HHS更新HIPAA美高美集团4688变更医疗网络安全事件的常见问题

2024年5月31日.S. 美国卫生与公众服务部(HHS)民权办公室(OCR)更新了其 常见问题(FAQs) 美高美集团4688HIPAA和最近涉及Change Healthcare的网络安全事件, 是联合健康集团的一个部门. OCR执行HIPAA 隐私, 安全 和 违反通知 规则(HIPAA规则), 要求受保实体及其业务伙伴保护受保护健康信息(PHI)的隐私和安全，并在违规后通知卫生与公众服务部和受影响的个人. 

常见问题的更新

faq的更新涉及以下内容 向HHS提供违规通知的责任, 受影响的个人及, 在适用情况下, 媒体. 具体来说，常见问题解答规定:

• 受Change Healthcare违规行为影响的受保实体可将代表其提供所需违规通知的任务委托给Change Healthcare;
• Only one entity (which could be the covered entity or Change Healthcare) needs to provide breach notifications; 和
• 如果受保实体确保Change Healthcare以符合HIPAA规则的方式提供所需的违规通知, 他们不会有额外的HIPAA违约通知义务. 

与Change Healthcare网络安全事件有关, OCR鼓励受hipaa保护的实体(例如.g.(健康计划、健康保险发行者和医疗保健提供者)及其业务伙伴 “紧急”审查他们的网络安全措施 以确保运行状况信息受到保护.

而许多雇主在他们的健康计划中没有PHI, 使用第三方供应商的雇主, 例如第三方管理人员(tpa)和药品福利管理人员(PBMs), 是否应该在选择过程中调查和验证这些供应商的网络安全措施. 雇主还应确保他们有适当的商业伙伴协议，其中包括对电子PHI的充分安全保护. 

遵循资源

保护PHI是OCR的首要任务. 帮助受保实体和业务伙伴保护其系统免受网络攻击, OCR提供了各种各样的资源, 包括:

• HIPAA安全规则指导材料
• OCR HIPAA安全规则风险分析要求研讨会
• HIPAA安全风险评估工具
• 概况介绍:勒索软件和HIPAA

本法律更新并非详尽无遗，任何讨论或意见也不应被视为法律建议. 读者应向法律顾问咨询法律意见. ©2024 Zywave, Inc. 版权所有