HIPAA、HITECH和HITRUST——全面解析医疗数据合规框架
医疗保健领域及相关合作组织常听到HIPAA、HITECH和HITRUST合规要求,但可能不清楚它们的具体含义及相互关系。本文将通过解释这些框架的异同,帮助厘清这一领域。
HIPAA
《健康保险携带和责任法案》(HIPAA)是一项最初于1996年通过的法律,包含五个部分,每部分涵盖不同主题:
| 部分 | 目的 |
|---|---|
| 第一部分 | 保护工人及其家庭在更换或失去工作时的健康保险覆盖 |
| 第二部分 | 建立电子医疗交易标准并要求其使用 |
| 第三部分 | 为税前医疗账户设定指南 |
| 第四部分 | 为团体健康计划设定指南 |
| 第五部分 | 规范公司拥有的寿险政策 |
大多数组织询问HIPAA合规性(尤其是联系像TrustedSec这样的安全咨询公司时)主要关注HIPAA第二部分。虽然第二部分的主要目的是定义电子交易标准,但它也规定了这些电子交易的安全和隐私要求。
HIPAA产生的法律仅提供了其要求的模糊轮廓,并指示卫生与公众服务部(HHS)制定详细法规以更好地定义这些要求。为支持第二部分,HHS已发布包括以下法规:
- 《行政规则》(45 CFR第162部分):记录标准交易格式及其要求时机
- 《安全规则》(45 CFR第164部分C子部分):定义如何保护行政规则涵盖的电子交易
- 《隐私规则》(45 CFR第164部分E子部分):定义组织可以对行政规则涵盖的交易中包含的信息做什么
HITECH
HIPAA由另一项法律——《健康信息技术促进经济和临床健康法案》(HITECH)修订,该法案包含在2009年《美国复苏与再投资法案》的第十三部分中。HITECH的主要目的是为使用电子健康记录(EHR)建立财务激励,但HITECH还扩展了HIPAA的安全和隐私要求,并增加了违规通知要求。
HHS为支持HIPAA而制定的原始法规在2013年通过《综合规则》进行了调整,以符合HITECH的新要求。这包括对安全规则和隐私规则的更改,以及引入《违规通知规则》(45 CFR第164部分D子部分)。
此后还发生了各种其他较小的法规变化。HIPAA安全规则法规的重大更改于2024年12月提出,并在本博客发布时正在通过监管程序,同时还有各种其他更改。
HITECH不应被视为单独的合规义务,因为它修订了HIPAA产生的现有法律,并且为支持HIPAA而创建的法规已修订以符合HITECH。实际上,所有HIPAA合规现在都是HIPAA/HITECH合规,但大多数组织仍将其称为“HIPAA合规”。
HITRUST
HITRUST指的是HITRUST通用安全框架(CSF)。与HIPAA和HITECH不同,HITRUST不是法律或法规。HITRUST CSF由一家名为HITRUST的私人营利性公司创建,该公司发布并认证咨询公司,以帮助客户调整和认证对HITRUST CSF的合规性。其与HIPAA和HITECH的关联是由于针对医疗保健领域的重营销,也可能部分归因于相似的(有些人可能说令人困惑的相似)命名。
医疗保健组织要求其业务伙伴保持HITRUST认证是相当常见的。然而,HIPAA、HITECH及其支持法规并不要求HITRUST或任何其他认证。与大多数法律和法规一样,HIPAA、HITECH和支持法规期望按照书面规定遵循,否则将面临法规本身定义的政府处罚。HITRUST要求是组织与其合作伙伴之间可协商的私人合同问题,这是对HIPAA、HITECH及其支持法规施加的合规义务的补充,且与之无关。
一些医疗保健组织可能要求其业务伙伴获得HITRUST认证,作为HIPAA安全规则合规的代理指标。虽然HITRUST CSF是一个完全合理的安全框架,可在医疗保健领域内外都有用,但HITRUST认证并不是组织符合HIPAA的自动指标,如下所述。在依赖认证作为HIPAA合规指标之前,组织必须确保了解其合作伙伴HITRUST认证的范围和适用性。
HITRUST作为HIPAA合规代理
HITRUST CSF建立了各种控制规范,每个规范广泛描述了安全最佳实践,这些实践通常与HIPAA或其他合规框架中的任何特定要求重叠,但并不特定于它们。大多数控制规范过于模糊,无法用于满足HIPAA或任何其他监管框架的详细要求。以单个控制规范为例,控制参考03.b执行风险评估指出:
“应执行风险评估以识别和量化风险。”
虽然此控制规范与HIPAA安全规则风险评估要求(45 CFR 164.308(a)(1)(ii)(A))重叠,但它缺乏HIPAA版本要求中包含的许多细节。例如,根据HIPAA安全规则,风险评估必须特别涵盖电子受保护健康信息(ePHI)的风险,并且风险评估必须涵盖的某些方面定义如下:
“对涵盖实体或业务伙伴持有的电子受保护健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确和彻底的评估。”
为了解决这个问题,HITRUST控制规范被映射到各种合规框架,包括HIPAA安全、违规通知和隐私规则。在适用的情况下,控制规范包含更详细的实施要求,这些要求应与每个映射的框架保持一致。例如,上面用作示例的控制规范03.b的HIPAA实施要求指出:
“用于确定未加密受保护健康信息(PHI)的违规(如卫生与公众服务部长定义的这些术语)是否应向部长报告的风险评估(分析)必须证明妥协的概率低(LoProCo),而不是重大伤害风险。该方法至少涉及以下因素:所涉及的PHI的性质,包括标识符的类型和重新识别的可能性;使用PHI或向其披露的未经授权的人;PHI是否实际被获取或查看;PHI风险已缓解的程度;以及部长颁布的其他因素/指南。”
虽然此实施要求比其伴随的控制规范更具描述性,但它与执行风险分析的HIPAA安全规则要求仍然非常不同。实施要求似乎更侧重于未加密PHI的违规,并未解决分析所有ePHI保密性、完整性和可用性风险的HIPAA要求,无论该ePHI是否涉及违规。因此,组织可以按书面执行此HITRUST实施要求,但仍不满足支持的HIPAA风险分析要求。
还存在持有HITRUST认证的组织可能根本没有实施HIPAA实施要求的风险。实施HITRUST的组织可以自由定义其计划的范围,并选择在该范围内实施哪些实施要求。虽然受HIPAA合规约束的组织实施与HIPAA相关的实施要求是有意义的,但认证并不严格需要这一点。因此,组织可以在不实施任何与HIPAA一致的控制的情况下持有HITRUST认证。这对于不加批判地依赖HITRUST认证作为HIPAA合规代理指标的组织来说,带来了明显的问题。
实现HIPAA合规
TrustedSec拥有多年帮助组织满足HIPAA安全和隐私合规要求的经验。如果您对此主题有任何疑问,或您的组织需要其HIPAA合规计划的协助,请与我们联系。
对HIPAA安全、隐私和违规规则如何适用有疑问的组织应保持关注,因为我们很快将发布多篇博客文章,更深入地探讨这些主题。