合规目的: 涵盖实体被允许出于合规目的向卫生与公众服务部 (HHS) 披露受保护的健康信息。
除这些情况外,未经患者事先授权,受保实体不得披露任何受保护的健康信息。
HIPAA 安全规则
HIPAA 的另一个重要元素是安全规则,该规则于 2003 年最终确定。与隐私规则一样,安全规则侧重于受保护的健康信息。但是,安全规则并不规定组织可以或不可以披露信息,而是规定组织必须如何保护存储和传输中的数据。这些数据有时被称为“受保护的电子健康信息”或“ePHI”。
根据《安全规则》,涵盖实体必须遵守以下标准:
保护电子受保护健康信息的机密性。
识别并减轻对 ePHI 安全的预期威胁。
防止预期的未经授权的访问、使用和披露 ePHI。
记录并证明整个组织的员工合规情况。
根据 HIPAA 杂志,HIPAA并未 明确规定加密要求;为了适应技术的发展,这些要求故意含糊其辞,可供人们自由解读。美国卫生和公众服务部并未将医疗保健机构与可能很快就会过时的加密要求挂钩,而是允许机构为其特定系统选择最合适的保护措施。出于合规目的,必须提供这些安全措施的文档。
美国国家标准与技术研究所建议 使用高级加密标准 (AES) 128 位、192 位或 256 位加密,以及 Open PHP 和 S/MIME。
卫生与公众服务部民权办公室负责执行《健康保险隐私及责任法》规定的隐私规 委内瑞拉whatsapp 数据 则和安全规则。迄今为止,民权办公室已审查了超过 23 万起有关《健康保险隐私及责任法》的投诉,并针对医疗机构的政策和程序采取了纠正措施,并将可能违反《健康保险隐私及责任法》的案件转交给司法部。
OCR 有权对违反 HIPAA 规则的行为处以经济处罚。 根据 HIPAA Journal 报道,受保实体可能犯下四类违规行为,每类违规行为都会被处以罚款:
第 1 级: 这是受监管实体不知情的违规行为,即使采取合理的谨慎措施也无法避免。每次违规的最低罚款为 100 美元,最高罚款总额为 50,000 美元。
第 2 级: 这是受保实体本应意识到但即使采取合理谨慎措施也无法避免的违规行为(除非故意忽视 HIPAA 规则)。每次违规的最低罚款为 1,000 美元,最高罚款总额为 50,000 美元。
第 3 级: 此类违规行为是故意忽视 HIPAA 规则的直接后果,但已尝试纠正违规行为。每次违规的最低罚款为 10,000 美元,最高罚款总额为 50,000 美元。
第 4 级: 违反 HIPAA 规则,构成故意疏忽,且未尝试纠正违规行为。每次违规的最低罚款为 50,000 美元。