本文仅供信息参考,不构成法律建议。请咨询合格的医疗合规律师,以获取针对您组织的具体指导。
任何通过在线表单收集患者数据的医疗组织都必须满足 HIPAA 的技术和管理要求。本指南解释了这些要求的实际意义,谁有法律义务满足这些要求,违规的代价,以及在评估任何在线表单工具时需要注意的事项,包括导致意外不合规的常见误解。
目录
什么是 HIPAA 合规?
1996 年签署的《健康保险可携性和责任法案》(HIPAA)为保护敏感患者健康信息设定了联邦标准。对于数字化收集患者数据的组织,有两个规则直接相关:
隐私规则,管理受保护健康信息(PHI)的使用、披露和共享。PHI 包括任何可识别个人身份的健康信息:姓名、出生日期、地址、病历号、诊断代码、保险 ID 以及 45 CFR §164.514(b) 中定义的其他 14 个标识符。
安全规则,为电子 PHI(ePHI)设定具体的技术、物理和管理保障措施。这是对在线表单最直接影响的规则:它规定了加密标准、访问控制要求、审计能力和会话管理。
这两个规则同时适用。隐私规则决定您可以如何处理数据;安全规则决定您在处理数据时必须如何保护它。
这些规则由 HHS 民权办公室(OCR)执行。OCR 进行投诉驱动的调查和随机审计,自 2020 年以来越来越关注数字工具。
谁需要遵守 HIPAA?
HIPAA 适用于两类组织。许多医疗业务同时属于这两类。
覆盖实体
任何以标准医疗交易形式电子传输健康信息的组织:
- 医疗服务提供者:医生、医院、诊所、牙医、治疗师、脊椎按摩师、药房
- 健康计划:保险公司、健康维护组织、雇主赞助的健康计划、Medicare 和 Medicaid
- 医疗清算所:将非标准健康信息处理为标准格式的组织
请注意,“医疗服务提供者”的定义很广泛。私人执业的独立治疗师、远程医疗初创公司和多医院网络如果电子传输健康信息,都是覆盖实体。
业务伙伴
任何代表覆盖实体处理 PHI 的第三方供应商或承包商都是业务伙伴。这包括:
- 在线表单构建器和患者信息平台
- 存储表单数据的云存储提供商
- 用于传输患者信息的电子邮件和传真服务
- 计费和编码服务
- 拥有 PHI 存储系统访问权限的 IT 支持公司
- 审查患者记录的法律、会计或咨询公司
在任何 PHI 通过第三方工具流动之前,法律上需要签署业务伙伴协议(BAA)。没有签署 BAA,使用该工具本身就是 HIPAA 违规行为,不论是否发生数据泄露。
**实际影响:**如果您使用在线表单收集患者信息、预约请求或保险详情,表单构建器必须符合 HIPAA 并与您的组织签署 BAA。使用没有 BAA 的通用表单工具会使您的业务面临责任。
HIPAA 违规的处罚是什么?
