如何准备HIPAA审核

我认为这很合适,因为我们正值10月和一个令人恐惧的月,谈论医疗服务提供者一段时间以来一直在恐惧的东西……HIPAA审核即将到来。

据卫生和公共服务部称,HIPAA的首轮审核定于10月开始。 该机构显然也在为医疗机构制定一项计划,以应对日益增长的网络威胁(不久将有更多威胁)。

公民权利办公室(OCR)的主管和健康信息隐私总监在9月15日提供了有关HIPAA执法活动的最新信息,为40至50名将被选为“服务台”或远程审核。 虽然这是第一轮实际审核,但今年早些时候已经预示了这一点,OCR与组织联系,要求“如果他们被选择进行审核”,则要求验证联系信息。 这次将没有警告。

一旦选择了组织,将有一个网络研讨会,他们将了解审核的内容以及需要制作的内容。 网络研讨会结束后,他们将有十天的时间提交有关HIPAA合规性特定领域的详细文档。

安全顾问CynergisTek的隐私权律师兼合规副总裁David Holtzman在govinfosecurity.com上的一篇文章中表示:“现在是进行审计的时候了。”组织应准备好展示自己制定的政策和程序。通知其所涵盖的实体是否存在假想违规的地方,以及有关其如何或何时针对任何实际违规行为进行举报的任何示例。

大多数专家认为,这一轮审计很可能就是收集信息以制定标准和基准,而不是执行政策。 但是,如果您被选中进行这一轮审计,那么您确实面临着真正的挑战。 这可能仅是信息收集,但是为了为该行业树立真正的标准,您应该考虑如何应对。 此回合围绕一个假想的违规行为进行,但同时也要为您做好准备,并确保您具有适当的程序,既可以提醒您何时发生违规行为,又可以指导您进行补救。

你为什么要担心?

近年来,网络攻击呈指数增长是众所周知的,并且由于PHI在黑市上的价值,医疗保健组织受到的打击最大。 例如,勒索软件攻击比2015年增长了300%,这只是医疗保健组织面临的新网络威胁的一种形式。 尽管有些人将精力集中在审计上,但是这应该使您能够做的是将精力集中在组织中的实际风险上,并阐明行业的准备程度,并将为将来的合规性法规提供信息和影响。

该怎么办?

如果尚未开始,请立即开始。 已经有一些准则可以强制遵守HIPAA。 确保遵循以下建议措施:

•进行企业范围的安全评估,以了解您的风险所在。

员工培训 —为您的团队提供有关网络钓鱼攻击,恶意软件以及如果他们认为自己受到攻击的处理方法的信息。

限制对PHI的访问 -了解您的PHI的住所以及有权访问的人,然后确定这些参与者是否真正需要访问权。

实施针对恶意软件的防护措施 -安装扫描软件以搜索已知漏洞,启动渗透测试并保护您的特权帐户。

修补已知漏洞 -世界上有700,000多个已知漏洞,并且这个数字每天都在增长。 了解其中哪些最使您面临最大风险并确定修补程序的优先级。

做好准备不仅仅是通过审核或完成第一轮审核。 如果保护您免受组织中的实际风险的影响,则可能会合规。