详细内容或原文请订阅后点击阅览
隐私和网络安全:VA 在加强受保护健康信息的安全控制方面取得了进展
GAO 的发现退伍军人健康管理局 (VHA) 使用外部实体(称为业务伙伴)的服务代表医疗保健提供者或其他业务伙伴创建、接收、维护或传输受保护的健康信息 (PHI)。退伍军人事务部 (VA) 已与这些实体实施 PHI 共享协议,以确保它们满足 1996 年健康保险流通和责任法案 (HIPAA) 隐私规则的要求。 GAO 审查了 73 份随机选择的共享协议,发现其中 100% 包含了有关使用和披露 PHI 的所有 12 条 HIPAA 隐私规则要求。此外,VHA 还记录了进行绩效审计的责任,以确认外部实体正在保护退伍军人的 PHI。VA 采取措施保护其百万退伍军人计划 (MVP) 使用的关键系统中的健康信息,该计划的重点是检查基因、生活方式、军事经历和暴露如何影响退伍军人的健康和保健。然而,与资产和风险管理相关的某些网络安全控制存在缺陷;配置管理;身份和访问管理;以及持续监控和记录。由于这些缺陷,VA 降低了对 MVP 中敏感健康信息的机密性和完整性的保证。 2025 年 9 月,GAO 向 VA 提出了 13 项建议,以解决这些缺陷。自 2025 年 9 月以来,VA 实施了 13 项建议中的 9 项
来源:美国政府问责局__信息安全信息GAO 发现了什么
退伍军人健康管理局 (VHA) 使用外部实体(称为业务伙伴)的服务代表医疗保健提供者或其他业务伙伴创建、接收、维护或传输受保护的健康信息 (PHI)。退伍军人事务部 (VA) 已与这些实体实施 PHI 共享协议,以确保它们满足 1996 年健康保险流通和责任法案 (HIPAA) 隐私规则的要求。 GAO 审查了 73 份随机选择的共享协议,发现其中 100% 包含了有关使用和披露 PHI 的所有 12 条 HIPAA 隐私规则要求。此外,VHA 记录了进行绩效审计的责任,以确认外部实体正在保护退伍军人的 PHI。
退伍军人管理局采取措施保护其百万退伍军人计划 (MVP) 使用的关键系统中的健康信息,该计划的重点是检查基因、生活方式、军事经历和暴露如何影响退伍军人的健康和保健。然而,与资产和风险管理相关的某些网络安全控制存在缺陷;配置管理;身份和访问管理;以及持续监控和记录。由于这些缺陷,VA 降低了对 MVP 中敏感健康信息的机密性和完整性的保证。 2025 年 9 月,GAO 向 VA 提出了 13 项建议,以解决这些缺陷。
自 2025 年 9 月以来,VA 实施了 13 项建议中的 9 项,并部分实施了另外 3 项建议(见图)。 GAO 将继续监测 VA 在实施其余建议方面的进展。
图:截至 2026 年 3 月,VA 在落实 2025 年 9 月提出的 13 项 GAO 建议方面取得的进展
GAO 为何进行这项研究
在 VA 内,VHA 负责监督向数百万退伍军人提供医疗保健服务。 VHA 使用并与外部实体共享的 PHI 数量凸显了保护 PHI 隐私的重要性。