从HipAA说起
那些违反HIPAA法规的组织或个人将被处以$250K的罚款和10年以上的有期徒刑
自去年开始, HIPAA(Health Insurance Portability and Accountability Act )Title II中三分之二的规定已经开始生效。而剩下的三分之一也将在明年四月份开始生效。到那时,所有的医疗健康机构(health care organizations)都必须遵守法案中的最前面的两个法规。企业策略集团(原先的企业存储集团)相信这个有关安全的法规的正式实施将对整个医疗健康行业产生极大的影响,在法案所规定的范畴中,那些医疗行业内的数据最终将被妥善地保存和治理。
本篇文章将对HIPAA进行一个简单的介绍,尤其是那些涉及到数据保护和应急持续性计划(Contingency Planning)的部分我们将具体讨论。此外,还将对各种数据保护技术和存储治理活动进行分类,并对那些将会受到安全规章影响的部分进行说明。目的是为了告诉那些相关的IT工作人员哪里可能存在危机,哪里还可以提升效率,以便他们“对症下药”。
想要完全满足HIPPA所提出的全部要求就需要所有相关人员,应用过程和技术方案三者之间的良好配合。
也许再也没有其他法规会像这个安全法规这样,那么直接地要求对信息的治理,安全和保护等方面进行改进。因此,为了满足这个法规的要求,那些大中型企业都必须将自己曾经记录在纸张上的数据数字化。
很明显,对于布什政府来讲,应该最先被升级和改进是医疗行业的IT系统。就在去年四月,美国总统布什公布了关于改进医疗健康信息技术的计划。这个计划的主要目标就是保证全体美国公民的医疗健康档案能够以数字化的方式保存十年。但是,单靠布什总统的一相情愿还并不能改变整个医疗行业的现状;技术上的发展也是必须的。
对于数据保护的影响
在HIPAA法规的治理安全措施一章中有以下一段关于事故应急计划的要求。根据这个要求,所有健康机构和相关企业都必须:
“建立相应的策略和程序,以应对各种可能发生的紧急事件或其他威胁到存有保护医疗信息(PHI)系统安全的突发事件。并确保它们能够在需要时顺利地实施。”
但是,在这个规定中到底哪些部分是必须遵守的,哪些部分又是可以协商的呢?我想在介绍HIPAA中所描述的关于数据保护的五个主要部分(或执行规范)之前,有必要先明确一下这个问题。
简单地说,所谓“可协商的规定”不同于“必须遵守的规定”的地方在于:假如某个医疗健康机构或相关企业能够证实某个规定对于这个组织的商业运营是不合理的,那么它就可以拒绝执行这个规定。假如一个医疗健康机构或相关企业选择了拒绝执行某些被HIPAA定义为“可协商的”规定,那么它就必须出示备有证实文件的相关证据来证实它已经采用其他的替代方案来满足了规定中的相关部分的要求。同时它还必须演示这个替代方案是如何满足这些法规要求的。
如今,整个法案中有五分之二的执行规范是“可协商的”,而在它的原始版本中,所有的执行规范都是被要求强制执行的。因为在当时,企业存储集团相信医疗组织投资在这五个部分上的每一分钱对于保护那些重要的数字化医疗信息都是值得的。可是后来他们意识到很多组织的IT资源有限,而且资金紧张,很难满足规定中全部的五个部分。
这个表格大体上描述了HIPAA安全规定中五个要害的执行规范。其中,中间一栏具体说明了这个法规可能对诸如存储治理、应急持续性计划和数据保护实施等方面产生的影响。最后一栏是为那些预备采取行动来满足法规要求的IT专业人员预备的一些需要考虑的基本问题。
点击查看大图底线
对于今天的整个医疗系统来讲,比较讽刺的一点就是,我们的医生,我们的医疗设备天天都在不停地为改善医疗服务质量而努力。但是到最后,传统的基于纸张的治理方式却成为了制约医疗服务水平发展的瓶颈。
通过对计算机和存储资源的有效利用,我们可以极大地缩短患者诊断及治疗所需的时间。因此,所有患者在医院的等候时间也将随即减少。并且那飞涨的医疗费也将逐渐趋于稳定。
虽然,企业策略集团并不认为HIPAA安全规范是医疗健康行业的“万能药”,但我们相信这个规范的出台将帮助我们更好地了解整个国家的医疗IT系统。虽然满足HIPAA中相关规定的投资将会比较大,但是这将帮助我们不断地改进我们的IT工具和流程,以便更好地保护那些有价值的重要信息。