HIPAA 违规由 OCR 执行,处罚根据违规的严重程度和知情程度进行调整:
| 违规类别 | 每次违规处罚 | 年度上限 |
|---|---|---|
| 不知情 | $100 – $50,000 | $25,000 |
| 合理原因 | $1,000 – $50,000 | $100,000 |
| 故意忽视(在 30 天内纠正) | $10,000 – $50,000 | $250,000 |
| 故意忽视(未纠正) | $50,000 | $1,900,000 |
罚款金额每年根据通货膨胀进行调整。上述数字反映了原始法定金额;2024 年调整后的最低罚款从每次违规 $141 起,最高级别每年达到 $2,134,831。
刑事违规行为——个人故意披露 PHI——可判处 1 至 10 年的监禁,具体取决于意图。
州检察长也可以提起独立的 HIPAA 执法行动,有时会导致在联邦罚款之外的额外处罚。
最近的执法案例:
- 2025 年,OCR 与 Deer Oaks Behavioral Health 达成和解,金额为 $225,000,因为患者出院总结由于已停用的患者门户中的编码错误而在网上公开可访问超过 18 个月。OCR 的调查发现核心失败是风险分析不足——这是安全规则的基础要求。
- 2022 年,OCR 与 New England Dermatology 达成和解,金额为 $300,640,因为患者信息在标本容器标签上被丢弃在不安全的垃圾箱中——提醒人们 HIPAA 也涵盖 PHI 的物理处理。
无知不是法律辩护。OCR 的立场是,每个覆盖实体和业务伙伴都有义务了解规则并主动验证合规性。
HIPAA 对在线表单的要求
安全规则(45 CFR Part 164)规定了任何处理 ePHI 的系统必须满足的六类技术保障措施。以下是在在线表单背景下的具体含义:
1. 静态和传输中的加密
ePHI 在服务器上存储时和在患者浏览器与您的服务器之间传输时必须加密。NIST 推荐使用 AES-128 或 AES-256 进行静态数据加密,使用 TLS 1.2 或更高版本进行传输数据加密。仅使用 HTTPS 不足以满足要求——HTTPS 仅解决传输中的加密;数据也必须在磁盘上加密。
2. 访问控制
只有授权人员才能查看患者表单提交。这需要基于角色的权限:信息协调员可以查看提交,但不一定能下载原始数据导出;计费管理员可能需要与临床医生不同的访问权限。为整个员工共享的通用登录不满足此要求。
3. 审计控制
系统必须保留记录谁访问了 PHI、何时访问以及采取了哪些操作的日志。这些日志必须保留,并在 HIPAA 审计期间可供审查。审计日志是 OCR 在调查期间首先请求的内容之一。
4. 自动会话超时
为防止未经授权访问无人看管的工作站,会话必须在一段定义的不活动时间后自动终止。OCR 没有规定确切的超时时间,但医疗环境中的标准做法是 15 分钟自动锁定和 30 分钟完全会话终止。
5. 业务伙伴协议
在任何 ePHI 通过第三方工具流动之前,必须签署 BAA。BAA 确立了供应商在其端接受 HIPAA 合规的法律责任。没有它,您对通过该供应商系统的任何 PHI 负有个人责任。
6. 完整性控制
系统必须具备检测 ePHI 是否被不当更改或销毁的机制——例如,提交文档上的校验和或数字签名。这对于同意书和治疗授权尤其重要。
常见误解
这些误解经常导致意外不合规:
“我们使用 HTTPS,所以我们已覆盖。”
HTTPS 仅加密传输中的数据。安全规则还要求静态加密。一个通过 HTTPS 发送数据但在服务器上未加密存储的数据表单不符合要求。此外,HTTPS 不涉及访问控制、审计日志或会话管理。
“我们使用 Google Forms / Typeform / JotForm。”
Google Workspace 为付费计划提供 BAA,但标准 Google Forms 不符合 HIPAA 覆盖使用的资格。Typeform 需要企业或增长定制计划才能获得 BAA;标准计划不包括 BAA。JotForm 需要黄金或企业计划才能获得 HIPAA 功能和签署 BAA——免费、青铜和白银计划不包括在内。如果您使用这些工具的标准计划收集 PHI,无论数据随后如何处理,都是 HIPAA 违规。在收集任何 PHI 之前,请始终直接与供应商核实您当前计划的 BAA 资格。
“我们的业务太小,不值得关注。”
HIPAA 适用于所有覆盖实体,无论规模大小。OCR 曾对独立从业者和小型诊所处以罚款。“不知情”罚款级别仍然可达每次违规 $50,000。
“我们只收集预约请求,不是病历。”
包含患者姓名、联系方式和就诊原因(通常包括健康信息)的预约请求构成 PHI。信息表、保险验证表和同意书都属于 HIPAA 管辖范围。
“我们的 IT 团队处理 HIPAA——我们不需要担心表单。”
HIPAA 合规适用于接触 PHI 的每个系统,而不仅仅是您的电子健康记录。每个工具都必须单独评估,如果是第三方服务,还需由 BAA 覆盖。
如何评估任何表单工具
在使用任何在线表单工具收集患者数据之前,请验证以下内容。这些适用于任何供应商,不仅限于 PlatoForms:
1. 供应商是否签署 BAA?
