如何确保远程员工符合 HIPAA

为远程员工维护 HIPAA 合规性任务艰巨,但并非必须如此。继续阅读,了解远程访问与支持如何简化 HIPAA 合规性的远程维护。

多年来,大多数医疗保健组织都已轻松适应了 HIPAA 合规流程。然而,在过去两年中,随着远程办公、远程医疗的兴起以及对受保护健康信息(PHI)的网络威胁日益增加,这种情况发生了显著变化。

Gartner 最近估计,51%的知识工作者将在2022年初远程办公。这种向远程办公的转变对必须遵守《健康保险可携性与责任法案》(HIPAA)的组织而言具有重大影响。

远程工作人员是否存在 HIPAA 合规风险?

远程工作人员本身并不存在风险。但是,如果 IT 团队无法为远程工作人员准备遵守数据隐私法规所需的资源,则会存在风险。2021年 Healthcare IT News 的一篇文章指出,每10个 IT 团队中只有2个称他们提供了充足的工具和资源,用于支持员工长期远程办公。在这方面的准备不足会使组织面临违反 HIPAA 的数据和电子病历(EMR)保护规定的风险。

事实上,美国卫生与公众服务部(HHS)特别指出,员工使用不具备 HIPAA 合规功能的远程访问系统时,存在 HIPAA 合规风险在描述定期审查和修改安全策略以符合 HIPAA 的必要性时,HHS 表示,“这一点对于有些组织尤为关键,这些组织允许通过便携设备、外部系统或非组织自有或托管的硬件远程访问 EPHI(电子保护健康信息)。”

HIPAA 违规代价惨重

HIPAA 违规处罚会迅速升级,每次违规造成的损失可达180万美元。更重要的是,有人建议必须遵循成本高昂的纠正行动计划(CAP),以防止未来的违规行为。2013年3月生效的《经济与临床健康信息技术法案》(HITECH)确立了处罚和 CAP 要求。适用组织不只包括医疗保健提供商,还包括医疗计划、医疗保健信息交换中心以及所有相关组织及其业务伙伴。

例如,最近的 National Law Review 的一篇文章描述了 Peachstate Health Management, Inc. 如何将其 HIPAA 违规罚款降至2.5万美元。不过,该公司必须实施的 CAP 的成本要高得多,因为实施 CAP 需要 Peachstate 执行以下操作:

  • 进行全企业范围的风险分析
  • 制定并实施风险管理计划
  • 专为 HIPAA 安全规则合规性制定政策和程序
  • 分配政策和程序
  • 为员工开发培训材料
  • 委任第三方监督员
  • 提交执行报告、不合规报告以及年度报告

聘请专家级的第三方监督员所需费用将远远超过2.5万美元的罚款,主要原因是他们必须获得 OCR(美国卫生与公众服务部民权办公室)的批准。

Splashtop 远程访问与支持解决方案如何帮助您合规?

首先,需要注意的是,Splashtop 无法访问患者信息或记录(EMR、PACS 等)。Splashtop 解决方案的桌面流式传输均在加密的远程访问或支持会话中处理。在这一过程中,Splashtop 永远无法访问您的会话数据。

不能访问会话数据,这一点非常重要,意味着 Splashtop 可以根据 HIPAA 管道例外规则提供远程访问与支持服务。管道例外仅限于传输服务(无论是数字还是硬拷贝),包括任何与此类传输相关的临时存储数据。但这不包括 Splashtop 等服务必须与相关实体签订业务伙伴协议的情况。

这样我们的客户就能快速实施 Splashtop 解决方案,而无需签署大量与 HIPAA 相关的合同。此外,客户了解患者信息和记录将保存在组织内的系统中,绝不会超出这一范围。

其他确保数据安全的 Splashtop 安全措施

Splashtop 已制定“安全策略”为我们的技术与组织措施(TOM)的子集。“安全策略”描述了 Splashtop 实施和维护的安全和控制措施,用于保护我们存储和处理的数据。我们的 IT 安全领域专业人员会定期审查并修改我们的 IT 安全政策。

更重要的是,Splashtop 员工需要每年完成两次信息安全培训。作为此类培训的一部分,员工需同意遵守我们的“行为准则”中规定的道德商业行为、保密和安全策略。

Splashtop 的安全策略由具有许多功能的强大数据安全架构支持。在员工远程办公时,加密和访问控制是维护数据保护的两个非常重要的功能。

  • 加密:Splashtop 对所有传输中和静态用户数据进行加密,所有用户会话均使用 TLS 安全建立。每个会话的访问内容始终通过256位 AES 加密。
  • 访问控制:Splashtop 已实施访问控制来管理对数据和系统的电子访问。我们的访问控制基于权限级别、按需知悉以及系统访问人员职责分离原则。我们通过定期帐户审查、访问监控和记录来跟踪基于角色的访问。

Splashtop 远程访问引入了许多安全功能,例如设备身份认证、双因子身份认证(2FA)、单点登录(SSO)等。如需了解更多信息,请查看 Splashtop 支持 HIPAA 的安全功能完整列表。

通过远程访问确保组织符合 HIPAA

随着远程办公的持续,许多组织正在利用远程访问与支持解决方案来安全地处理 EMR 等患者数据。为确保组织符合 HIPAA,您需要采用安全可靠的远程访问与支持解决方案。

Splashtop 为数百家医疗保健组织提供安全可靠的远程访问与支持,符合 HIPAA 以及其他消费者隐私法规。如需了解 Splashtop 如何帮助组织让远程工作人员遵守 HIPAA,请立即联系 Splashtop 的专业人员

订阅 Splashtop 安全订阅源,实时了解安全新闻。

相关内容

博客底部的免费试用横幅