什么是符合 HIPAA 标准的托管?

符合 HIPAA 标准的托管为医疗保健提供者构建符合 1996 年健康保险流通与责任法案 (HIPAA) 的应用程序和服务奠定了基础,该法案保护了他们自己及其客户的个人健康信息 (或 PHI)。 法律要求有权访问 PHI 的任何人都必须遵守这些规则和法规,以保护他们负责的医疗保健数据的隐私。

符合 HIPAA 的托管必须符合 HIPAA 的法律、行政、技术、物理和行政要求,允许医疗保健提供者构建符合法律的应用程序和服务。 不幸的是,如果没有适当的支持,符合 HIPAA 的托管会很复杂。 为了符合这些法规,符合 HIPAA 标准的托管解决方案必须对数据进行加密、制定灾难恢复计划、提供风险管理策略、维护网络安全并为物理服务器执行其他强大的安全规则和技术程序。 医疗保健提供者必须根据 HIPAA 规则存储、传输和处理受保护的电子健康信息 (ePHI) 或受保护的健康信息 (PHI),这正是符合 HIPAA 的托管发挥作用的地方。

标准的网络托管解决方案无法保护和正确保护 PHI 和 ePHI 健康数据。 它只是缺乏维护有关受保护健康信息的传输、处理和存储的规则和法规所需的基础设施和保障措施。

什么是 HIPAA?

HIPAA 是一项联邦法律,用于保护敏感的患者信息在未经患者同意的情况下不被共享。 HIPAA 还包括关于合规、执行和违规通知的规定。 但是,医疗保健提供者最重要的规则是隐私和安全规则。 隐私规则定义了哪些信息受到保护,谁被覆盖,以及他们对医疗保健信息的责任。 该规则包括几个组成部分,包括私人健康信息的存储、访问、处置和控制。 它还要求涵盖实体(在这种情况下为医疗保健提供者)获得“令人满意的保证”,即任何业务伙伴(包括托管服务提供商)都将根据 HIPAA 保护医疗保健数据。

什么是HITECH?

国会制定了经济和临床健康(或 HITECH)健康信息技术法案,以帮助推动电子健康记录(或 EHR)及其支持技术在美国的实施。

该法律鼓励医生、医院和其他实体之间共享电子 PHI,以通过共享信息来降低医疗保健成本。 它还扩大了 HIPAA 下提供的安全和隐私保护的范围。 它增加了不合规的可能法律后果,并规定了更严格的 HIPAA 执行。

HIPAA 保护信息

受保护的健康信息是指根据 HIPAA 隐私规则定义的任何可单独识别的健康信息。 该信息主要包括可用于识别个人身份以及创建、披露或用作提供医疗保健服务的一部分的医疗数据。 PHI 包括有关医疗状况、已提供给个人的医疗保健以及与医疗保健相关的支付信息的信息。 此信息包含患者过去、现在或未来的身体或心理健康或状况。

PHI 的一些标识符包括:

  • 名称
  • 电话号码
  • 电子邮件地址
  • 社会安全号码
  • 地理数据
  • 网址
  • 病历编号
  • 健康计划受益人号码
  • 证书或执照号码
  • VIN 和车牌号
  • 设备标识符和序列号
  • IP 地址

当通过电子媒体传输时,这种敏感的健康信息被称为 ePHI——或电子受保护的健康信息。 通过电子媒体接收、存储、传输或创建的任何受保护的健康信息都被视为 ePHI。

什么是 HIPAA 服务器?

HIPAA 服务器遵循 HIPAA 定义的特定合规性准则,以防止医疗记录信息数据泄露。 HIPAA 要求所有处理 PHI 或 ePHI 数据的实体采用自己的一套政策来保护这些记录的完整性和机密性。 这种变化意味着由相关实体决定如何处理保护数据的这些方面。

我需要 HIPAA 服务器吗?

