Sağlık Hizmetleri, Sektöre Özel, Standartlar, Yönetmelikler ve Uyumluluk
Ajans, Aktif Olmayan Programı Yeniden Değerlendirmek İçin Önceki Denetlenenleri Araştırıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
13 Şubat 2024
ABD federal düzenleyicileri sağlık sektörünü daha güçlü bir siber güvenlik duruşuna itmek için bir stratejiye ince ayar yaparken, yıllardır uykuda olan bir HIPAA uyumluluk denetim programının tozunu almayı planlıyor gibi görünüyorlar.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Sağlık ve İnsani Hizmetler Bakanlığı’nın bir sağlık kuruluşunu en son 2017 yılında denetlediği görüldü. Kurumun programı yeniden canlandırma potansiyeline sahip olduğu haberi şok edici oldu.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Bu konu önemli” dedi. “Ne kapsam dahilindeki kuruluşlar ne de iş ortakları, HIPAA uyumluluğuna ilişkin federal bir denetim beklemiyor.”
Sağlık ve İnsan Hizmetleri Bakanlığı Pazartesi günü Federal Kayıt’ta, Sivil Haklar Dairesi’nin en son 2017’de kullanılan HIPAA uyumluluk denetim programını değerlendirmek için yakında tetiği çekeceğini belirten bir bildirim yayınladı.
HHS OCR, ajansın 2016-2017 HIPAA denetimlerine katılan 207 kuruluş ve iş ortağıyla 39 soruluk çevrimiçi bir anket gerçekleştireceğini söyledi.
HHS OCR, “Anket, denetimlerin denetlenen kuruluşlar üzerindeki etkisine ve kuruluşların denetim süreci hakkındaki görüşlerine ilişkin bilgi toplayacak” dedi.
Ajans, kapsam dahilindeki kuruluşların HIPAA uyumluluk çabalarını değerlendirmede ne kadar etkili olduklarını belirlemek için 2016-2017 HIPAA denetimlerini gözden geçirdiğini söyledi.
Ajans, incelemenin bir parçası olarak çevrimiçi anketin, 2016-2017 HIPAA denetimlerinin kapsam dahilindeki kuruluşların ve iş ortaklarının HIPAA kurallarına uymaya yönelik sonraki eylemleri üzerindeki etkisini ölçmek için kullanılacağını söyledi.
Anketler aynı zamanda kuruluşlara denetimler ve HHS’nin kılavuz materyalleri ve iletişimlerinin yararlılığı, çevrimiçi başvuru portalının faydası, denetimin kuruluş uyumluluğunu geliştirmeye yardımcı olup olmadığı ve denetimin özellikleri gibi konularda geri bildirim sunma fırsatı da sağlayacak. HHS OCR, kuruluşların denetim raporu bulgularına ve tavsiyelerine verdiği yanıtları açıkladı.
Ajans ayrıca, kuruluşların denetimle ilgili belgeleri toplama ve denetimle ilgili taleplere yanıt verme konusunda yüklediği “yükün” yanı sıra kuruluşların günlük operasyonları üzerindeki etkisi hakkında daha iyi bilgi edinmek için anketlere bakacağını söyledi. .
HHS OCR, 2009 HITECH Yasası kapsamında HIPAA denetimlerini yürütmekle görevlendirildi, ancak bu çabanın ilerlemesi yavaş oldu.
Ajans, HHS OCR’nin denetimlerden önce kamuya açıkladığı çeşitli farklı denetim protokollerinin geliştirilmesine yardımcı olan dışarıdan yüklenicileri işe aldı. HHS OCR, bu protokolleri 2011’den başlayarak birkaç tur pilot denetimde kullandı, ancak yerinde denetimler ve uzaktan “masa denetimleri” de dahil olmak üzere denetimler 2017’de başarısızlıkla sonuçlandı.
2016 ve 2017 yılları arasında, HHS OCR, en son uyumluluk denetimleri turunda, uzaktan denetimler yoluyla kapsam dahilindeki 200’den fazla kuruluşu ve iş ortağını inceledi.
Aralık 2020’de HHS OCR, 2016 ve 2017’de yürütülen HIPAA uyumluluk denetim programından elde edilen bulgulara ilişkin, inceleme için seçilen kapsam dahilindeki kuruluşların ve iş ortaklarının eksikliklerini gösteren bir rapor yayınladı (bkz.: Sonunda HIPAA Uygunluk Denetim Programının Sonuçları Açıklandı).
Güvenlik riski analizinin yapılmaması ve hastalara kayıtlarına erişim izni verilmemesi de dahil olmak üzere raporda vurgulanan eksiklikler bugün hala yaygın.
