HHS OCR, HIPAA Denetim Programını Güçlendirmeli

Ancak denetim programı 2020’den bu yana hareketsiz durumda ve bir gözlemci kurum, HHS’nin programı yeniden başlatması ve denetimlerinin kapsamını sıkılaştırması gerektiğini söylüyor.

Salı günü yayınlanan HHS Genel Müfettiş Ofisi raporu, HHS OCR’nin HITECH Yasası uyarınca periyodik HIPAA denetimleri gerçekleştirme gerekliliğini yerine getirdiğini söylüyor. Ancak 2020’de gerçekleştirilen sözde “masa başı denetimlerinin” son kısmı yetersizdi.

Raporda, OCR’nin özellikle 2016 ile 2020 yılları arasında 166 kapsam dahilindeki kuruluş ve 41 iş ortağı dahil olmak üzere toplam 207 denetim gerçekleştirdiği belirtiliyor. Bu, ABD’deki binlerce HIPAA kapsamındaki kuruluşun ve iş ortağının yalnızca küçük bir kısmıdır.

Raporda, “Birçok durumda, OCR’nin denetim sonuçları, denetlenen kuruluşların HIPAA Kurallarına uymak için ihmal edilebilir düzeyde çaba harcadığını veya bunlara uyma konusunda ciddi bir girişimde bulunduğuna dair kanıt sunmadığını gösterdi” ifadesine yer verildi.

Ayrıca denetimler, OCR’nin kendi HIPAA denetim protokolünde yer alan 180 HIPAA Gizlilik, Güvenlik ve İhlal Bildirimi kuralı gerekliliğinden yalnızca sekizinin değerlendirilmesinden oluşuyordu.

“Bu sekiz denetimden OCR’nin denetimleri yalnızca iki Güvenlik Kuralı idari korumasına uygunluğun değerlendirilmesini içeriyordu ve hiçbir fiziksel ve teknik güvenlik önlemi yoktu.” İncelenen iki HIPAA Güvenlik Kuralı idari önlemi, güvenlik riski analizi ve risk yönetimiydi çünkü bu iki alan, OCR’nin ihlal soruşturmalarında ve uygulama eylemlerinde sıklıkla bulduğu uyumluluk zayıflıkları olarak kabul ediliyordu.

Ancak HHS OIG, HIPAA denetimlerine – özellikle Güvenlik Kuralı gereksinimlerine ilişkin olarak – bu kadar dar bir şekilde odaklanarak “OCR, sağlık sektörü içindeki riskleri azaltmak için düzeltilmesi gereken fiziksel ve teknik eksiklikleri belirleme fırsatını kaçırdı” dedi.

Raporda, “Ayrıca kuruluşların ePHI’sı, kötü aktörler tarafından tehlikeye atılmaya veya kasıtsız bir aksilik nedeniyle kazara maruz kalmaya karşı savunmasız olabilir” denildi.

HHS OIG, HHS OCR’ye dört tavsiyede bulundu ve HHS OCR, biri hariç bunların hepsini kabul etti. Bu tavsiye, HHS OCR’nin, HIPAA denetimleri sırasında tespit edilen eksikliklerin zamanında düzeltilmesini sağlamak için standartları ve rehberliği belgelemesi ve uygulamasıydı.

HHS OCR, yanıtında, denetim sonrası değerlendirmelerin takibi de dahil olmak üzere kurumun daha sık ve daha yoğun HIPAA denetimleri gerçekleştirmemesinin temel nedeni olarak yeterli kaynak eksikliğini belirtti.

HHS OIG’nin HHS OCR’nin de aynı fikirde olduğu diğer tavsiyeleri kuruma yöneliktir:

• Güvenlik Kuralının fiziksel ve teknik önlemlerine uygunluğu değerlendirmek için HIPAA denetimlerinin kapsamını genişletmek;
• HIPAA denetimi sırasında belirlenen bir uyumluluk sorununun OCR’nin bir uyumluluk incelemesi başlatmasıyla sonuçlanıp sonuçlanmayacağına karar vermek için kriterleri tanımlayın ve belgeleyin;
• OCR’nin HIPAA denetimlerinin, denetlenen kuruluşların ePHI üzerindeki korumalarını iyileştirme konusundaki etkinliğini izlemeye yönelik ölçütleri tanımlayın ve bu ölçütlerin iyileştirilmesi gerekip gerekmediğini periyodik olarak gözden geçirin.

Şubat ayında HHS OCR, Federal Kayıt’ta, HIPAA uyumluluk denetim programını potansiyel değişiklikler açısından değerlendirmek üzere yakında bir çalışmanın tetiğini çekeceğini belirten bir bildirim yayınladı (bkz: Geri Döndüler: HHS OCR Rastgele HIPAA Denetimlerini Yeniden Diriltmeyi Planlıyor).

HHS OCR Direktörü Melanie Fontes Rainer, Mayıs ayında Information Security Media Group ile yaptığı röportajda, kurumun hareketsiz denetim programına devam etmeyi planladığını söyledi.

