Mike Chapple,CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com作者是《信息安全》杂志的技术编辑。
我们是否可以说HIPAA不涵盖所有个人医疗信息?如果是这样,哪些类型的数据没有得到保护?我们公司应该采取措施加强保护吗?
Mike Chapple:保护个人医疗信息(PHI)方面,HIPAA不涵盖所有数据。这是一个常见的误解,认为HIPAA监督任何人的所有医疗数据。事实上,这项法律只适用于四种不同类型的法律HIPAA受监管实体:
• 医疗保健提供商,如医生和医院
• 医疗计划,如医疗保险公司
• 医疗账单服务、信息交流等医疗清算中心
• 上述HIPAA监管实体的商业伙伴
这些类别也有例外。例如,作为HIPAA在监管实体中,医疗保健提供商必须参与本法规定的一个或多个电子交易,如处理医疗保险索赔。不涉及电子交易的小型供应商可能不受法律监督。
虽然监管实体必须遵守HIPAA隐私和安全法规,但企业处理的许多类型的医疗信息不在法律的监督范围内。例如,在消费者医疗技术领域。对于电子活动监控器(例如Jawbone Up或者FitBit)或者联网血压计可以将医疗信息传输到云中--不受监管。同样,雇主也可以处理员工的赔偿要求或FMLA记录中的医疗信息也属于HIPAA范围之外。
因此,更有效的保护PHI,企业应采取措施进行补救吗?底线是,如果企业不是监管实体或商业伙伴,就不需要注意HIPAA规定。但是,任何处理敏感个人医疗信息的人都应采取措施确保这些信息受到保护。这可能不是法律义务,但这是我们应该做的。