PDF《Meeting HITECH??s Challenge to the Health Care Industry》

100 美元,对多次违反同一要求或禁令的罚款上限 为每年

25000 美元.而HITECH 将每次违规的罚款范围定为

100 美元到 50,000 美元,对 多次违反同一要求或禁令的罚款上限为每年

150 万美元. 此外,除适用实体之外,所有个人(如医院员工)可因 HIPAA 违规而负刑事责任并被 处以最高 250,000 美元的罚款和最多

10 年的监禁.另外,如果司法部拒绝起诉,卫生 与公众服务部民权办事处 (OCR) 仍可提起民事诉讼.所收取的民事罚款的一部分分配 给受违规行为影响的个人. 更积极的监督 除了对更强监督和更积极执法的所有承诺之外,联邦政府和州政府现在都鼓励调查可 能的违规行为并在有足够证据时提起诉讼. Oracle 白皮书 ― HITECH 对医疗保健业带来的挑战

5 实施 HITECH 后,民事处罚所得收入补充给 OCR 执法预算.该法案还允许州检察长对 HIPAA 违规行为提起民事诉讼,从而使更广泛的监督和执法更有可能实现.例如,今年1月,康涅狄格州检察长 Richard Blumenthal 起诉 Health Net of Connecticut,指控该 公司违反了 HIPAA,因为它丢失了包含大约

446000 名新生儿健康和财务信息的便携 式磁盘驱动器.该起诉声称 Health Net 没有适当地保护信息并且未将这一安全疏漏事 件告知消费者. 泄露通知 HITECH 要求执行数据泄露通知,从而迫使服务提供者避免因与 PHI 有关的数据泄露 而付出代价和将负面形象公诸于众. 该要求类似于

40 多个州的数据泄露通知法,后者涵盖了消费者信息的暴露.这些法律 通常对加密信息给予豁免,假定它无法被任何获得它的人读取.HITECH 规定,泄露 通知适用于 未受保护的 PHI ,所谓未受保护的信息即为那些对未经授权的个人未呈 现 无法读取、无法使用或无法辨认 的信息.实际上,HHS 准则意味着加密数据或销 毁数据. 如果

500 位或更多的患者受到影响,则该法案要求医疗保健服务提供者通知受泄露影 响的个人以及卫生与公众服务部 (HHS).HHS 将在其网站上发布这些泄露.如果泄露 影响某个特定位置的

500 以上的人,违规者还必须通知重要媒体. 如果业务伙伴对 PHI 泄露负有责任或者因之而受到影响,如今按照 HIPAA 安全法规要 求,业务伙伴必须通知其适用实体合作伙伴. 值得注意的是,HITECH 不要求 加密(它使加密成为 可寻址的 控制,而不是 必需 的 控制) .然而,与州法律相同,如果加密,则一般不必再执行泄露通知. 正如 HHS 在其准则中指出的,使用加密并不改变保护 PHI 的安全性要求.加密只是 支持整体安全计划的一个步骤,整体安全计划包括由适当的工具启用和支持的数据保 护、身份和访问管理策略.今天的医疗保健信息环境,涉及许多不同的机构以及扮演 不同角色的许多个人,并且需要以多种方式进行交流,因此本身并不适合采用简单的 安全解决方案. Oracle 白皮书 ― HITECH 对医疗保健业带来的挑战

6 HITECH 的挑战 医疗保健风险环境 现代医疗保健信息环境十分复杂,信息在众多相互关联和相互依存的机构、服务提供 者和个人之间流动:医院及诊室的医生、外包诊断服务、药房、实验室、计费服务、业 务伙伴、就诊护士和其他家庭/移动医疗保健服务提供者、康复中心、诊所等. 电子化患者信息的交流不仅通过 LAN 和WAN 来进行,还通过各种形式的无线设备 (从笔记本电脑到智能手机再到专用手持医疗信息设备)来进行. 挑战是巨大的.适用实体和业务合作伙伴........