Ancak 2016-2017 denetimlerinin tamamlanmasından ve raporun 2020’de yayınlanmasından bu yana HHS OCR, devam eden uygulama planlarının bir parçası olarak HIPAA denetimlerine odaklanmadı veya bunlardan bahsetmedi.
Büyük sürpriz?
HIPAA denetim programının yeniden canlanması bazı deneyimli HIPAA uzmanlarını şaşırttı.
Hales şunları söyledi: “HHS, 15 yıldır HIPAA Gizlilik ve Güvenlik Kurallarına uyum konusunda kapsam dahilindeki kuruluşlar ve iş ortakları tarafından yıllık periyodik denetimler yapmadığı veya bu denetimlerin bulgularını Senato ve Meclis komitelerine sunmadığı için HITECH Yasasını ihlal etti. kanun.”
Hales, OCR’nin yalnızca “1. ve 2. aşama denetimleri gerçekleştirerek ve 180 denetim protokolü oluşturarak suya dalmış” olmasının sektöre yanlış mesaj gönderdiğini söyledi.
“Bu, sorunun altını çiziyor. HIPAA tarafından düzenlenen kuruluşlar, HIPAA uyumluluğunun uygulanmasından korkmuyor. Sonuç olarak, HIPAA uyumluluğunun diğer günlük meselelerden daha az acil olduğunu düşünüyorlar ve hasta mahremiyeti gereksiz derecede yüksek risk altında.”
Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, denetim programının uyumluluk sorunlarının görünürlüğünü artırmada önemli bir etkisi olduğunu ve denetim tehdidinin birçok kuruluşun uyumluluk programlarını değerlendirmesine ve iyileştirmesine neden olduğunu söyledi.
Greene, denetimlerin birkaç yıl önce sona ermesinden bu yana, “OCR’nin uyumluluk çabalarının çoğu ‘erişim hakkı’ girişimine odaklandı, ancak bu cephede biraz daha az eylem görüyoruz” dedi. “OCR, denetim programının 3. aşamasını başlatmak ve bunu uyumluluk ve uygulama çabalarının daha kalıcı bir parçası haline getirmek için daha fazla bant genişliğine sahip olabilir” dedi.
Yine de HHS OCR’nin araştırması, kurumun denetim programını yeniden başlatmakla ilgilendiğini gösterse de Greene, “programın yeni aşamasının başlaması bir yıl veya daha fazla zaman alabilir” dedi.
Denetimlerin son turunda, kurum çoğunlukla kapsam dahilindeki kuruluşlar ve iş ortaklarından rastgele birini seçti. Greene, kurumun denetim programına devam etmeye karar vermesi durumunda bu yöntemin en iyi seçenek olabileceğini söyledi.
“Rastgele, katmanlı bir yaklaşım mantıklıdır; çoğunlukla rastgeledir ancak OCR, sağlık sektörü genelinde temsili bir örnek oluşturmaya çalışır” dedi. “OCR, ihlalleri bildirmeyen kuruluşlara yönelik daha fazla görünürlükten faydalanacaktır.”
Hales, HHS OCR’nin son denetim turundaki bulguların “korkunç” olduğunu söyledi.
Hales, denetimin yalnızca yedi konuyu kapsadığını ve “tüm CE’ler ve BA’ların denetim için kısa listede olduklarını bildiklerini ve soruları önceden bildiklerini” söyledi. HHS OCR, denetim protokollerini denetimlerden önce yayınladı.
Hales, “Bununla birlikte, kapsam dahilindeki kuruluşların %86’sı ve iş ortaklarının %83’ü risk analizi denetiminde başarısız oldu ve CE’lerin %94’ü ve BA’ların %88’i risk yönetimi denetiminde başarısız oldu” dedi.
“HIPAA uyumluluğunun ülke çapında periyodik olarak denetlenmesi büyük, kaynak açısından yoğun bir iştir” dedi. “Bu ortamda HHS büyük olasılıkla Kongre’den ek finansman alamayacaktır. Ancak sürekli olarak bir finansman kaynağını, yani HIPAA uygulama kuralı aracılığıyla mevcut olan sivil para cezalarından elde edilen gelirleri göz ardı etmektedir” dedi.
HHS OCR, Information Security Media Group’un HIPAA denetim planları ve denetimlerin HHS’nin sağlık sektörü kuruluşlarını daha güçlü siber güvenlik programlarını uygulamaya itmek için gelişen stratejisinin tamamlanmasına yardımcı olmak için kullanılıp kullanılmayacağına ilişkin ek ayrıntılara ilişkin talebine hemen yanıt vermedi (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).