直接询问。如果供应商拒绝签署 BAA 或称其不必要,请不要将其工具用于 PHI。建议在签署前由您的法律顾问审核 BAA 模板。
2. 数据存储在哪里,是否加密存储?
要求供应商确认其存储数据的加密标准(AES-256 是当前最佳实践)和服务器的地理位置。数据驻留可能对州级合规要求很重要。
3. 平台是否具有基于角色的访问控制?
您能否为不同的团队成员分配不同的权限?您能否限制谁可以查看、下载或删除提交内容?
4. 是否提供审计日志?
您能否导出所有访问和身份验证事件的日志?日志是否保留足够长的时间以支持 HIPAA 审计(至少 6 年)?
5. 平台是否强制执行会话超时?
会话是否在不活动后自动终止?这是可配置的,还是由供应商固定的?
6. 供应商是否拥有独立的安全认证?
SOC 2 Type II 是 SaaS 公司最常见的第三方安全审计。其存在并不保证 HIPAA 合规,但表明供应商重视安全并接受独立审查。注意:PlatoForms 自身的 SOC 2 认证目前正在计划中;然而,托管 PlatoForms 数据的基础 AWS 基础设施已获得 SOC 2 Type II 认证。
7. 表单数据保留多长时间?
HIPAA 要求覆盖记录的最低保留期为 6 年。验证供应商的默认数据保留政策以及您是否可以配置它。
PlatoForms 如何满足每个要求
PlatoForms 在银牌和金牌计划中提供内置的 HIPAA 合规功能。启用后,所有技术保障措施自动激活。
AES-256 加密和 TLS 1.2+
所有表单数据在静态时使用 AES-256 加密,在传输时使用 TLS 1.2+ 加密。这适用于患者开始填写表单时的每个提交、PDF 和附件。
安全域名
启用 HIPAA 后,所有已发布的表单从 form.platoforms.com 转移到 secure.platoforms.com。如果您使用了任何嵌入脚本或共享 URL,请在 7 天内更新它们——旧的 URL 和嵌入脚本将在此后停止工作。如果您使用 自定义域名,共享 URL 保持不变,但嵌入脚本仍需更新。
自动锁定和注销
- 15 分钟自动锁定,页面在不活动后锁定;需要密码解锁
- 30 分钟自动注销,会话在 30 分钟不活动或浏览器关闭后完全结束
团队审计日志
团队管理员可以访问记录团队中每次共享、身份验证和访问事件的完整审计日志。建议定期查看这些日志以检测异常行为并支持合规文档。查看 如何使用审计日志。
基于角色的访问控制
细粒度权限让您可以精确控制哪些团队成员可以查看、编辑或下载表单提交。
双因素身份验证
2FA 可以按账户启用或强制要求所有团队成员使用。
签署的业务伙伴协议
启用 HIPAA 合规后,PlatoForms 会将签署的 BAA 发送到团队管理员的电子邮件。可下载的 BAA 模板也可在 信任中心 中获取。
带有防篡改证书的电子签名
每个 签名证书 捕获签名者的时间戳、IP 地址和提交 PDF 的 SHA-256 校验和——为同意书、治疗授权和患者协议创建可验证的完整性记录。
可配置的数据保留
对于 HIPAA 合规账户,数据保留默认设置为“永久”,确保提交数据保留以满足 HIPAA 标准。查看 数据保留政策 了解详细信息。
开始使用
HIPAA 合规在银牌和金牌计划中无需额外费用。
4. PlatoForms 升级所有团队账户并将签署的 BAA 发送到团队管理员的电子邮件
有关完整的技术操作指南,请参阅 HIPAA 合规文档。有关安全架构、认证和可下载的合规文档,请访问 信任中心。
有关 HHS 安全规则指南,请参阅 官方 HHS 资源页面。
准备好安全地收集患者数据了吗?开始免费试用 并从第一天起启用 HIPAA 合规。
