HITRUST认证是相当常见的。然而,HIPAA、HITECH及其支持法规并不要求HITRUST或任何其他认证。像大多数法律和法规一样,HIPAA、HITECH和支持法规期望按照书面规定遵循,否则面临法规本身定义的政府处罚。HITRUST要求是机构与其合作伙伴之间可协商的私人合同问题,这是附加于——且与HIPAA、HITECH及其支持法规施加的合规义务无关的。
一些医疗机构可能要求其业务伙伴获得HITRUST认证,作为HIPAA安全规则合规的代理指标。虽然HITRUST CSF是一个完全合理的安全框架,可在医疗行业内外有用,但HITRUST认证并不是机构HIPAA合规的自动指标,如下所述。机构在依赖认证作为HIPAA合规指标之前,必须确保了解其合作伙伴HITRUST认证的范围和适用性。
HITRUST作为HIPAA合规代理
HITRUST CSF建立了各种控制规范,每个规范广泛描述了安全最佳实践,这些实践通常与HIPAA或其他合规框架中的任何特定要求重叠,但并不特定于它们。大多数控制规范过于模糊,无法用于满足HIPAA或任何其他监管框架的详细要求。以单个控制规范为例,控制参考03.b执行风险评估指出:
“应执行风险评估以识别和量化风险。”
虽然此控制规范与HIPAA安全规则风险评估要求(45 CFR 164.308(a)(1)(ii)(A))重叠,但缺乏HIPAA版本要求中包含的许多细节。例如,根据HIPAA安全规则,风险评估必须特别涵盖电子受保护健康信息(ePHI)的风险,并且风险评估必须涵盖的某些方面定义如下:
“对覆盖实体或业务伙伴持有的电子受保护健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确和彻底的评估。”
为了解决这个问题,HITRUST控制规范被映射到各种合规框架,包括HIPAA安全、违规通知和隐私规则。在适用的情况下,控制规范包含更详细的实施要求,这些要求应与每个映射的框架对齐。例如,上述用作示例的控制规范03.b的HIPAA实施要求指出:
“用于确定未加密受保护健康信息(PHI)的违规(如卫生与公众服务部长定义的这些术语)是否应向部长报告的风险评估(分析)必须证明妥协概率低(LoProCo),而不是重大伤害风险。该方法至少涉及以下因素:所涉PHI的性质,包括标识符类型和重新识别的可能性;使用PHI或向其披露的未经授权人员;PHI是否实际被获取或查看;PHI风险已缓解的程度;以及部长颁布的其他因素/指南。”
虽然此实施要求比其伴随的控制规范更具描述性,但它与执行风险分析的HIPAA安全规则要求仍然非常不同。实施要求似乎更侧重于未加密PHI的违规,并未解决分析所有ePHI保密性、完整性和可用性风险的HIPAA要求,无论该ePHI是否涉及违规。因此,机构可以按书面执行此HITRUST实施要求,但仍不满足支持的HIPAA风险分析要求。
还存在拥有HITRUST认证的机构根本未实施HIPAA实施要求的风险。实施HITRUST的机构可以自由定义其计划的范围,并选择在该范围内实施哪些实施要求。虽然受HIPAA合规约束的机构实施与HIPAA相关的实施要求是有意义的,但认证并不严格需要。因此,机构可以在不实施任何HIPAA对齐控制的情况下持有HITRUST认证。这对于不加批判地依赖HITRUST认证作为HIPAA合规代理指标的机构来说,带来了明显的问题。
实现HIPAA合规
TrustedSec拥有多年帮助机构满足HIPAA安全和隐私合规要求的经验。如有关于此主题的任何问题,或如果您的机构需要其HIPAA合规计划的协助,请与我们联系。
对HIPAA安全、隐私和违规规则如何适用有疑问的机构请保持关注,因为我们很快将发布多篇博客文章,更深入地探讨这些主题。