监察长办公室(OIG) 最近发布 《隐私权标准》报告评估了民权办公室(OCR)对受保护实体遵守《隐私权规则》以及Medicare B部分提供者了解HIPAA隐私权标准的程度的监督。为此,监察办发现,B部分提供者在制定针对员工的制裁政策以及向其部分或全部员工提供有关处理受保护的健康信息(PHI)的政策和程序方面的培训不足。该报告还得出结论,OCR的案件跟踪系统存在缺陷,再加上对具有重复违规历史的被涵盖实体的不良跟踪,阻碍了OCR积极执行隐私权规则。

具体而言,监察办发现,几乎三分之一的OCR工作人员没有在调查中包括被涵盖实体以前是否曾进行过OCR调查或纠正措施计划。 光学字符识别没有任何流程或程序来确保其员工使用OCR查看所涵盖实体的历史。结果,监察办确定了44个OCR涵盖的实体进行了不止一次调查,其中近一半被OCR进行了至少五次调查。

监察办建议OCR:

  • 全面执行永久性审核计划;
  • 在OCR的纠正措施信息管理系统中保留完整的文档;
  • 开发一种有效的方法来搜索和跟踪所涵盖实体的调查历史;
  • 制定一项政策,要求OCR工作人员检查之前是否已对涵盖实体进行过调查;和
  • 继续将扩展和教育工作扩大到Medicare B部分提供者。

针对此报告,OCR已经采取措施解决了OIG的五项建议中的四项,包括在案件管理系统中实施更好的案件跟踪。 光学字符识别已表示,它将把执法重点扩大到业务伙伴和屡次违规的领域。 监察办的报告指出,经常在两个方面发现涵盖实体不合规:第一,达到限制PHI的使用和披露的标准,第二,达到实施行政,物理和技术保障的标准。

光学字符识别计划在2016年初启动其审计计划的第二阶段。第二阶段审计将针对涵盖实体有违规历史的领域,包括业务伙伴,据报道,此时将包括案头调查和现场调查评论。

考虑到2016年第二阶段的审核,涵盖实体和业务伙伴应考虑审查和评估其政策和程序,以遵守《隐私权,安全性和违约通知》规则,以及针对员工进行适当使用培训的教育工作和PHI的披露。