Tarkastusraportti terveydenhuoltoalan HIPAA-sääntöjen noudattamisesta
OCR julkaisi 2016–2017 HIPAA Audits Industry -raporttinsa, jossa tarkasteltiin, että valitut terveydenhuoltoyksiköt ja liikekumppanit noudattavat tiettyjä HIPAA:n tietosuoja-, turvallisuus- ja rikkomusilmoitussääntöjen määräyksiä.
HITECH-laki (Health Information Technology for Economic and Clinical Health) edellyttää, että HHS tarkastaa määräajoin piiriin kuuluvia yhteisöjä ja liikekumppaneita, että ne noudattavat HIPAA-sääntöjä. OCR suoritti 166 kattaman kokonaisuuden ja 41 liikekumppanin tarkastuksen ja on ilmoittanut näille organisaatioille OCR:n havainnoista. OCR julkaisee tämän toimialaraportin jakaakseen yleiset havainnot HIPAA-sääntöjen tarkastettujen määräysten noudattamisesta säännellyn toimialan otoksessa.
- 2016-2017 HIPAA Audits Industry Report*
- Lehdistötiedote
*Aputeknologiaa käyttävät ihmiset eivät välttämättä pysty käyttämään kaikkia tämän tiedoston tietoja. Jos tarvitset apua, ota yhteyttä HHS:n kansalaisoikeuksien toimistoon numerossa (800) 368-1019, TDD-maksuton: (800) 537-7697 tai sähköpostitseOCRMail@hhs.gov.
Osana jatkuvia pyrkimyksiämme arvioida HIPAA:n tietosuoja-, turvallisuus- ja rikkomusilmoitussääntöjen noudattamista OCR:n vuoden 2016 vaiheen 2 HIPAA-tarkastusohjelmassa tarkasteltiin piiriin kuuluvien tahojen ja niiden liikekumppaneiden hyväksymiä ja käyttämiä periaatteita ja menettelyjä valittujen standardien ja toteutusvaatimusten täyttämiseksi. Tietosuoja-, turvallisuus- ja rikkomusilmoitussäännöt.
Taustaa OCR:n tietosuoja-, turvallisuus- ja rikkomusilmoitusten tarkastusohjelman vaiheesta 1:
HIPAA vahvisti tärkeitä kansallisia standardeja suojattujen terveystietojen yksityisyydelle ja turvallisuudelle, ja Health Information Technology for Economic and Clinical Health Act (HITECH) asetti rikkomuksista ilmoittamisvaatimukset parantaakseen avoimuutta henkilöille, joiden tiedot voivat olla vaarassa. HITECH edellyttää, että HHS Office for Civil Rights (OCR) suorittaa määräajoin tarkastuksia siitä, että kattamat yksiköt ja liikekumppanit noudattavat HIPAA:n tietosuoja-, turvallisuus- ja rikkomusilmoitussääntöjä. Vuosina 2011 ja 2012 OCR toteutti pilottitarkastusohjelman arvioidakseen 115 kattaman kokonaisuuden toteuttamia valvontatoimia ja prosesseja HIPAA:n vaatimusten mukaisiksi. OCR teki myös laajan arvioinnin pilottiohjelman tehokkuudesta. Tämän kokemuksen ja arvioinnin tulosten pohjalta OCR toteuttaa ohjelman toista vaihetta, jossa tarkastetaan sekä kattamat yhteisöt että liikekumppanit. Osana tätä ohjelmaa OCR kehittää parannettuja protokollia (ohjesarjoja) käytettäväksi seuraavassa tarkastuskierroksessa ja noudattaa uutta strategiaa testatakseen pöytätarkastusten tehokkuutta arvioitaessa HIPAA:n sääntelemän teollisuuden vaatimustenmukaisuutta. Protokollaa koskevaa palautetta voi lähettää OCR:lle osoitteessaOSOCRAudit@hhs.gov.
Lue lisää HIPAA-tarkastusohjelman vaiheesta 1.
