为了应对与快速发展的健康信息技术相关的新风险,HIPAA和HITECH提供了受保护健康信息(PHI)的隐私,电子受保护健康信息(ePHI)的安全性以及针对个人的违规通知的标准。 HITECH还要求美国卫生与公共服务部(HHS)对涵盖实体和业务伙伴是否遵守HIPAA隐私,安全和违规通知规则进行定期审核。 2011年,HHS民权办公室(OCR)建立了HIPAA试点审核计划,以评估涵盖实体为保护PHI隐私而实施的控制和流程。

在一个 2014年2月24日,联邦纪事中的通知 (通知),HHS 光学字符识别宣布了计划调查1200个组织(800个涵盖实体和400个业务伙伴),这是为下一轮HIPAA审核选择组织的第一步。根据通知中的规定,并非所有接受调查的组织都会接受审核。该调查“将收集有关受访者的信息,以使OCR能够评估受访者进行审计的规模,复杂性和适用性。” 光学字符识别打算收集“关于患者就诊或被保险人的生命,电子信息的使用,收入和营业地点的最新数据”。

对于2011年的HIPAA试点审核计划,OCR制定了一项 审计 协议来衡量115个涵盖实体的工作。 光学字符识别还对试点审核计划的有效性进行了正式评估。 2013年4月,OCR发布了 发现 来自2011-2012年HIPAA审核试点计划。审计试点计划的重点是所有类型的健康计划,医疗信息交换所以及个人和组织提供者。从审计试点计划中,OCR发现,大多数被评估实体不符合针对安全性,隐私和违规通知的HIPAA标准(三个审计领域)。 光学字符识别还发现,大多数实体未能执行全面,准确的安全风险评估(被审核者的三分之二)。不合规的最常见原因是该实体“不知道要求”。涵盖实体最“不知道”的隐私要求涉及隐私惯例的通知,个人的访问权限,最低限度的要求和授权。涵盖实体最“不知道”的安全要求涉及风险分析,媒体移动和处置以及审计控制和监视。 光学字符识别还发现,规模较小的医疗保健提供者(即年收入低于5,000万美元的社区药房和诊所)在所有三个审计领域中通常都是脆弱且不合规的。属于此类的医疗保健提供者占所有违反政策的65%。

下一轮HIPAA审核为OCR提供了另一个机会,可以检查与HIPAA / HITECH的合规性不同机制,确定最佳实践并发现新的风险和漏洞。审核是OCR通过​​常规投诉和调查过程评估HIPAA / HITECH符合性的能力的补充。预计下一轮HIPAA审核将侧重于OCR热键-及时和彻底的安全风险评估,有效和持续的风险缓解计划,违规通知程序,加密,培训以及政策和程序。对于下一轮HIPAA审核,OCR目前正在修订其审核协议,以反映出自2013年9月23日生效的HIPAA Omnibus规则中所包含的更改。