HIPAA合规性挑战：医疗行业的持续斗争

关键要点

根据
的年度国会报告，医疗实体继续在满足健康保险可携带性和责任法案（HIPAA）的合规要求上遇到困难，尤其是在保护网络服务器免受黑客攻击和IT风险方面。

该报告旨在帮助医疗实体改善HIPAA合规性，并向国会详细阐述该机构的调查工作和合规审查。然而，资金限制正在限制HIPAA的执法行动。2017年至2021年间，提交给OCR的HIPAA投诉数量显著增加，同期报告的大规模数据泄露事件上升了58%，而这一时期并没有增加相应的拨款。

HIPAA违规的罚金级别大幅下降进一步加剧了OCR的资金压力。机构请求提高今年的HITECH民事处罚上限。但现状是，经济因素“导致OCR的有限员工和资源承受严重压力，并限制了在医疗行业网络攻击显著增加的情况下进行HIPAA执法活动。”

以下数据突显了这些问题：在2021年，OCR收到了34,077起可能的HIPAA和HITECH违规的新投诉，较2020年增加了25%。该机构解决了其中的26,420起投诉，78%（20,661起）在启动调查前就已得到解决。在这仅3%的调查中，OCR对一些实体采取了纠正措施。

只有13起调查通过解决协议和纠正措施计划得到了处理，其中包括两起以支付总额为513万美元的金钱解决方式。

值得注意的是，报告显示OCR在2021年未能根据HITECH法案的要求进行任何定期审计。该机构需要依据“基于一套客观的选择标准”对覆盖实体及其业务合作伙伴进行审计，以评估HIPAA的合规性、数据保护的充分性，以及确保患者被提供HIPAA中规定的权利。

然而，由于“缺乏财务资源”，OCR未能启动这些审计。该机构“正在制定实施未来审计的标准”。

报告还详细列出了覆盖实体在满足HIPAA安全规则要求方面仍然存在的挑战，包括风险分析和管理、IT系统活动审查、审计控制和访问控制等。OCR强调，在这些领域仍需要持续改进合规性。

在2021年，网络攻击和IT事故是OCR报告的最大数据泄露类别，影响超过500名患者，且占报告事件的75%，也是受影响人数最多的类别。网络服务器是遭受攻击的主要类别。

OCR呼吁相关实体审查HIPAA安全规则标准及实施规范，以改善安全违规的预防、检测和纠正措施。该机构已确定风险分析和管理是需要改进的关键领域。

报告指出：“未能进行风险分析使受管实体面临未加保护的电子保护健康信息（ePHI）泄露的风险，尤其是在网络安全攻击不断增加的情况下。”OCR在这个领域仍发现不合规现象，以及未能“实施足以降低风险和脆弱性的安全措施达到合理和适当水平的行为。”

与此同时，实体还未能定期审查信息系统活动的记录，包括审计日志、访问报告和安全事件跟踪报告。机构调查“发现了信息系统活动审查过程的缺陷或缺失”。

特别是，OCR发现“缺陷过程的实例”，例如“对信息系统活动的完全缺乏审查，以及审查的方式是临时和被动的”。

系统活动审查过程对于“检测恶意活动（包括内部恶意活动）”至关重要。报告指出，早期发现恶意活动对于消除或减轻潜在泄露风险以及减少受影响人数至关重要。

根据最新的Protenus泄露晴雨表，去年报告有超过5900万份患者记录被泄露。在