Agent Skills Finder
A

hipaa-compliance

作者 affaan-m

hipaa-compliance 是面向医疗隐私与安全工作的 HIPAA 专用入口。当任务明确涉及 PHI、受覆盖实体、BAA、泄露风险态势,或某个工作流是否会带来 HIPAA 暴露时,就使用 hipaa-compliance 技能。它是一个轻量覆盖层,适合快速合规分诊与指导。

Stars156.2k
收藏0
评论0
收录时间2026年4月15日
分类合规审查
安装命令
npx skills add affaan-m/everything-claude-code --skill hipaa-compliance
编辑评分

该技能评分为 71/100,说明它适合需要 HIPAA 专用入口的用户,但设计上刻意保持轻量,更适合作为路由层,而不是完整的独立工作流。对于目录用户来说,它能在任务明确涉及 HIPAA/PHI/BAA 时减少提示词猜测,但应与它所指向的更广泛的医疗和安全技能搭配使用。

71/100
亮点
  • 对 HIPAA、PHI、受覆盖实体、BAA 和医疗合规的触发词非常明确,便于快速启用。
  • 职责边界清晰:它会把用户导向相关技能来处理实现、审查和通用安全问题,而不是假装自己包揽一切。
  • 正文信息密度足够,并给出具体使用场景和决策门槛,能帮助代理快速判断该技能是否适用。
注意点
  • 该技能刻意保持轻量,大多数实际操作仍依赖其他技能,因此不能视为完整的 HIPAA 作战手册。
  • 没有安装命令、支持文件、参考资料或脚本,信任信号和实现深度都比较有限。
HIPAA 合规隐私SecurityComplianceLegal
概览

hipaa-compliance 技能概览

hipaa-compliance 是面向美国医疗隐私与安全工作的 HIPAA 专用入口。只要任务明确涉及 PHI、受涵盖实体、业务伙伴、BAA、泄露暴露风险,或者某个工作流是否会带来 HIPAA 风险,就应使用 hipaa-compliance 技能。

这项技能适用于什么场景

它帮助你判断一个产品、功能或工作流是否与 HIPAA 相关,以及在实施前哪些防护边界最重要。它的核心任务不是做泛化的安全审查,而是回答:“这个设计会不会产生 HIPAA 暴露?在上线前必须满足什么条件?”

它有什么不同

这项技能刻意保持精简且具有权威性。它不会替代更完整的医疗隐私实施方案,也不会替代通用安全审查。它的作用是用正确的视角来处理 HIPAA 问题,避免把 HIPAA 规则过度套用到无关工作上,或者把真正的合规问题范围划得过小。

最适合哪些读者

如果你在审查或构建面向患者的系统、临床人员工具、内部支持流程、日志管道、分析系统,或可能接触 PHI 的 LLM 辅助工作流,就适合安装 hipaa-compliance。对于需要在深入审查前快速、统一分流的合规、产品和工程团队,它尤其有用。

如何使用 hipaa-compliance 技能

安装并验证技能

使用仓库中展示的 hipaa-compliance 安装命令,并确认该技能已在你的 agent 工作流中可用。如果你是先浏览目录再决定是否安装,先查看 SKILL.md 以确认适用范围,再把它用于生产工作。

给技能提供正确输入

hipaa-compliance 的使用方式在你一次性说明合规问题、数据类型、参与角色和工作流时效果最好。例如:“审查这个支持聊天机器人是否能看到预约记录,这是否会造成 PHI 暴露,以及需要哪些最低必要控制措施。”

从 canonical 流程开始

先阅读 SKILL.md,如果仓库里还有其他链接指引,再继续顺着看。对这个仓库来说,关键决策路径是:先判断请求是否属于 HIPAA 范围,把具体实现细节交给更完整的医疗隐私技能,再把 HIPAA 作为合规叠加层,而不是独立的架构方案。

能带来更好结果的提示词结构

高质量的 hipaa-compliance 提示词会包含系统上下文、具体功能,以及你需要它做出的决策。低质量提示词只会说“让它符合 HIPAA”。更好的写法是:“评估把患者初诊机器人产生的聊天记录保存下来是否允许、应排除哪些数据,以及需要哪些审计/日志限制。”

hipaa-compliance 技能 FAQ

hipaa-compliance 本身够用吗?

通常不够。仓库已经说明,hipaa-compliance 负责 HIPAA 决策的叠加层,而 healthcare-phi-compliance 负责具体的隐私与处理规则。只要工作涉及真实的 PHI 工作流,就应同时使用这两个技能。

什么情况下不该用这个技能?

不要把 hipaa-compliance 用在通用应用安全、普通隐私设计,或从未接触 PHI 的非医疗产品上。如果问题是通用认证、密钥管理、输入校验或部署加固,security-review 更适合。

这适合新手吗?

适合,前提是你已经知道工作流的基本事实。这个技能对新手有帮助,因为它把问题收窄到与 HIPAA 相关的决策关口,但你仍然需要清楚说明涉及哪些数据,以及谁可以访问这些数据。

它能帮助做合规审查吗?

可以,当你需要快速预检日志、分析、支持工具,或可能暴露 PHI 的 LLM 提示词时,hipaa-compliance 很适合作为 Compliance Review 的输入。它最强的用法是作为正式法律或安全审查之前的分流层。

如何改进 hipaa-compliance 技能

补齐缺失的合规事实

提升效果最大的一步,是把数据、参与者和用途说清楚。要说明系统处理的是诊断记录、预约信息、付款信息、对话转录、图片还是标识符,以及用户是受涵盖实体、业务伙伴还是供应商。

要求给出决策,而不只是摘要

想获得更好的 hipaa-compliance 使用结果,就直接要求它输出具体结论,例如“风险评估”“能不能上线的判断”“控制清单”或“上线前必须修改什么”。这样才能迫使回答把 HIPAA 关注点转化为可执行动作。

留意常见失败模式

最常见的错误,是把所有医疗相关功能都当成同等受监管。另一个常见问题,是忽视通过日志、分析、支持工单或提示词造成的间接暴露。如果这些渠道存在,要明确提出来,这样技能才能评估最低必要访问和泄露姿态。

用第一版结果继续迭代

第一次回答后,再补一层上下文:PHI 出现在哪里、保留多久、谁能看到、涉及哪些外部服务。通常只需补充这些信息,就能把泛泛而谈的答案,变成对真实实施决策有用的 hipaa-compliance 指南。

评分与评论

暂无评分
分享你的评价
登录后即可为这个技能评分并发表评论。
G
0/10000
最新评论
保存中...