一般来说,如果您不在健康行业,则不需要符合 HIPAA 标准的服务器。 只有在存储、传输、读取、显示或以其他方式访问包含可单独识别的健康信息记录的任何形式的数据时,才需要符合 HIPAA 标准的服务器。 联邦法规(或 美国联邦法规第 160.103 部分) 特别将健康信息定义为:

“健康信息是指任何信息,包括遗传信息,无论是口头的还是以任何形式或媒介记录的,它:

  1. 由医疗保健提供者、健康计划、公共卫生当局、雇主、人寿保险公司、学校或大学或医疗保健票据交换所创建或接收; 和
  2. 与个人过去、现在或未来的身体或心理健康或状况有关; 向个人提供医疗保健; 或过去、现在或将来为个人提供医疗保健所支付的费用。”
    “卫生与公共服务部§ 160.103 – GovInfo。” https://www.govinfo.gov/content/pkg/CFR-2013-title45-vol1/pdf/CFR-2013-title45-vol1-sec160-103.pdf. 2021 年 2 月 18 日访问。

业务伙伴应注意,匿名医疗数据不受 HIPAA 或者 海泰克 并且不需要以相同的方式固定。

Liquid Web HIPAA 兼容服务器

以下是 Liquid Web 政策的横截面,可帮助客户实施符合 HIPAA 的服务器。 此信息不是需要满足的所有要求的完整摘要,但它涵盖了一些最关键的方面。

使用权

Liquid Web 政策确保 Liquid Web 管理员的访问控制程序受到严格监控和监督。 严格的协议规定了对任何存储的公共卫生信息 (PHI) 的物理和电子访问级别。 这些措施包括持续的员工安全意识培训、对工作站安全性的持续评估和访问监控。

监控

我们有程序定期测试和审查有关系统活动的信息,包括 Liquid Web 硬件和软件的审计日志、访问报告和安全事件跟踪记录。

安全

Liquid Web 提供用于强化专用服务器的额外服务,包括恶意软件扫描、监控/报告差异、强制安全密码策略、缓解程序和限制访问。 如果在 Intranet 中访问客户端数据,建议使用 SSL验证客户端SSL验证深度 Apache 指令 加密传输 HIPAA/HITECH 数据。 但是,这仅在您了解所有用户的情况下才有用。 通常,这不适用于一般用例,因为它不是确保安全配置的要求。

风险缓解

我们在内部事件管理计划中执行持续的风险评估。 这包括监管链文档,用于管理存储 PHI 的任何 HIPAA 相关硬件的接收、移除和销毁。 还制定了程序来保护 Liquid Web 硬件免受自然灾害、其他紧急情况或安全威胁的影响。

备份/恢复

为客户提供可靠的备份服务,用于灾难恢复、紧急模式操作,包括授权个人的业务计划的连续性。

基于审计师的合规性

为了获得 HIPAA 合规性,客户需要聘请第三方 HIPAA 合规官/审核员来证明服务器确实符合 HIPAA。 一旦被聘用,该官员/审计员将直接与客户(而非 Liquid Web)合作,检查客户的系统和配置。 此任务通过客户必须完成的问卷调查和检查来完成。

Liquid Web 无法证明合规性,因为我们不是合规审核员。 但是,Liquid Web 可以通过提供商业伙伴协议(或 BAA)来提供帮助,该协议详细说明了 Liquid Web 负责的项目。 本文件可帮助客户完成所需的审计证明文件。 客户可能需要 Liquid Web 提供进一步的文件来证明我们的合规性。 这些文件是在线的,可供公众使用。

我们能帮你什么吗?

下载 Liquid Web 的 免费电子书 今天在符合 HIPAA 标准的主机上。 我们设计了一套强大的 HIPAA 兼容、完全托管的托管解决方案,以协助您的 HIPAA 服务器日常系统管理的必要策略实施和文档。

电子书 - 适用于 SMB 的 HIPAA

我们的支持人员完全具备执行 HIPAA 程序所需的知识。 您可以放心,在您的一台 HIPAA 服务器上工作时,我们将处理任何必要的 HIPAA 相关操作。 这些政策的完整列表、我们如何制定这些政策以及我们的 HIPAA 合规产品可在此处查看:HIPAA 合规数据中心和解决方案。 您甚至可以拨打我们的电话 800.580.4985 或 聊天 立即与 HIPAA 专家一起回答您可能遇到的任何问题。

威胁堆栈监督博客 CTA 横幅