Tarkastusvaihe 2
Varoitus: Viralliseksi OCR-tarkastustiedoksi naamioitu tietojenkalasteluviesti – 28. marraskuuta 2016
Tietoomme on tullut, että tietojenkalastelusähköpostia levitetään HHS:n osaston valekirjelomakkeella OCR:n johtajan Jocelyn Samuelsin allekirjoituksella. Tämä sähköposti näyttää olevan virallinen hallituksen viestintä, ja se on suunnattu HIPAA:n piiriin kuuluvien yksiköiden työntekijöille ja heidän liikekumppaneilleen. Sähköposti kehottaa vastaanottajia napsauttamaan linkkiä, joka koskee mahdollista sisällyttämistä HIPAA:n tietosuoja-, turvallisuus- ja rikkomussääntöjen valvontaohjelmaan. Linkki ohjaa yksityishenkilöt kansalaisjärjestölle, joka markkinoi yrityksen kyberturvallisuuspalveluita. Tämä yritys ei ole millään tavalla sidoksissa Yhdysvaltain terveys- ja ihmispalveluministeriöön tai kansalaisoikeusvirastoon. Otamme tämän yrityksen tämän materiaalin luvattoman käytön erittäin vakavasti.
OCR haluaa edelleen kertoa, että tämä tietojenkalasteluviesti on peräisin sähköpostiosoitteesta OSOCRAudit@hhs-gov.us ja ohjaa henkilöt URL-osoitteeseen osoitteessa https://www.hhs-gov.us. Tämä on hienovarainen ero HIPAA-tarkastusohjelmamme viralliseen sähköpostiosoitteeseen OSOCRAudit@hhs.gov, mutta tällainen hienovaraisuus on tyypillistä tietojenkalasteluhuijauksille.
Suojattujen tahojen ja liikekumppaneiden tulee varoittaa työntekijöitään tästä ongelmasta ja ottaa huomioon, että HIPAA-tarkastusohjelmaa koskevat viralliset viestit lähetetään valituille tarkastetuille sähköpostiosoitteestaOSOCRAudit@hhs.gov. Jos sinulla tai organisaatiollasi on kysyttävää siitä, onko se saanut virastoltamme virallisen tiedonannon HIPAA-tarkastuksesta, ota meihin yhteyttä sähköpostitse osoitteessaOSOCRAudit@hhs.gov
Uudet ohjeet vuoden 2016 kassatarkastuksiin
- Diat tarkastetun yksikön verkkoseminaarista, joka pidettiin 13.7.2016
- Kattava kysymys- ja vastausluettelo
LueIlmoitus:OCR käynnistää HIPAA-tarkastusohjelman 2. vaiheen
Lisätietoja Audit Program Protocol -protokollasta
Ohjelman tavoitteet:
Tarkastusohjelma on tärkeä osa OCR:n yleistä terveystietojen yksityisyyttä, turvallisuutta ja rikkomusilmoitusten noudattamista. OCR käyttää auditointiohjelmaa arvioidakseen HIPAA-vaatimustenmukaisuutta useissa HIPAA-säädösten piiriin kuuluvissa yksiköissä. Tarkastukset tarjoavat mahdollisuuden tarkastella vaatimustenmukaisuuden mekanismeja, tunnistaa parhaat käytännöt, löytää riskejä ja haavoittuvuuksia, jotka eivät ehkä ole tulleet esiin OCR:n meneillään olevien valitustutkimusten ja vaatimustenmukaisuustarkastelujen kautta, ja antaa meille mahdollisuuden päästä eroon ongelmista ennen kuin ne johtavat rikkomuksiin. . OCR tunnistaa laajasti tarkastusprosessin aikana kerätyt parhaat käytännöt ja antaa opastusta havaittuihin vaatimustenmukaisuuden haasteisiin.
Milloin seuraava tarkastuskierros alkaa?
Ketä tarkastetaan?
Millä perusteella tarkastettavat valitaan?
Miten valintaprosessi toimii?
Miten tarkastusohjelma toimii?
Entä jos taho ei vastaa OCR:n tietopyyntöihin?
Mikä on tarkastuksen yleinen aikajana?
Mitä auditoinnin jälkeen tapahtuu?
Miten se vaikuttaa kuluttajiin?
Eroavatko tarkastukset osallistujien koon ja tyypin mukaan?
Katsovatko tilintarkastajat osavaltiokohtaisia tietosuoja- ja turvallisuussääntöjä HIPAA:n tietosuojaa, turvallisuutta ja rikkomuksista ilmoittamista koskevien sääntöjen lisäksi?
Kuka on vastuussa paikan päällä toimivien tilintarkastajien maksamisesta?
Milloin seuraava tarkastuskierros alkaa?
