我们是否可以说HIPAA并没有涵盖所有个人医疗信息?如果是这样,哪些类型的数据没有受到保护?我的公司是否应该采取措施来加强保护?
Mike Chapple:在保护个人医疗信息(PHI)方面,HIPAA并没有涵盖全部数据。这是一个常见的误解,认为HIPAA监管着任何人的所有医疗数据。实际上,这个法律仅适用于四种不同类型的HIPAA受监管实体:
• 医疗保健提供者,例如医生和医院
• 医疗计划,例如医疗保险公司
• 医疗清算中心,例如医疗账单服务和信息交流
• 上述HIPAA监管实体的商业伙伴
在这些类别中也有例外。例如,作为HIPAA监管实体,医疗保健提供者必须参与该法规规定的列表中一个或多个电子交易,例如处理医疗保险索赔。没有涉及电子交易的小型提供商可能不会受到该法律的监管。
虽然受监管实体必须遵守HIPAA的隐私和安全法规,但企业处理的很多类型的医疗信息并不属于该法律的监管范围之内。例如,消费者医疗技术领域。对于电子活动监视器(例如Jawbone Up或者FitBit)或者联网血压计,这些设备可能会传输医疗信息到云端–不受监管。同样地,雇主可能处理员工赔偿要求或FMLA记录中的医疗信息,也属于HIPAA范围之外。
因此,对于更有效地保护PHI,企业是否应采取措施来补救呢?底线是,如果企业不是受监管实体或者商业伙伴,并不需要关注HIPAA规定。但是,任何处理敏感个人医疗信息的人都应该采取措施确保这些信息受到保护。虽然这可能不是法律义务,但这是应该做的事情。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
不一致的国际数据隐私法
中国新的网络安全法已经生效,这意味着全球范围内新增一个国际数据隐私法,这可能给跨国企业带来更多挑战。面对各种国际数据隐私法,跨国企业保持合规性并不容易……
-
专访志翔科技伍桑海:“懂业务才能做安全”
志翔的安全产品服务如今服务于从大型能源、银行部门到中小企业不等规模的用户。且对于安全方案,不同行业有不同的需求,在共性的方面志翔通过提供一个通用的方案满足用户在数据保护方面的需求。对于业务安全问题,会提供体制化的安全方案以贴合用户的业务……
-
第四代安全已来:志翔科技致力成为“无边界”安全领跑者
近年来安全行业发展十分迅速,其进入壁垒和天花板都非常高,安全创业公司最能代表行业前沿的技术趋势。发展至今,安全从以NetScreen为代表的防火墙时代先后经历可视化、虚拟化时代,进而迈向第四代“无边界”安全时代。志翔科技即是倡导“无边界”安全的创新公司之一……
-
McAfee全面数据丢失防护产品概述
去年9月,英特尔以9亿美元将其安全业务主要股权出售给私募股权公司TPG,该交易预计将于今年4月完成,之后Intel Security将更名为McAfee。与很多主流信息安全供应商一样,Intel Security提供数据丢失防护软件,帮助企业预防潜在的信息泄露……