如果您是美国的医疗保健机构,则必须遵守 HIPAA 规则。这些机构被分为两类。它们是: 1. 涵盖实体: 如果您是美国境内直接参与提供医疗保健服务的人员,HIPAA 会将您归类为涵盖实体 (CE)。 这些人员可能包括医生、牙医、药剂师、护士等医疗从业人员,以及疗养院、医院和诊所。如果您是提供医疗保险的机构,则也必须遵守 HIPAA 法规。 2. 商业伙伴: 业务伙伴有权访问 PHI,虽然他们不直接提供医疗保健服务,但他们可以访问患者的数据。通常,他们代表受保实体 (CE) 提供服务。 业务伙伴可能包括 EHR 供应商、IT 服务提供商、负责处理理赔的计费公司或顾问。
如果您处理患者数据
则被归类为业务伙伴。这可能包括提供 PHI 数据存储或数据传输服务的组织。 如果您不属于上述两类中的任何一类,您仍然 香港数据 需要遵守 HIPAA 行政简化部分的部分规定。如果您是个人健康记录 (PHR) 的供应商或 PHR 相关实体,则必须遵守 HIPAA 违规通知规则。 HIPAA 规则和法规——概述 以下是 HIPAA 规则和条例的简要概述。 1. HIPAA隐私规则: HIPAA隐私规则旨在通过阻止任何未经授权的PHI访问来保护患者的隐私。该隐私规则制定了保护PHI的国家标准,并对此类信息的披露和使用进行了严格的限制。
HIPAA 隐私规则适用于医疗
保健提供者、健康计划以及传输电子 PHI (ePHI) 的业务伙伴。该隐私规则适用于上述涵盖实体和业务伙伴。例如,第三方 IT 服务供应商或患者数据的云存储提供商。 2. HIPAA安全规则 HIPAA 安全规则专门适用于电子患者健康信息 (ePHI)。该规则制定了指导方针,并针对组织的 IT 基础设施实施了技术保障措施。组织实施 HIPAA 安全规 对的收件人数量可能会有所不 则是为了维护 ePHI 的机密性并防止未经授权的访问。 HIPAA 安全规则包含三个主要子类别,分别是: 物理防护措施: 物理防护措施是组织为保护存储 ePHI 的物理设备而采取的措施。这可能涉及访问控制、工作站安全措施等高级措施。 行政保障措施: 行政保障措施是组织管理层为保护电子健康信息 (ePHI) 而积极采取的政策。
例如事件响应计划和员工培训计划
技术保障: 大型医疗保健机构使用防火墙和加密工具,以防止未经授权访问 ePHI。这些都属于技术保障。其中还包括用于监控系统活动的审计控制。 3. HIPAA 违规通知规则: 数据泄露是许多医疗机构极为警惕的严重威胁。HIPAA 违规通知规则旨在降低组织在处理数据泄露时面临的风险。 HIPAA 违规通知规则要求医疗保健机构在未经患者许 布韦岛商业指南 可使用或披露其未受保护的 PHI 时通知患者。此类数据泄露可能会危及 PHI 的隐私和安全。 如果您是受医疗保健覆盖的实体,并且您知晓发生了 PHI 泄露事件,则必须通知相关方(个人、人类与健康服务部以及媒体)。
此操作必须在发现泄露之日起
个日历日内完成。 如果数据泄露规模较大,此处“规模较大”指的是超过 500 名个人的 PHI 信息被泄露,则受保实体必须通知主流媒体。该媒体必须位于数据泄露发生的州或省内。此外,受保实体还必须通知美国卫生与公众服务部 (HHS)。 HIPAA 中的电子邮件合规性 您是否应该让您的电子邮件符合 HIPAA 规定?这取决于您计划如何使用电子受保护健康信息 (ePHI)。如果您的电子邮件网络位于防火墙后面,并且您不打算在防火墙外交换这些电子邮件,那么您无需加密您的电子邮件。 可以这样想。当您发送未加密的电子邮件时,它会通过 SMPT 以纯文本形式从您的服务器发送到收件人的服务器。