QQread.com
推出游戏功略 http://www.qqread.com/netgame/game/index.Html
魔兽世界
跑跑卡丁车
街头篮球
水浒Q传
龙与地下城OL
征服
轩辕剑5
FIFA07
热血江湖
大唐风云
梦幻西游
武林外传
HIPAA 的背景
HIPAA法案诞生于1996年。当时主要包含两个主题(Title):第一个主题,规定了关于为那些暂时还没有工作的人们提供长期的医疗保险的相关内容;第二个主题对如何简化治理过程进行了说明。
第二个主题包含了三个部分:其中前两部分主要为关于事物处理,代码组和隐私性的相关规章。这些规章将分别在2 003-2004年中生效。到那时,所有的健康机构(不论大小)和规定所涉及的相关组织都必须遵守HIPAA法规。第三部分为关于安全的相关制度。它具体的生效期限为2005年四月(见下图)。到时候除了最小的健康机构,其他的所有的医疗组织都将必须遵守第三部的安全规定。
HIPAA中的安全规范对治理的全部过程都进行了具体的描述,其中涉及到了如何通过物理上和技术上的安全措施来保证系统的可用性,完整性,以及患者资料的机密性。
QQread.com
推出游戏功略 http://www.qqread.com/netgame/game/index.html
魔兽世界
跑跑卡丁车
街头篮球
水浒Q传
龙与地下城OL
征服
轩辕剑5
FIFA07
热血江湖
大唐风云
梦幻西游
武林外传
关于拒绝服从规定的相关惩罚
在医疗行业中,对包括患者医疗档案在内的医疗健康信息进行严格的保护是十分重要的。这就如同那些金融服务机构为他们的客户保存个人投资和金融信息一样。这些都是最基本的行业规范。
现在,像Enron, Andersen Consulting,和 Credit Suisse等公司已经成为了在金融服务领域内不遵守相关法规的典型。而医疗卫生领域的专家们相信一些同样不遵守HIPAA的医疗健康机构也将重蹈它们的覆辙。HIPAA的惩罚是相当严厉的:那些违反HIPAA法规的组织或个人将被处以$250K的罚款和10年以上的有期徒刑。
现在,医疗领域内的CIO们面临了极大的挑战,一方面是来自HIPAA关于保存数字化医疗信息规定的压力;另一方面是对于紧缩的IT预算的无奈。同时,联邦政府还雪上加霜地放慢了当初为了帮助医疗组织满足法规而承诺提供的相关资源的发放速度。
本篇文章的根本目的就是为了帮助更多IT经理,医疗系统的领导,业务连续性的策划人员以及所有将受到HIPAA法规影响的人们来更好地了解HIPAA。同时促进大家对于HIPAA法规的进一步探讨。
哪些人需要遵守HIPAA?
很明显,所有提供医疗健康服务的组织如医院、健康咨询和医疗保险部门都必须遵守这个HIPAA法规。但是规章上所定义的“所有相关组织实体”的说法就把这个概念扩大到了甚至包括所有那些为员工提供医疗保险的组织。假如某个组织满足以下条件中的一条或多条,那么它就在HIPAA的规定之内。
进行健康计划登记和注销的机构;
交付健康计划费用的机构;
指定的证实/授权机构;
为伤害程度或健康情况出示最初检验报告的机构;
对健康计划的合格情况进行审批的机构;
涉及医疗健康利益的协调机构;
转交医疗保健索赔要求的机构;
转交医疗保健费用及汇款通知单的机构。
可以肯定的是,这个政府将为这个布满极大风险的领域投入大量的精力与资源,并将首先确保HIPAA法规能够在大型医疗机构(拥有1000张以上的床位)中顺利实施。然后根据具体情况,这些大型医疗机构或企业将成为其这个行业中其他成员在法规遵从方面的正面或负面的典型。而所有努力的最终目标就是不断提升整体的医疗质量,将风险降到最低,将“ROI”最大化。这里的“ROI”是指投资回报(Return On Investment)与信息回报(Return On Information)。
QQread.com
推出游戏功略 http://www.qqread.com/netgame/game/index.html
魔兽世界
跑跑卡丁车
街头篮球
水浒Q传
龙与地下城OL
征服
轩辕剑5
FIFA07
热血江湖
大唐风云
梦幻西游
武林外传