德州卫生服务局(THSA)最近  宣布  它选择了健康信息信任联盟(HITRUST)通用安全框架(CSF),该框架是美国医疗行业最广泛采用的信息隐私和安全框架,构成了德克萨斯涵盖实体隐私和安全认证计划的基础,德克萨斯州成为美国第一个实施正式认证计划的州,该计划结合了州和联邦的隐私和安全法规,包括HIPAA和《德克萨斯医疗记录隐私法案》(TMRPA)。自愿性认证计划于2011年根据德克萨斯州众议院第300号法案(HB 300)发起,旨在使德克萨斯州覆盖的实体能够证明其遵守联邦和州的隐私和安全标准“为了减少监管处罚,管理风险并增强信心”保护他们的健康信息。

在2011年,HB 300要求THSA制定程序,涵盖实体(根据德克萨斯州法律的定义,包括几乎任何拥有受保护的健康信息的个人或组织)都可以申请过去的认证证明。德州卫生与公共服务委员会为共享电子信息批准了隐私和安全标准。 HB 300还对TMRPA进行了修订,以包含德克萨斯州法院在确定违反TMRPA的涵盖实体的适当刑罚时必须考虑的缓解因素,包括其合规历史以及在违规时是否经过认证。尽管无需美国卫生与公共服务部(HHS)在确定适当的民事罚款以对违反HIPAA的行为施加罚款时考虑是否涵盖实体已获得认证,但HHS必须考虑涵盖实体’以前遵守HIPAA标准的历史。因此,THSA已表示认证可以作为“safe harbor”在州和联邦一级。

提供两种认证选项,它们根据所涉及实体的大小而有所不同。较大的实体,例如医院,可能需要由第三方HITRUST CSF评估员进行现场评估,并将评估中的文件提交给HITRUST进行审查。如果该实体满足德克萨斯州涵盖实体隐私和安全认证的要求,则HITRUST将提供一封推荐信,该组织随后可以将其提交给THSA进行认证。年收入低于500万美元的小型实体将能够进行远程评估,并将文档直接提交给HITRUST进行审核。

尽管认证是自愿的,但不是免费的。认证费根据实体的规模和评估的复杂程度而有所不同,范围从2500美元到7500美元不等。认证也将在一年后到期,这意味着所涵盖的实体必须每年支付认证费。对于选择将THSA认证与其他HITRUST产品结合的实体,可以享受折扣。 THSA还鼓励涵盖实体使用德克萨斯认证评估作为HIPAA要求的定期风险评估的补充或替代,HIPAA要求定期评估的风险是许多实体每年进行的。

许多得克萨斯州覆盖的实体已经表达了对认证的兴趣,其他州也在密切监视德克萨斯州的认证计划,以确定他们是否应该实施类似的计划。但是,对于认证相对于其成本的好处仍然存在疑问。认证在多大程度上减轻了州和/或联邦的处罚尚不清楚,尽管认证可能表明组织已采取某些措施来保护健康信息,但它不会使受保护实体免受潜在违规和调查的影响。目前尚不清楚得克萨斯州覆盖的实体是否将认证视为一项有价值的事业,并且可能至少部分取决于涉及认证实体的首次违规行为的结果。