如何確保您的遠程員工符合 HIPAA

為遠程員工維護 HIPAA 合規性可能是一項艱鉅的任務,但並非必須如此。繼續閱讀以了解遠程訪問和支持如何使其變得簡單。

多年來,大多數醫療保健組織都已輕鬆融入其 HIPAA 合規流程。然而,在過去兩年中,隨著遠程工作、遠程醫療的興起以及對受保護健康信息 (PHI) 的網絡威脅日益增加,情況發生了顯著變化。

Gartner 最近估計,51% 的知識工作者將在 2022 年初遠程執行他們的工作。這種向遠程工作的轉變對必須遵守《健康保險流通與責任法案》(HIPAA) 法規的組織具有重大影響。

遠程工作者是否存在 HIPAA 合規風險?

不,遠程工作人員本身並不是天生的風險。但是,不准備為遠程工作人員配備遵守數據隱私法規所需的資源的 IT 團隊存在風險。 2021 年醫療保健 IT 新聞文章指出,每 10 個 IT 團隊中只有 2 個表示他們提供了足夠的工具和資源來支持員工長期遠程工作。這種準備不足使組織面臨違反 HIPAA 的數據和電子病歷 (EMR) 保護規定的風險。

事實上,美國衛生與公眾服務部 (HHS) 特別指出了員工使用缺乏 HIPAA 合規功能的遠程訪問系統時的 HIPAA 合規風險在描述定期審查和修改安全策略以符合 HIPAA 的必要性時,HHS 表示:“這對於允許通過便攜式設備或在外部系統或非自有或由相關實體管理。”

HIPAA 違規是一項昂貴的監督

HIPAA 違規處罰會迅速升級,每次違規最高可達 180 萬美元。最重要的是,建議要求遵循成本高昂的糾正行動計劃 (CAP),以防止未來的違規行為。處罰和 CAP 要求由 2013 年 3 月生效的“經濟和臨床健康信息技術法案 (HITECH)涵蓋實體的聯營公司。

例如,最近的一篇國家法律評論文章描述了 Peachstate Health Management, Inc. 如何將其 HIPAA 違規罰款降至 25,000 美元。然而,他們必須實施的 CAP 的成本要高得多,因為它需要 Peachstate 執行以下操作:

  • 進行企業範圍的風險分析
  • 制定和實施風險管理計劃
  • 制定專為 HIPAA 安全規則合規性設計的政策和程序
  • 分發政策和程序
  • 為勞動力開發培訓材料
  • 指定獨立監視器
  • 提交執行報告、不合規報告和年度報告

聘請專家獨立監督員將遠遠超過 25,000 美元的罰款,特別是因為他們必須得到 OCR(美國衛生與公眾服務部民權辦公室)的批准。

Splashtop 遠程訪問和支持解決方案如何幫助您合規?

首先,最需要注意的是, Splashtop 無法訪問患者信息或記錄(EMR、PACS 等)。 Splashtop 解決方案在加密的遠程訪問或支持會話中處理桌面流。這樣做時,Splashtop 永遠無法訪問會話數據。

不訪問會話數據是一個重要的區別。這意味著 Splashtop 可以根據 HIPAA 管道例外規則提供遠程訪問和支持服務。管道例外僅限於傳輸服務(無論是數字還是硬拷貝),包括任何臨時存儲與此類傳輸相關的傳輸數據。這將 Splashtop 等服務排除在必須與涵蓋實體簽訂業務夥伴協議的情況下。

這使我們的客戶能夠快速實施 Splashtop 解決方案,而無需與 HIPAA 相關的大量合同。此外,他們知道他們的患者信息和記錄保留在他們的系統中,永遠不會超出他們組織的範圍。

確保數據安全的其他 Splashtop 安全措施

Splashtop 已開發“安全策略”作為我們的技術和組織措施 (TOM) 的一個子集。這些描述了 Splashtop 實施和維護的安全措施和控制措施,以保護和保護我們存儲和處理的數據。我們的 IT 安全政策由我們的 IT 安全專家定期審查和修改。

最重要的是,Splashtop 員工每年完成兩次信息安全培訓。作為培訓的一部分,他們同意遵守我們的“行為準則”中規定的道德商業行為、保密和安全政策。

Splashtop 的安全策略由具有許多功能的強大數據安全架構支持。當您的員工遠程工作時,加密和訪問控制是維護數據保護最重要的兩個。

  • 加密: Splashtop 對傳輸中和靜態的所有用戶數據進行加密,所有用戶會話均使用 TLS 安全建立。每個會話中訪問的內容始終通過 256 位 AES 加密。
  • 訪問控制: Splashtop 實施了訪問控制來管理對數據和系統的電子訪問。我們的訪問控制基於權限級別、需要知道的級別以及訪問系統的人員的職責分離。我們通過定期帳戶審查、訪問監控和日誌記錄來跟進基於角色的訪問。

Splashtop 遠程訪問引入了更多安全功能,例如設備身份驗證、雙重身份驗證 (2FA)、單點登錄 (SSO) 等。如果您想了解更多信息,我們匯總了Splashtop 支持 HIPAA 的安全功能的完整列表。

通過遠程訪問和支持使您的組織符合 HIPAA

隨著遠程工作的存在,許多組織正在利用遠程訪問和支持解決方案來安全地處理 EMR 和其他患者數據。為了使您的組織符合 HIPAA,您需要採用安全可靠的遠程訪問和支持。

Splashtop 為數百家醫療保健組織提供安全可靠的遠程訪問和支持——符合 HIPAA 和其他消費者隱私法規。要了解 Splashtop 如何使您的組織能夠讓遠程工作人員遵守 HIPAA,請立即聯繫 Splashtop 專家

訂閱我們的安全訂閱源,了解最新的安全新聞。

相關內容

部落格下方的免費試用橫幅