随着针对医疗机构的成功网络攻击数量持续上升,卫生与公众服务部(HHS)监察长办公室(OIG)的一份新报告呼吁HHS更好地确保电子保护健康信息(ePHI)的保护。HHS民权办公室(OCR)需要对医疗机构进行定期审计,以评估其是否符合1996年《健康保险流通与责任法案》(HIPAA)的安全规则要求。这一要求源于《经济和临床卫生健康信息技术法案》。
然而,OIG发现,OCR对其HIPAA审计计划的监督“在改善所涵盖实体和商业伙伴的网络安全保护方面效果不佳”虽然OCR履行了HITECH法案规定的定期HIPAA审计的要求,但监管机构表示,OCR的HIPAA审计实施“范围过于狭窄,无法有效评估ePHI保护措施,并证明医疗保健行业的风险降低。”具体而言,该报告称,OCR的审计仅包括评估180项HIPAA规则要求中的8项。
值得注意的是,这八项要求中只有两项与《安全规则》行政保障措施有关,没有一项与物理和技术安全保障措施有关。OIG表示,物理和技术保障措施有助于保护实体及其系统免受“未经授权的入侵和访问ePHI”。报告称:“因此,OCR错过了识别物理和技术缺陷的机会,这些缺陷应该得到纠正,以降低医疗保健部门的风险。此外,实体的ePHI可能容易受到不良行为者的危害或意外事故的意外暴露。”。
OIG向OCR提出了四项建议,包括扩大HIPAA审计的范围,以评估是否符合《安全规则》的物理和技术保障措施。它还建议OCR记录并实施标准和指导,以确保及时纠正HIPAA审计期间发现的任何缺陷。此外,它希望该办公室制定标准,以确定在HIPAA审计期间发现的合规问题是否应导致OCR启动合规审查。
最后,OIG建议OCR制定指标,以监测其HIPAA审计在改善被审计实体对ePHI的保护方面的有效性,并定期审查这些指标。OCR同意四项建议中的三项。它不同意第二项建议,指出根据HITECH法案,“实体可以选择支付民事罚款,而不是通过纠正行动计划解决HIPAA缺陷,并且不能被强迫签署解决协议或立即纠正问题。”
该报告于同一周公开发布,路易斯安那州共和党参议员Bill Cassidy、新罕布什尔州民主党参议员Maggie Hassan、得克萨斯州共和党参议员John Cornyn和弗吉尼亚州民主党参议员Mark Warner提出了一项法案,旨在加强医疗保健部门的网络安全,保护美国人的健康数据。
该法案名为《2024年医疗保健网络安全和弹性法案》,将要求HHS更新HIPAA法规,以便HIPAA覆盖的实体和商业伙伴使用现代网络安全实践。这些包括多因素身份验证、加密受保护健康信息的保护措施,以及进行渗透测试等其他“审计”的要求。