保護個人醫療信息:遵守HIPAA是否就已足夠?
責編:admin |2015-01-06 14:32:36我們是否可以說HIPAA并沒有涵蓋所有個人醫療信息?如果是這樣,哪些類型的數據沒有受到保護?我的公司是否應該采取措施來加強保護?
Mike Chapple:在保護個人醫療信息(PHI)方面,HIPAA并沒有涵蓋全部數據。這是一個常見的誤解,認為HIPAA監管著任何人的所有醫療數據。實際上,這個法律僅適用于四種不同類型的HIPAA受監管實體:
醫療保健提供者,例如醫生和醫院
醫療計劃,例如醫療保險公司
醫療清算中心,例如醫療賬單服務和信息交流
上述HIPAA監管實體的商業伙伴
在這些類別中也有例外。例如,作為HIPAA監管實體,醫療保健提供者必須參與該法規規定的列表中一個或多個電子交易,例如處理醫療保險索賠。沒有涉及電子交易的小型提供商可能不會受到該法律的監管。
雖然受監管實體必須遵守HIPAA的隱私和安全法規,但企業處理的很多類型的醫療信息并不屬于該法律的監管范圍之內。例如,消費者醫療技術領域。對于電子活動監視器(例如Jawbone Up或者FitBit)或者聯網血壓計,這些設備可能會傳輸醫療信息到云端–不受監管。同樣地,雇主可能處理員工賠償要求或FMLA記錄中的醫療信息,也屬于HIPAA范圍之外。
因此,對于更有效地保護PHI,企業是否應采取措施來補救呢?底線是,如果企業不是受監管實體或者商業伙伴,并不需要關注HIPAA規定。但是,任何處理敏感個人醫療信息的人都應該采取措施確保這些信息受到保護。雖然這可能不是法律義務,但這是應該做的事情。