德克萨斯州卫生服务权威(Thsa)最近  宣布  其选择健康信息信任联盟(抵押)共同安全框架(CSF),最广泛采用的信息隐私和安全框架在美国医疗保健行业,形成德克萨斯覆盖实体隐私和安全认证计划的基础,设置了德克萨斯舞台成为国家第一个国家,以实施融合国家和联邦隐私和安全法规的正式认证计划,包括HIPAA和德克萨斯州医疗记录隐私法(TMRPA)。自愿认证计划于2011年首次在德克萨斯州账单300(HB 300)下创建,旨在允许德克萨斯覆盖的实体展示其遵守联邦和州隐私和安全标准“为了减少监管处罚,管理风险并增加信心”在他们保护健康信息。

2011年,HB 300要求THSA制定一个涵盖实体(如德克萨斯州法律所定义的实体的进程,包括几乎拥有受保护健康信息的人或组织)可以申请过去遵守的认证德克萨斯州卫生和人力服务委员会分享电子信息批准的隐私和安全标准。 HB 300还修订了TMRPA,包括德州法院的减轻因素清单必须考虑确定违反TMRPA的涵盖实体的适当罚款,包括其合规历史以及是否在违规时通过认证。虽然美国卫生和人力服务部(HHS)是不需要考虑在确定适当的公务员罚款方面是否经过征收HIPAA违规和违规行为的认证,但HHS必须考虑涵盖的实体’既往遵守HIPAA标准的历史。因此,THSA表示认证可以作为一个“safe harbor”在国家和联邦一级。

有两种认证选项可根据有关实体的大小而有所不同。更大的实体,如医院,可能需要由第三方居民CSF评估员进行现场评估,并将本评估向港元提交文件进行审查。如果实体符合德克萨斯覆盖实体隐私和安全认证的要求,则居住将提供该组织可以提交给THSA的推荐信。年收入低于500万美元的较小实体将能够进行远程评估,并直接向港务提交文件以进行审查。

虽然认证是自愿的,但它不是免费的。认证费用根据实体的规模和评估的复杂性而有所不同,范围从2,500美元到7,500美元。认证还将在一年后到期,意思是涵盖实体每年必须支付认证费。可用于选择将ThSA认证与其他居籍产品结合的实体可用折扣。该THSA还鼓励涵盖的实体使用德克萨斯州认证评估作为HIPAA所需的周期性风险评估,许多实体每年进行的周期性风险评估。

许多德克萨斯覆盖的实体对认证表示兴趣,其他国家密切监测德克萨斯州认证计划,以确定他们是否应该实施类似的计划。但是,仍然有关认证与其成本相关的好处。认证将减轻州和/或联邦罚款的程度尚不清楚,而认证可能表明组织已经采取了某些措施保护健康信息,而且它不会从潜在的违规行为和调查中绝缘涵盖的实体。德克萨斯覆盖的实体是否将认为认证作为宝贵的承诺仍然不清楚,并且至少部分可以依赖于涉及认证实体的第一次违约的结果。