简要

供应商在避免HIPAA违规的努力中跌跌撞撞:OCR

潜水简介:

  • HHS的民权办公室已经发布了 发现 在2016年和2017年对200多个涵盖实体和业务伙伴进行了一次审计,发现大多数被调查者均符合有关报告违规行为的要求,并通知了HIPAA要求涉及其信息的人。

  • 但是,很少有人愿意提供有关其隐私惯例的适当通知,违规通知所需的所有信息或患者如何访问其医疗记录的信息。

  • 涵盖实体和业务伙伴也未能应用HIPAA要求或适当的风险分析和风险管理来避免违规– HHS的监督表示将采取纠正措施。

潜水见解:

尽管《健康保险携带和责任法案》是在25年前实施的,但它并未完全保证患者及其病历的机密性。尽管违规相对罕见,但较大的违规仍引起媒体的广泛关注。

自该法律生效以来,OCR一直在监视医疗保健组织如何保护其受保护的健康信息。最新的调查涉及166个涵盖实体的实践-几乎所有实体都是医院和医疗实践- 41个业务伙伴,包括计费公司,顾问和认证组织等。

尽管调查没有发现任何明显的安全漏洞,但OCR并未发现对某些附带保护措施的遵守,例如如何向患者提供有关隐私惯例的通知。只有2%的人在其隐私声明中提供了所需的内容,而66%的人“未遵守或做出的努力很少或微不足道”。大多数还没有以简单的语言陈述其隐私惯例,或提供有关患者个人权利的适当信息。尽管如此,OCR还是在其网站上发布了如何提供信息的模型。但是,大多数人“注意到他们对这些评论或调查结果的赞赏,并采取了行动来加强政策,程序和/或纠正缺陷。”

也许更令人担忧的是,承保实体如何处理患者的病历要求。 OCR得出结论,有89%的受访者未能证明他们正确实施了一个系统,以确保患者知道他们有权获得此类信息以及如何索取信息。

审计得出结论:“许多涵盖实体表示他们从未收到过访问请求。” “这表明该标准可能存在误解,因为患者通常要求提供化验结果,免疫记录或账单的副本。一些涵盖实体没有就如何以及何时回应请求保留足够的记录。”

但是,大多数实体表示,他们将修改其政策以符合HIPAA。 9月,OCR 定居 与提供者有关访问问题的大量案例;为此要支付最高的罚款。

此外,很少有组织采用风险分析来确保其信息系统在长期内保持安全。只有14%的涵盖实体和17%的业务伙伴表示,他们“正在充分履行其监管职责,以通过风险分析活动来保护自己持有的(电子)PHI”。审计随后补充说:“没有记录任何制定,维护和更新政策与程序的努力,而没有使用它们进行风险分析的记录。”

同时,特朗普政府最近 提议的 放宽HIPAA要求的规则,表面上是促进基于价值的护理和COVID-19联系人追踪。拜登政府在一月份接管提案后是否会取消拟议的规则尚不得而知。

OCR主任罗杰·塞韦里诺(Roger Severino)说:“我们将继续执行HIPAA执法计划,直到医疗机构认真考虑确定其所保管的健康信息的安全风险,并履行为患者提供及时,合理,基于成本的医疗记录的职责。”在一个 声明.

有一些亮点:71%的被调查者及时通知患者少于500个人的违规行为,尽管67% 这些通知中缺少所有必需的信息,包括对违规行为的描述以及个人如何采取措施保护自己。尽管未完全遵守的百分比未包括在审计中,但类似的问题也出现在业务伙伴报告违规行为上。

提起下: 付款人 卫生法 医院管理 实践管理