卫生与公众服务部鼓励在医疗网络攻击后对HIPAA合规性进行紧急审查

The U.S. 美国卫生与公众服务部(HHS)最近发布了一份 letter 解决影响联合健康集团(UnitedHealth Group)子公司改变卫生保健的网络安全事件. 鉴于这次网络攻击的“空前规模”, HHS的民权办公室(OCR)正在调查这些实体是否遵守了HIPAA Privacy, Security and 违反通知 规则(HIPAA规则)，包括是否发生了违反受保护健康信息(PHI)的情况.

OCR也鼓励hipaa覆盖的实体(例如.g.(健康计划、健康保险发行者和医疗保健提供者)及其业务伙伴 “紧急”审查他们的网络安全措施 以确保运行状况信息受到保护.

而许多雇主在他们的健康计划中没有PHI, 使用第三方供应商的雇主, 例如第三方管理人员(tpa)和药品福利管理人员(PBMs), 是否应该在选择过程中调查和验证这些供应商的网络安全措施. 雇主还应确保他们有适当的商业伙伴协议，其中包括对电子PHI的充分安全保护.

医疗保健网络攻击

On Feb. 21, 2024, 改变卫生保健, 美国最大的医疗保险账单和支付管理平台之一, 遭遇大规模网络攻击. 这次袭击影响了全国数百万的医疗服务提供者和患者. 网络安全专家认为这次事件是历史上最具破坏性的攻击之一. 

据OCR称，勒索软件和黑客攻击是医疗保健领域的主要网络威胁. 在过去的五年里, 向OCR报告的涉及黑客攻击的大型违规行为增加了256%，勒索软件增加了264%. 2023年，黑客攻击占OCR报告的大型违规行为的79%.

行动步骤

鉴于OCR的重点是保护电子PHI，雇主应考虑以下步骤:

• 从健康计划中获得PHI的雇主应审查其当前的网络安全措施并进行适当的更新.  
• 即使雇主无权使用PHI, 它应该在选择过程中审查未来的TPA或PBM的网络安全实践.
• 雇主还应确保他们的商业伙伴协议包括充分的安全保护. 

遵循资源

保护PHI是OCR的首要任务. 帮助受保实体和业务伙伴保护其系统免受网络攻击, OCR提供了各种各样的资源, including: 

·         HIPAA安全规则指导材料

·         OCR视频- HIPAA安全规则如何防范网络攻击

·         OCR HIPAA安全规则风险分析要求研讨会

·         HIPAA安全风险评估工具

·         概况介绍:勒索软件和HIPAA

本法律更新并非详尽无遗，任何讨论或意见也不应被视为法律建议. 读者应向法律顾问咨询法律意见. ©2024 Zywave, Inc. 版权所有.