دفتر بازرس کل وزارت بهداشت و خدمات انسانی ایالات متحده در بررسی نحوه مدیریت دفتر حقوق مدنی برنامه ممیزی دورهای قانون قابل حمل و پاسخگویی بیمه سلامت خود را از ژانویه 2016 تا دسامبر 2020، دریافت که OCR تا حد زیادی در جلوگیری از نقض اطلاعات بهداشتی ناکارآمد است. ، یک گزارش جدید نشان می دهد.
پس از ارزیابی برنامه OCR برای انجام ممیزی های دوره ای HIPAA، OIG گسترش دامنه را برای اجرای بهتر الزامات قانون HITECH در سال 2009، که مجازات های کیفری و مدنی را برای همکاران تجاری نهادهای تحت پوشش گسترش می داد، توصیه کرد.
چرا مهم است
OIG در گزارش خود که روز جمعه منتشر شد به این نتیجه رسید که در حالی که OCR به الزامات خود تحت قانون HITECH برای انجام ممیزی های دوره ای HIPAA عمل می کند، تجزیه و تحلیل های آن بسیار محدود بر ارزیابی پادمان های امنیتی فیزیکی و فنی متمرکز شده است.
OIG در یافتههای خود گفت: «نظارت OCR بر برنامه ممیزی HIPAA احتمالاً در بهبود حفاظت از امنیت سایبری در نهادها مؤثر نبوده است.
آژانس ناظر نحوه مدیریت OCR برنامه ممیزی HIPAA خود را ممیزی کرد و 30 مورد از 207 گزارش حسابرسی نهایی HIPAA و اسناد مرتبط را که توسط OCR از سال 2016 تا 2020 تهیه شده بود، بررسی کرد.
هنگامی که OCR در آن دوره ممیزی HIPAA را انجام داد، هشت مورد از 180 الزامات قوانین HIPAA را بررسی کرد. OIG گفت که در حالی که دو مورد از این هشت الزام مربوط به پادمان های اداری قوانین امنیتی – تجزیه و تحلیل ریسک امنیتی و مدیریت ریسک – هستند – هیچ یک به حفاظت های امنیتی فیزیکی و فنی مربوط نمی شود.
OIG در گزارش جدید نشان داد که فقدان نقص های امنیتی در برنامه حسابرسی OCR به بیش از یک دهه قبل بازمی گردد.
OIG اشاره کرد که OCR پس از انجام ممیزی های HIPAA در سال 2012 به این نتیجه رسید که سازمان های مراقبت های بهداشتی و همکاران تجاری برای اجرای پادمان های اداری مورد نیاز قانون امنیتی HIPAA با مشکل مواجه شده اند.
با این حال، ارزیابی دو الزام امنیتی اداری معمولاً برای ارزیابی خطر در بخش مراقبتهای بهداشتی و تعیین اثربخشی حفاظتهای امنیتی [اطلاعات الکترونیکی محافظت شده سلامت] که باید وجود داشته باشد، مطابق با قانون امنیتی [HIPAA] کافی نیست. OIG گفت.
در حالی که OCR ممیزی مورد نیاز را انجام می داد، سازمان ها می توانستند بدون رعایت کامل الزامات امنیتی HIPAA اسکیت کنند.
OIG گفت: «علاوه بر این، به دلیل دامنه محدود، ممیزیهای HIPAA به احتمال زیاد نهادهایی مانند بیمارستانها را که حفاظتهای فیزیکی و فنی تعریفشده در قانون امنیتی برای محافظت از ePHI در برابر تهدیدات رایج امنیت سایبری را اجرا نمیکنند، شناسایی نکردند.
آژانس ناظر گفت قبل از این ممیزی جدید از برنامه حسابرسی HIPAA OCR، تیم آن الزامات قانونی در HITECH، الزامات قانون اجرای HIPAA، سیاستها و رویههای OCR برای اجرای الزامات HITECH و اجرای قوانین HIPAA، گزارشهای انطباق با HIPAA آژانس به کنگره و رهنمودهای مرتبط با سایبری که آژانس از سال 2016 تا کنون به صنعت مراقبت های بهداشتی ارائه کرده است 2020.
OIG توصیه کرده است که OCR:
دامنه ممیزی های HIPAA خود را برای ارزیابی انطباق با پادمان های فیزیکی و فنی از قانون امنیتی گسترش دهید.
استانداردها و رهنمودها را برای اطمینان از اینکه کاستی های شناسایی شده در طول ممیزی HIPAA به موقع تصحیح می شوند – که آژانس با آن موافق نبود، مستندسازی و اجرا کنید.
معیارهایی را برای تعیین اینکه آیا یک موضوع انطباق شناسایی شده در طی ممیزی HIPAA باید منجر به شروع بازبینی انطباق توسط OCR شود، تعریف و مستند کنید.
معیارهایی را برای نظارت بر اثربخشی ممیزی های HIPAA OCR در بهبود حفاظت از نهادهای حسابرسی شده نسبت به ePHI تعریف کنید و به طور دوره ای بررسی کنید که آیا این معیارها باید اصلاح شوند یا خیر.
طبق بیانیه HHS، در جایی که OCR با سه توصیه موافقت کرد، آژانس اقدامات مفصلی را که برداشته و قصد دارد در پاسخ به آن انجام دهد را در اختیار OIG قرار داد.
هنگام تصحیح کاستیهای کشف شده در طول ممیزی HIPAA، موضوع پلیس است. OCR در پاسخ خود به بررسی اثربخشی جدید اشاره کرد که “ممیزی های HIPAA داوطلبانه طراحی شده اند و به جای اعمال اصلاحات، برای ارائه کمک های فنی طراحی شده اند.”
OIG افزود: «OCR بیان کرد که بر اساس قانون HITECH، نهادها می توانند به جای پرداختن به کمبودهای HIPAA از طریق برنامه های اقدام اصلاحی، پرداخت جریمه های پول مدنی را انتخاب کنند و نمی توان آنها را مجبور به امضای توافقنامه های حل و فصل یا اصلاح سریع مسائل کرد.»
هزینه های جریمه های ممیزی امنیتی OCR زیاد است و نهادهای مراقبت های بهداشتی علاقه مند به انجام اقداماتی برای اجتناب از آنها بوده اند.
بهعنوان حسابرس HIPAA برای دولت فدرال، OCR به OIG گفت که از قانونگذاران درخواست کرده است تا به آن اجازه دهند تا به دنبال معافیت دستوری باشد، «که OCR را قادر میسازد تا با وزارت دادگستری همکاری کند تا در دادگاه فدرال برای اطمینان از تبعیت از HIPAA همکاری کند. قوانین.”
منبع:healthcareitnews
