HIPAA Программа аудита конфиденциальности, безопасности и уведомлений о нарушениях

1. Оповещение: фишинговая электронная почта замаскирована под официальное сообщение об аудите OCR - 28...

В рамках наших постоянных усилий по оценке соответствия правилам HIPAA о конфиденциальности, безопасности и уведомлениях о нарушениях Бюро по гражданским правам HHS (OCR) приступило к следующему этапу аудиторских проверок юридических лиц и их деловых партнеров. Программа аудита HIPAA Этапа 2 2016 года рассмотрит политики и процедуры, принятые и применяемые организациями, на которые распространяется действие страховки, и их деловыми партнерами для соответствия выбранным стандартам и спецификациям реализации Правил конфиденциальности, безопасности и уведомлений о нарушениях.

Справочная информация по этапу 1 программы аудита конфиденциальности, безопасности и уведомлений о нарушениях:

HIPAA установила важные национальные стандарты конфиденциальности и безопасности защищенной медицинской информации, а Закон о медицинских информационных технологиях для экономического и клинического здоровья (HITECH) установил требования к уведомлению о нарушениях, чтобы обеспечить большую прозрачность для лиц, чья информация может подвергаться риску. HITECH требует, чтобы Управление HHS по гражданским правам (OCR) проводило периодические аудиты соответствия защищаемой организации и бизнес-партнера требованиям HIPAA о конфиденциальности, безопасности и уведомлениях о нарушениях. В 2011 и 2012 годах OCR внедрила пилотную программу аудита для оценки средств контроля и процессов, реализованных 115 охваченными субъектами в соответствии с требованиями HIPAA. OCR также провела обширную оценку эффективности пилотной программы. Опираясь на этот опыт и результаты оценки, OCR реализует второй этап программы, в ходе которого будут проверяться как организации, на которые распространяется страховка, так и деловые партнеры. В рамках этой программы OCR разрабатывает усовершенствованные протоколы (наборы инструкций), которые будут использоваться в следующем раунде аудитов, и разрабатывает новую стратегию для проверки эффективности кабинетных аудитов при оценке усилий по соблюдению регулируемой отрасли HIPAA. Отзывы о протоколе можно отправить в OCR по адресу [email protected] ,

Узнайте больше о Фазе 1 Программы аудита HIPAA ,

Оповещение: фишинговая электронная почта замаскирована под официальное сообщение об аудите OCR - 28 ноября 2016 г.

До нашего сведения дошло, что фальшивое электронное письмо распространяется на бланковом бланке департамента HHS под подписью директора OCR Джоселин Самуэльс. Похоже, что это электронное письмо является официальным правительственным сообщением и предназначено для сотрудников организаций, охваченных HIPAA, и их деловых партнеров. В электронном письме получателям предлагается нажать на ссылку о возможном включении в программу аудита конфиденциальности, безопасности и нарушений правил HIPAA. Ссылка направляет людей на неправительственный веб-сайт, рекламирующий услуги кибербезопасности фирмы. Эта фирма никоим образом не связана с Министерством здравоохранения и социальных служб США или Управлением по гражданским правам. Мы очень серьезно относимся к несанкционированному использованию этого материала этой фирмой.

OCR также хотела бы сообщить, что это фишинговое электронное письмо исходит от адреса электронной почты [email protected] и направляет людей по URL-адресу по адресу http://www.hhs-gov.us. Это небольшое отличие от официального адреса электронной почты нашей программы аудита HIPAA, [email protected], но такая тонкость типична для фишинг-атак.

