医疗数据安全：合规性与最佳实践指南

关键要点

美国卫生与公众服务部（HHS）近期发布的详细说明了受医疗数据泄露影响的实体需要向该机构提供的证据和文件，以符合《HITECH法案》安全港修正案所规定的减轻责任条件。

特朗普政府于2021年1月5日签署了HR7898法案，此法案修订了HITECH法案，并被视为一种激励措施，旨在鼓励医疗提供机构满足最佳网络安全实践要求，而不是在出现数据泄露后施加巨额罚款，即使这些实体已尽力而为。

该法案指示HHS在审计被泄露实体以确定可能的执法行动时，必须考虑该实体在报告安全事件后的12个月内是否采取了。

HHS在计算与安全事件相关的罚款时，还必须考虑这些安全措施的有效性，并在确认受影响实体满足安全要求时减少调查的范围和时间。

根据法律规定，“‘认可的安全实践’指在NIST和2015年网络安全法案下制定的标准、指南、最佳实践、方法学、程序和流程，以及其他根据其他法令的法规所开发和/或认可的网络安全项目”。

的网络安全高级顾问NickHeesters解释道，该办公室在去年开始在调查中考虑这些措施。

美国医院协会的网络安全与风险国家顾问JohnRiggi赞扬了该视频及法案的重要性，指出其“为医院和医疗系统提供了重大激励，以自愿实施认可的网络安全实践”，尤其是在“面对持续的高影响网络攻击和政府对医疗网络安全实践的更严格审查时”。

在视频中，Heesters详细说明了符合安全要求的内容，以便实体了解其适用性及所需文档，从而能够享受安全港法案带来的利益。

提供商组织被敦促审查NIST网络安全框架和/或2015年网络安全法案，或者卫生行业网络安全实践（HICP），也叫405d，这些文档概述了最佳实践。对于中小型实体，HICP特别针对其独特的需求进行了调整。

选择405d的实体可以实施网络安全实践，其中还包括详细列出必要措施的技术文档，比如“资产管理、终端保护、漏洞管理、事件响应，以及其他处理网络安全的项目和流程”，Heesters补充道。

“OCR将要求选择‘其他’认可安全实践的实体提供监管或法定条款，证明这些实践是依据法令或法规制定、认可或颁布的，”他表示。“需要注意的是，实施认可的安全实践是完全自愿的过程。”

为了让OCR考虑这些因素，Heesters提醒实体必须提供证据，证明这些措施在报告的安全事件发生前至少已实施12个月。这些实践的实施只会被视为调查及审计中的减轻因素。

另一方面，法案的措辞指出“未能实施认可的安全实践不会被视为OCR调查中的加重因素，未实施认可安全实践的受监管实体不承担责任，”Heesters说，这意味着实体不会因未参与实施而受到惩罚。

提供的证据旨在“示例性—而非全面或专有”。因此，实体可以提交任何其认为可以证明已充分实施最佳实践措施的证据。

Heesters提醒医疗提供者三大要点：未来计划实施最佳实践而未实际实施是不够的，措施必须是实施而非仅仅书面记录，并且这些措施必须在整个机构内得到落实。

“放