OCR:n HIPAA-tarkastusohjelman toinen vaihe on parhaillaan käynnissä.Valitut kattamat yhteisöt saivat ilmoituskirjeet maanantaina 11. heinäkuuta 2016. Liikekumppanien auditoinnit alkavat syksyllä.OCR on alkanut hankkia ja tarkistaa yhteystietoja tunnistaakseen erityyppisiä kattamia yhteisöjä ja liikekumppaneita ja määrittääkseen, mitkä ovat asianmukaisia sisällytettäväksi mahdollisiin tarkastettavien ryhmiin. OCR:n viestit lähetetään sähköpostitse, ja ne voidaan luokitella virheellisesti roskapostiksi. Jos yhteisösi roskapostin suodatus ja virustorjunta ovat automaattisesti käytössä, odotamme sinun tarkistavan roskaposti- tai roskapostikansiosi OCR:n sähköpostien varalta.OSOCRAudit@hhs.gov.Napsauta tätä nähdäksesi mallisähköpostikirjeen.
Kuva
Ketä tarkastetaan?
Jokainen katettu yhteisö ja liikekumppani ovat oikeutettuja tilintarkastukseen. Näihin kuuluvat terveydenhuoltopalvelujen piiriin kuuluvat yksittäiset ja organisaatiot; kaikenkokoiset ja -toiminnalliset terveyssuunnitelmat; terveydenhuollon selvityskeskukset; ja joukko näiden yksiköiden liikekumppaneita. Odotamme kattamien tahojen ja liikekumppaneiden tarjoavan tilintarkastajille täyden yhteistyön ja tukensa.
Millä perusteella tarkastettavat valitaan?
Tarkastusohjelman tätä vaihetta varten OCR tunnistaa piiriin kuuluvia yhteisöjä ja liikekumppaneita, jotka edustavat monenlaisia terveydenhuollon tarjoajia, terveyssuunnitelmia, terveydenhuollon selvityskeskuksia ja liikekumppaneita. Tarkastelemalla laajaa auditointiehdokkaiden kirjoa OCR voi paremmin arvioida HIPAA-vaatimustenmukaisuutta koko toimialalla – huomioiden mahdollisten tarkastettavien koko, tyypit ja toiminta. Tarkastettavan valinnan otoskriteereitä ovat kokonaisuuden koko, suhde muihin terveydenhuoltoorganisaatioihin, kokonaisuuden tyyppi ja sen suhde yksilöihin, onko organisaatio julkinen vai yksityinen, maantieteelliset tekijät ja nykyinen täytäntöönpanotoimi OCR:n kanssa. OCR ei tarkasta yksiköitä, joiden valitustutkimus on käynnissä tai jotka ovat parhaillaan vaatimustenmukaisuuden arvioinnissa.
Miten valintaprosessi toimii?
Kun yhteisön yhteystiedot on saatu, kyselylomake, jonka tarkoituksena on kerätä tietoja mahdollisten tarkastettavien koosta, tyypistä ja toiminnasta, lähetetään kuuluville yhteisöille ja liikekumppaneille. Näitä tietoja käytetään muiden tietojen kanssa mahdollisten tarkastettavien ryhmien kehittämiseen tarkastuskohteiden valintojen tekemistä varten.Napsauta tästä nähdäksesi tarkastuksen esiselvityksen kyselylomakkeen.
OCR pyytää kattamien yksiköiden tarkastettavia henkilöitä tunnistamaan liikekumppaninsa. Kehotamme kuuluvia tahoja laatimaan luettelon jokaisesta liikekumppanista yhteystiedoineen, jotta he voivat vastata tähän pyyntöön.
OCR valitsee tarkastettavat satunnaisotannalla auditointipoolista. Valituille tarkastetuille ilmoitetaan heidän osallistumisestaan.Napsauta tätä nähdäksesi mallimallin, jota entiteetit voivat käyttää liikekumppaneidensa luettelon laatimiseen.Tämän mallin käyttö on valinnaista.
Jos katettu yksikkö tai liikekumppani ei vastaa tietopyyntöihin, OCR käyttää yhteisöä koskevia julkisesti saatavilla olevia tietoja tarkastuspoolinsa luomiseen. Entiteetti, joka ei vastaa OCR:ään, voidaan silti valita tarkastukseen tai sille voidaan tehdä vaatimustenmukaisuustarkastus.
Miten tarkastusohjelma toimii?
OCR aikoo suorittaa sekä kattaville yksiköille että niiden liikekumppaneiden pöytä- ja paikan päällä tarkastuksia. Ensimmäiset tarkastukset ovat kattamien yksiköiden asiakirjoja, joita seuraa liikekumppaneiden asiakirjatarkastukset. Näissä tarkastuksissa tutkitaan tietosuoja-, turvallisuus- tai rikkomusilmoitussääntöjen erityisvaatimusten noudattamista, ja tarkastetuille ilmoitetaan heidän tarkastuksensa aihe(t) asiakirjapyyntökirjeellä. Kaikki tämän vaiheen asiakirjatarkastukset valmistuvat joulukuun 2016 loppuun mennessä.