Охваченные субъекты и деловые партнеры должны предупредить своих сотрудников об этой проблеме и принять к сведению, что официальные сообщения о программе аудита HIPAA отправляются выбранным проверяемым с адреса электронной почты. [email protected] , В случае, если у вас или вашей организации возникнет вопрос, получило ли оно официальное сообщение от нашего агентства относительно аудита HIPAA, свяжитесь с нами по электронной почте по адресу: [email protected]

Новое руководство по проведению камеральных аудитов 2016 года

Цели программы:

Программа аудита является важной частью деятельности по обеспечению конфиденциальности, безопасности и уведомлений о нарушениях в отношении всей медицинской информации OCR. OCR использует программу аудита для оценки усилий HIPAA по обеспечению соответствия требованиям ряда организаций, подпадающих под действие правил HIPAA. Аудиты предоставляют возможность изучить механизмы соблюдения, выявить лучшие практики, выявить риски и уязвимости, которые могли не выявиться в ходе текущих расследований жалоб OCR и обзоров соответствия, а также позволяют нам выйти из проблем до того, как они приведут к нарушениям. , OCR будет широко выявлять лучшие практики, полученные в процессе аудита, и предоставит рекомендации, направленные на выявление проблем с соблюдением.

Когда начнется следующий раунд проверок?

Кто будет проверяться?

На каком основании будут выбираться проверяемые?

Как будет работать процесс отбора?

Как будет работать программа аудита?

Что если организация не отвечает на запросы OCR о предоставлении информации?

Каковы общие сроки проведения аудита?

Что происходит после аудита?

Как будут затронуты потребители?

Будут ли проверки различаться в зависимости от размера и типа участников?

Будут ли аудиторы смотреть на правила конфиденциальности и безопасности для отдельных штатов в дополнение к правилам HIPAA о конфиденциальности, безопасности и уведомлениях о нарушениях?

Кто отвечает за оплату аудиторов на месте?

Когда начнется следующий раунд проверок?

Второй этап программы аудита OIP HIPAA в настоящее время находится в стадии реализации. Отобранные страховые организации получили письма-уведомления в понедельник, 11 июля 2016 года. Аудиты деловых партнеров начнутся осенью. OCR начал собирать и проверять контактную информацию, чтобы идентифицировать страховые организации и деловых партнеров различных типов и определить, какие из них целесообразно включить в потенциальные группы проверяемых лиц. Сообщения от OCR будут отправлены по электронной почте и могут быть ошибочно классифицированы как спам. Если фильтрация спама и защита от вирусов для вашей организации включаются автоматически, мы ожидаем, что вы проверите папку нежелательной почты или спама на наличие писем от OCR; [email protected] , Нажмите здесь, чтобы посмотреть образец электронного письма ,

Кто будет проверяться?

Каждый застрахованный субъект и деловой партнер имеют право на аудит. К ним относятся индивидуальные и организационные поставщики медицинских услуг; планы медицинского обслуживания всех размеров и функций; клиники здравоохранения; и ряд деловых партнеров этих организаций. Мы ожидаем, что организации, участвующие в программе, и деловые партнеры предоставят аудиторам полное сотрудничество и поддержку.

На каком основании будут выбираться проверяемые?

На этом этапе программы аудита OCR определяет пулы покрываемых субъектов и деловых партнеров, которые представляют широкий спектр поставщиков медицинских услуг, планов медицинского обслуживания, клиринговых центров здравоохранения и деловых партнеров. Рассматривая широкий спектр кандидатов на аудит, OCR может лучше оценить соответствие HIPAA по всей отрасли - с учетом размера, типов и операций потенциальных проверяемых. Критерии отбора для выбора проверяемого лица будут включать в себя размер организации, принадлежность к другим организациям здравоохранения, тип организации и ее отношения с физическими лицами, является ли организация публичной или частной, географические факторы и текущая правоприменительная деятельность с OCR. OCR не будет проверять организации, которые проводят открытое расследование жалоб или которые в настоящее время проходят проверку соответствия.

Как будет работать процесс отбора?

Как только контактная информация получена, вопросник, предназначенный для сбора данных о размере, типе и действиях потенциальных проверяемых, будет разослан субъектам и деловым партнерам. Эти данные будут использоваться с другой информацией для создания пулов потенциальных проверяемых с целью выбора субъектов аудита. Нажмите здесь, чтобы просмотреть анкету предварительной проверки ,

OCR попросит проверяемых проверяемых лиц идентифицировать своих деловых партнеров. Мы призываем организации, на которых распространяется действие страховки, подготовить список каждого делового партнера с контактной информацией, чтобы они могли ответить на этот запрос.

