政府如何促进医疗安全措施的采纳

重点要点

如果美国卫生与公共服务部（HHS）希望促进并支持医疗领域最佳安全措施的采用，就应避免采取“全有或全无”的安全实施方式。相反，HHS应加强教育，并提供有关采纳行业标准的重要性建议。

具体而言，HHS应考虑医疗涵盖实体已采纳的安全措施的实施进度，而不是施行可能会抑制采纳的严格要求，这是多个主要利益相关者组织的共同反馈。

这些意见是在HHS应于后，针对当前医疗安全实践状况的反馈。该信息请求旨在收集对HITECH法案及HHS民权办公室如何更好地支持实体采纳行业标准安全措施的建议。

HITECH法案于2009年通过，旨在促进健康信息技术的采用，包括一系列用于电子数据共享的隐私和安全机制，以增强健康保险可携性与责任法案（HIPAA）。

然而，HIPAA只包含，而NIST网络安全框架中则列出了数百项元素，并且这些元素会不断更新，以应对当前的威胁环境。

根据报导，该信息请求收到了87条公共意见和超过5,400次访问，显示出持续讨论的重要性。SCMedia审查了来自行业协会（MGMA）、美国健康信息管理协会（AHIMA）和美国医学院协会（AAMC）的意见，发现多个共通主题。

尤其值得注意的是，AHIMA建议OCR承认HHS工作组的健康行业网络安全实践（HICP）自愿指导，因为该指导能够根据组织的规模和提供者类型量身定制，以满足具体需求。

HICP背后的合作工作创造了一系列最佳实践安全措施，可以有效增强该行业的网络安全态势。根据AHIMA的信函，该指导“展示了行业最佳实践的多元意见，适合所有提供者的需求。”

采用免费的HICP将确保不会对提供者造成额外成本负担，这对于AHIMA来说意味著将会有更高的采纳和参与率。

AHIMA的领导者写道：「该计划的最终目标是通过激励提供者采用安全最佳实践来提高医疗安全性。」他们还强调，「采纳和认可405(d)
HICP达成这两个目标。」

如果OCR考虑承认或推荐使用多种最佳实践框架，AHIMA建议推广使用NIST CF 或
HITRUST认证，这是一个「强大的认证、质量保证和再认证过程，确保组织积极参与保障其网络安全」。

AAMC也建议使用NIST或HITRUST，还有网络安全基础设施安全局采用的措施。对AAMC来说，主要担忧是OCR可能无意中超