B2C Data

健康相关数据正越来越多地从纸质记录转移到电子记录，这决定了医疗机构或其他处理医疗记录的行业在管理和保护数据方面的变化。以任何方式参与使用或管理个人 PHI（个人健康信息）的企业都需要确保他们的敏感数据不会丢失或泄露，遵循 HIPAA 等安全准则，以避免受到处罚。

什么是 HIPAA
1996 年的《健康保险流通与责任法案》（HIPAA）规定了保护医疗信息的数据隐私和安全措施。该法案旨在保护个人的 ePHI（受保护的电子健康信息），如社会安全号码、医疗 ID 号、信 泰国手机号码 用卡号、驾驶执照号、家庭住址、电话号码、医疗记录和其他关键数据。2009
年，该法案更新了 HITECH（经济和临床健康健康信息技术），为与医疗保健相关的企业带来了额外的合规标准。

哪些组织受到 HIPAA 影响
受 HIPAA 影响的组织是那些创建、存储、处理、传输或接触受保护的个人健康信息的组织。
该立法不仅适用于医疗保健公司，还适用于与其相关的企业，如律师事务所、IT 公司、会计师事务所、计费公司、健康保险公司、社区健康管理信息系统等。

阅读我们的 案例研究， 了解一家医疗保健提供商如何通过 Endpoint Protector DLP 成功满足严格的 HIPAA 法律来保护患者数据。

HIPAA 要点
HIPAA 的三条规则：隐私、安全和违规通知，旨在保护健康信息的隐私和安全，并为个人提供对其健康记录的某些权利。

根据 cms.gov：

隐私规则
它为何时可以使用和披露受保护的健康信息 (PHI) 制定了国家标准。PHI
包括与以下内容相关的信息：

个人过去、现在或未来的身体或精神健康或状况
向个人提供医疗保健
过去、现在或将来为个人提供医疗保健的费用
PHI 包括许多常见的标识符，例如姓名、地址、出生日期和社会安全号码。
安全规则
它规定了涵盖实体及其业务伙伴必须实施的保护措施，以保护电子受保护健康信息 (ePHI) 的机密性、完整性和可用性。
涵盖实体必须：

确保他们创建、接收、维护或传输的所有 ePHI 的机密性、完整性和可用性
识别并防范对 ePHI 安全性或完整性的合理预期威胁
防止合理预期的、不允许的使用或披露
确保员工遵守规定
违规通知规则
该法案要求受监管实体向受影响的个人、美国卫生与公众服务部 (HHS) 以及某些情况下的媒体通报未受保护的 PHI 泄露事件。
大多数通知必须在发现泄露事件后 60 天内提供。影响不到 500 人的较小泄露事件的通知可以每年提交给 HHS。

数据泄露和处罚
最近的一项 研究 表明，2016 年是自 2009 年以来 HIPAA 违规案件数量最多的一年。数据泄露的主要原因是糟糕的安全政策或对数据安全问题缺乏关注。钓鱼电子邮件、信用卡数据泄露、笔记本电脑被盗、患者数据泄露等只是去年医疗保健领域数据泄露的主要原因中的几个例子。
违反 HIPAA 规定的罚款每年可达 5 万美元至 150 万美元。