OCR выберет проверяемых путем случайной выборки из пула аудита. Затем выбранные проверяемые будут уведомлены об их участии. Нажмите здесь, чтобы просмотреть образец шаблона, который могут использовать юридические лица для составления своего списка деловых партнеров. Использование этого шаблона не является обязательным.

Если охваченное субъектом или деловым партнером не отвечает на информационные запросы, OCR будет использовать общедоступную информацию о субъекте для создания своего пула аудита. Субъект, который не отвечает на OCR, все еще может быть выбран для аудита или для проверки соответствия.

Как будет работать программа аудита?

OCR планирует провести групповые и выездные аудиты как для организаций, на которые распространяется страховка, так и для их деловых партнеров. Первый набор проверок будет являться кабинетным аудитом субъектов, на которые распространяется действие страхового полиса, после чего будет проведен второй раунд аудиторских проверок деловых партнеров. Эти проверки будут проверять соответствие определенным требованиям Правил конфиденциальности, безопасности или уведомлений о нарушениях, и проверяемые лица будут уведомлены о предмете (-ах) их аудита в письме-запросе документа. Все кабинетные проверки на этом этапе будут завершены к концу декабря 2016 года.

Третий набор аудитов будет проводиться на месте и будет изучать более широкий круг требований из правил HIPAA, чем кабинетные аудиты. Некоторые аудиторские проверки могут быть подвергнуты последующему выездному аудиту.

В процессе аудита будут использоваться общие методы аудита. Организациям, выбранным для аудита, будет отправлено электронное уведомление об их выборе, и им будет предложено предоставить документы и другие данные в ответ на письмо с запросом документов. Проверяемые субъекты будут подавать документы в режиме онлайн через новый безопасный аудиторский портал на веб-сайте OCR. Во время этих проверок на втором этапе будет меньше посещений, чем на первом этапе, но проверяемые должны быть готовы к посещению объекта, когда OCR сочтет это целесообразным. Аудиторы рассмотрят документацию, а затем разработают и передадут проект выводов организации. Проверяемые будут иметь возможность ответить на эти проекты выводов; их письменные ответы будут включены в окончательный аудиторский отчет. Аудиторские отчеты, как правило, описывают, как проводился аудит, обсуждают любые выводы и содержат ответы организаций на проект выводов.

Что если организация не отвечает на запросы OCR о предоставлении информации?

Если объект не отвечает на запросы информации от OCR, включая проверку адреса, предварительный опросный лист аудита и запрос документа этих выбранных объектов, OCR будет использовать общедоступную информацию об объекте для создания своего пула аудита. Субъект, который не отвечает на OCR, все еще может быть выбран для аудита или для проверки соответствия.

Каковы общие сроки проведения аудита?

В ближайшие месяцы OCR письменно уведомит выбранные организации, на которых распространяется действие страховки, по электронной почте об их выборе для проведения групповой проверки. Письмо с уведомлением OCR представит аудиторскую команду, объяснит процесс аудита и обсудит ожидания OCR более подробно. Кроме того, письмо будет содержать первоначальные запросы на документацию. OCR ожидает, что организации, являющиеся объектом аудита, будут предоставлять запрошенную информацию через защищенный портал OCR в течение 10 рабочих дней с даты запроса информации. Все документы должны быть в цифровом виде и представлены в электронном виде через безопасный онлайн-портал.

После того, как эти документы получены, аудитор рассмотрит представленную информацию и предоставит проверяемой организации предварительные выводы. У проверяемых будет 10 рабочих дней для проверки и возврата письменных комментариев, если таковые имеются, аудитору. Аудитор заполняет окончательный аудиторский отчет для каждого субъекта в течение 30 рабочих дней после ответа проверяемого лица. OCR передает копию окончательного отчета аудируемому субъекту.