Kolmas auditointisarja tehdään paikan päällä, ja siinä tarkastellaan laajempaa HIPAA-sääntöjen vaatimuksia kuin pöytätarkastukset. Joillekin auditoitaville henkilöille voidaan tehdä myöhemmät tarkastukset paikan päällä.
Tarkastusprosessissa käytetään yhteisiä auditointitekniikoita. Tarkastukseen valituille tahoille lähetetään sähköposti-ilmoitus valinnasta ja niitä pyydetään toimittamaan asiakirjat ja muut tiedot vastauksena asiakirjapyyntökirjeeseen. Tarkastettavat yhteisöt toimittavat asiakirjat verkossa uuden suojatun auditointiportaalin kautta OCR:n verkkosivuilla. Näissä toisen vaiheen auditoinneissa tulee olemaan vähemmän henkilökohtaisia käyntejä kuin ensimmäisessä vaiheessa, mutta tarkastettavien tulee olla valmiita käyntiin, kun OCR katsoo sen sopivaksi. Tilintarkastajat tarkastelevat dokumentaatiota ja sitten kehittävät ja jakavat havaintoluonnoksia yksikön kanssa. Tarkastettavilla on mahdollisuus vastata näihin luonnoshavaintoihin. heidän kirjalliset vastauksensa sisällytetään lopulliseen tarkastusraporttiin. Tarkastusraporteissa kuvataan yleensä, kuinka tarkastus on suoritettu, käsitellään mahdollisia havaintoja ja sisältävät yksikön vastaukset havaintoluonnoksiin.
Entä jos taho ei vastaa OCR:n tietopyyntöihin?
Jos yhteisö ei vastaa OCR:n tietopyyntöihin, mukaan lukien osoitteen varmennus, esitarkastuksen kyselylomake ja valittujen entiteettien asiakirjapyyntö, OCR käyttää yhteisöä koskevia julkisesti saatavilla olevia tietoja tarkastuspoolinsa luomiseen. Entiteetti, joka ei vastaa OCR:ään, voidaan silti valita tarkastukseen tai sille voidaan tehdä vaatimustenmukaisuustarkastus.
Mikä on tarkastuksen yleinen aikajana?
Lähikuukausina OCR ilmoittaa valituille kattamille tahoille kirjallisesti sähköpostitse heidän valinnastaan pöytätarkastukseen. OCR-ilmoituskirjeessä esitellään auditointiryhmä, selitetään auditointiprosessi ja keskustellaan OCR:n odotuksista tarkemmin. Lisäksi kirje sisältää alustavat asiakirjapyynnöt. OCR odottaa, että tarkastuksen kohteena olevat yhteisöt toimittavat pyydetyt tiedot OCR:n suojatun portaalin kautta 10 työpäivän kuluessa tietopyynnön päivämäärästä. Kaikki asiakirjat on oltava digitaalisessa muodossa ja toimitettava sähköisesti suojatun verkkoportaalin kautta.
Kun nämä asiakirjat on vastaanotettu, tilintarkastaja tarkistaa toimitetut tiedot ja toimittaa tarkastettavalle luonnokset havainnoista. Tarkastettavilla on 10 arkipäivää aikaa tarkistaa ja palauttaa mahdolliset kirjalliset kommentit tilintarkastajalle. Tarkastaja laatii lopullisen tilintarkastusraportin jokaisesta yhteisöstä 30 arkipäivän kuluessa tarkastettavan vastauksesta. OCR jakaa kopion loppuraportista tarkastettavalle yksikölle.
Suorittaessaan kattamien yksiköiden asiakirjoja, OCR toistaa ilmoitus- ja asiakirjapyyntöprosessin käynnistääkseen valittujen liikekumppaneiden asiakirjojen tarkastuksia. OCR jakaa kopion loppuraportista tarkastetun liikekumppanin kanssa.