Yıl sonuna kadar HHS OCR, HIPAA Güvenlik Kuralı için önerilen bir güncellemeyi, düzenlemelerin ilk yayımlanmasından bu yana son yirmi yılda meydana gelen teknoloji ve sağlık hizmetleri sunumunun gelişimini daha iyi yansıtacak şekilde yayınlamayı planladığını söyledi. 20 yıllık HIPAA Güvenlik Kuralına yapılan bu güncelleme şu anda Beyaz Saray Yönetim ve Bütçe Ofisi tarafından inceleniyor (bkz.: Beyaz Saray, HIPAA Güvenlik Kuralındaki Güncellemeleri İnceliyor).

HHS OCR, ISMG’nin HHS OIG raporu ve HIPAA denetim programı planlarının durumu hakkında yorum yapma talebine hemen yanıt vermedi.

Gerekli Değişiklikler

Bazı uzmanlar, HHS OCR’nin HIPAA denetim programındaki eksikliklerin nedeninin (kaynak eksikliği) oldukça inandırıcı olduğunu söyledi. Davis Wright Tremaine hukuk firmasından gizlilik avukatı Adam Greene, “Deneyimlerime göre, OCR’de gerçekten önemli ölçüde personel eksikliği var” dedi.

HHS OCR’de görev yapan Greene, “OCR, hukuki para cezalarını ve karar tutarlarını elinde tutuyor ve bunları denetimler gibi yaptırımlara uyguluyor. Ancak kalıcı personelin işe alınmasına yönelik tek seferlik yaptırım ödemelerini uygulamak zor olabilir” dedi. Obama yönetimi.

Ancak Greene, Ocak ayında Donald Trump’ın bir sonraki yönetimi altında yeni HHS liderliği geldiğinde, HIPAA denetim programını yenilemenin HHS OCR’nin yapılacaklar listesinde acil bir madde olmayacağını söyledi. “Yeni yönetimin en önemli önceliklerinden biri federal düzenleyici kurumları genişletmek yerine onları azaltmak olduğunda bu sorunun düzeleceğini düşünmüyorum” dedi.

Bununla birlikte, “Yeni yönetimin HIPAA denetim programını yeniden canlandırmaya çalışacağını, ancak muhtemelen OCR’nin personel artırma yeteneğini sınırlayacak ‘daha azıyla daha çok’ yaklaşımını kullanacağını düşünüyorum” dedi.

Polsinelli hukuk firmasından gizlilik avukatı Iliana Peters, önemli bir uyarıyla HHS OIG’nin tavsiyelerine katılıyor. “Kongre çalışanları ile yaptığım görüşmeler de dahil olmak üzere çeşitli vesilelerle HHS OCR’nin ihlalleri rapor etmeyen kuruluşları denetlemesi gerektiğini belirttim” dedi.

“Başka bir deyişle, HHS OCR, sağlık sektöründeki HITECH Yasası’nın denetim gereklilikleri aracılığıyla herhangi bir uyumluluk üstlenmediği iddia edilen kuruluşlarla ilgili olarak çıtayı yükseltme konusunda yasal yetkiye sahiptir” dedi.

HHS OCR’nin eski kıdemli danışmanlarından Peters, HHS OCR’nin şu anda tüm kaynaklarını en azından ihlalleri zamanında bildirmeye çalışan kuruluşlara odakladığını söyledi.

“HHS OCR, HIPAA gerekliliklerine uymaya çalışmayan kuruluşlar üzerinde proaktif denetimler yapmadığı sürece, bu sektördeki sağlık kuruluşlarının birbiriyle ne kadar bağlantılı olduğu göz önüne alındığında, tüm sektörün siber güvenliği asla iyileşmeyecektir.”

WilmerHale hukuk firmasının gizlilik avukatı Kirk Nahra, HIPAA denetim programının “hiçbir zaman büyük bir hayranı olmadığını” söyledi.

“Buna çok fazla para harcandı ve gösterilecek çok az şey var. Seçilen kuruluşların üzerindeki yük – bunların rastgele olup olmadığı belli değil – çok büyüktü ve bu kuruluşlar için gerçekten oldukça adaletsizdi” dedi.

“Daha kapsamlı bir denetim programının (yine, muhtemelen birimlerin rastgele belirlenmesine dayanan) anlamlı araştırmalara veya daha yararlı genel rehberlik için harcanabilecek değerli bir kaynak harcaması olacağını düşünmüyorum” dedi.

Ek olarak, HIPAA Güvenlik Kuralı için önerilen bir güncelleme beklentisiyle, “güvenlik kuralının odağı değişebilir, bu nedenle herhangi bir denetim programı artık neredeyse alakasız olacaktır” dedi.

HIPAA güvenlik kuralının mevcut dayanağının, kapsam dahilindeki birçok kuruluş türü arasındaki büyük farklılıklar nedeniyle süreç odaklı olacak şekilde tasarlandığını ve daha geniş iş ortakları yelpazesinden bahsetmeye bile gerek olmadığını söyledi.

“Daha fazla sayıda denetimden kaynaklanan herhangi bir ‘rehberliğin’ gerçekten de çok yararlı olmaması muhtemeldir” dedi. Nahra, “HHS OCR, tutarlı endişeleri veya zayıf noktaları tespit ederek, fiili soruşturmalarının (hatta belki de kapanmayla sonuçlananların) sonuçlarıyla daha fazlasını yapabilir” dedi.

“Bu, rastgele denetimlerin ‘haksızlık’ unsuru olmadan, bir denetim programından bekleyebileceğinize benzer şekilde halihazırda devam eden faaliyetlerden elde edilecek bir katma değer olacaktır.”