При проведении кабинетных аудитов охватываемых организаций OCR будет тиражировать процесс уведомления и запроса документов для инициирования кабинетных аудитов выбранных деловых партнеров. OCR предоставит копию окончательного отчета проверенному деловому партнеру.

Аналогичным образом, субъекты будут уведомлены по электронной почте о своем выборе для аудита на месте. Аудиторы запланируют вступительную конференцию и предоставят больше информации о процессе аудита на месте и ожидаемых результатах аудита. Каждый выездной аудит будет проводиться в течение трех-пяти дней на месте, в зависимости от размера организации. Аудиты на месте будут более комплексными, чем кабинетные аудиты, и охватят более широкий круг требований из Правил HIPAA. Как и в случае группового аудита, у организаций будет 10 рабочих дней для рассмотрения проекта выводов и предоставления письменных комментариев аудитору. Аудитор заполняет окончательный аудиторский отчет для каждого субъекта в течение 30 рабочих дней после ответа проверяемого лица. OCR передает копию окончательного отчета аудируемому субъекту.

Что происходит после аудита?

Аудиты - это прежде всего деятельность по улучшению соответствия. OCR рассмотрит и проанализирует информацию из окончательных отчетов. Обобщенные результаты проверок позволят OCR лучше понять усилия по соблюдению конкретных аспектов Правил HIPAA. Как правило, OCR использует аудиторские отчеты, чтобы определить, какие виды технической помощи следует разрабатывать и какие корректирующие действия будут наиболее полезными. На основе информации, полученной в ходе проверок, OCR разработает инструменты и рекомендации, которые помогут отрасли в самооценке соответствия и предотвращении нарушений.

Если в отчете о проверке указана серьезная проблема соответствия, OCR может инициировать проверку соответствия для дальнейшего расследования. OCR не публикует список проверяемых организаций или результаты индивидуального аудита, в которых четко указана проверяемая организация. Однако в соответствии с Законом о свободе информации (FOIA) от OCR может потребоваться публикация уведомительных ревизионных писем и другой информации об этих проверках по запросу общественности. В случае, если OCR получит такой запрос, мы будем соблюдать правила FOIA.

Как будут затронуты потребители?

Программа аудита является важным инструментом, помогающим обеспечить соблюдение мер защиты HIPAA на благо отдельных лиц. Например, программа аудита может раскрыть многообещающие методы или причины нарушения информации о состоянии здоровья и поможет OCR создать инструменты для лиц, на которые распространяется действие страховки, и деловых партнеров для лучшей защиты индивидуально идентифицируемой информации о состоянии здоровья. Опасения по поводу соответствия, выявленные и исправленные в ходе аудита, послужат повышению конфиденциальности и безопасности медицинских записей. Техническая помощь и многообещающие методы, которые генерирует OCR, также помогут организациям и деловым партнерам, которые находятся под охраной, улучшить свои усилия по обеспечению безопасности и сохранности медицинских карт. В процессе аудита OCR будет продолжать принимать жалобы от отдельных лиц и проводить проверки соответствия, где это оправдано; обязательства по страхованию юридических лиц и деловых партнеров остаются в силе.

Будут ли проверки различаться в зависимости от размера и типа участников?

Протоколы аудита предназначены для работы с широким кругом субъектов и деловых партнеров, но их применение может варьироваться в зависимости от размера и сложности объекта, подлежащего аудиту.

Будут ли аудиторы смотреть на правила конфиденциальности и безопасности для отдельных штатов в дополнение к правилам HIPAA о конфиденциальности, безопасности и уведомлениях о нарушениях?

Нет, сфера действия программы аудита не выходит за рамки правил конфиденциальности, безопасности и уведомления о нарушениях.

Кто отвечает за оплату аудиторов на месте?

Департамент здравоохранения и социальных служб несет ответственность за аудиторов на месте. Ни покрываемые субъекты, ни их деловые партнеры не несут ответственности за расходы по программе аудита.

Похожие

Комментарии