Vastaavasti yhteisöille ilmoitetaan sähköpostitse valinnastaan paikan päällä tehtävään tarkastukseen. Tarkastajat suunnittelevat sisääntulokonferenssin ja antavat lisätietoja paikan päällä tapahtuvasta auditointiprosessista ja auditointiin liittyvistä odotuksista. Jokainen paikan päällä tapahtuva auditointi suoritetaan 3–5 päivän ajan paikan päällä kokonaisuuden koosta riippuen. Paikalla suoritettavat auditoinnit ovat kattavampia kuin pöytätarkastukset ja kattavat laajemman valikoiman HIPAA-sääntöjen vaatimuksia. Asiakirjatarkastuksen tavoin yhteisöillä on 10 arkipäivää aikaa tarkastella havaintojen luonnosta ja antaa kirjallisia huomautuksia tilintarkastajalle. Tarkastaja laatii lopullisen tilintarkastusraportin jokaisesta yhteisöstä 30 arkipäivän kuluessa tarkastettavan vastauksesta. OCR jakaa kopion loppuraportista tarkastettavalle yksikölle.
Mitä auditoinnin jälkeen tapahtuu?
Auditoinnit ovat ensisijaisesti vaatimustenmukaisuuden parantamista. OCR tarkistaa ja analysoi loppuraporttien tiedot. Tarkastusten kootut tulokset antavat OCR:lle paremman käsityksen HIPAA-sääntöjen tiettyjen näkökohtien noudattamisesta. Yleensä OCR käyttää tarkastusraportteja määrittääkseen, minkä tyyppistä teknistä apua tulisi kehittää ja minkä tyyppiset korjaavat toimet olisivat hyödyllisimpiä. Tarkastuksista kerättyjen tietojen avulla OCR kehittää työkaluja ja ohjeita, jotka auttavat toimialaa vaatimustenmukaisuuden itsearvioinnissa ja rikkomusten estämisessä.
Jos tarkastusraportti osoittaa vakavan vaatimustenmukaisuusongelman, OCR voi käynnistää vaatimustenmukaisuustarkistuksen lisätutkimuksia varten. OCR ei julkaise luetteloa tarkastetuista yhteisöistä tai yksittäisen tarkastuksen löydöksiä, jotka osoittavat selvästi tarkastetun yhteisön. FOIA-lain (Freedom of Information Act) mukaan OCR voi kuitenkin vaatia julkistamaan tilintarkastusilmoituskirjeitä ja muita tietoja näistä tarkastuksista yleisön pyynnöstä. Jos OCR saa tällaisen pyynnön, noudatamme FOIA:n sääntöjä.
Miten se vaikuttaa kuluttajiin?
Tarkastusohjelma on tärkeä työkalu, joka auttaa varmistamaan HIPAA-suojausten noudattamisen yksilöiden hyödyksi. Tarkastusohjelma voi esimerkiksi paljastaa lupaavia käytäntöjä tai syitä terveystietoloukkauksiin, ja se auttaa OCR:tä luomaan työkaluja kattaville tahoille ja liikekumppaneille yksilöllisesti tunnistettavien terveystietojen suojaamiseksi paremmin. Tarkastuksella tunnistettuja ja korjattuja vaatimustenmukaisuutta koskevat huolet parantavat terveystietojen yksityisyyttä ja turvallisuutta. OCR:n tuottama tekninen apu ja lupaavat käytännöt auttavat myös piiriin kuuluvia yhteisöjä ja liikekumppaneita parantamaan pyrkimyksiään pitää terveystiedot turvassa. Tarkastusprosessin aikana OCR ottaa edelleen vastaan valituksia henkilöiltä ja käynnistää vaatimustenmukaisuustarkastuksia, kun se on perusteltua. kattamien yksiköiden ja liikekumppaneiden noudattamisvelvollisuudet pysyvät täysimääräisinä.
Eroavatko tarkastukset osallistujien koon ja tyypin mukaan?
Tarkastusprotokollat on suunniteltu toimimaan useiden kattamien kokonaisuuksien ja liikekumppaneiden kanssa, mutta niiden käyttö voi vaihdella tarkastettavan kokonaisuuden koon ja monimutkaisuuden mukaan.
Katsovatko tilintarkastajat osavaltiokohtaisia tietosuoja- ja turvallisuussääntöjä HIPAA:n tietosuojaa, turvallisuutta ja rikkomuksista ilmoittamista koskevien sääntöjen lisäksi?
Ei, tarkastusohjelman soveltamisala ei ulotu tietosuojaa, turvallisuutta ja rikkomuksista ilmoittamista koskevia sääntöjä pidemmälle.
Kuka on vastuussa paikan päällä toimivien tilintarkastajien maksamisesta?
Paikalla olevista tarkastajista vastaa terveys- ja henkilöstöosasto. Tarkastusohjelman kustannuksista eivät ole vastuussa kattamat yhteisöt tai niiden liikekumppanit.