符合HIPAA的解决方案要求

　　在互联时代，云计算正在改变医务人员、护士和医院为患者提供优质、经济高效的服务的方式。1996 年健康保险流通与责任法案 （HIPAA） 是美国发布的一项法律，旨在保护患者医疗记录和患者提供/提供给患者的健康相关信息（也称为 PHI（个人健康信息））的隐私。HIPAA 适用于“涵盖实体”和“商业伙伴”，包括医生、医院、健康相关提供商、清算所和健康保险提供商。HIPAA也适用于提供健康相关服务或处理或存储患者健康信息的国家/地区，所有公司。

　　对于在行业中工作的嵌入式工程师和专业人员来说，HIPAA 合规性是最重要的。虽然公司继续帮助构建抗击 COVID-19 的技术，但法规在生产和部署过程中至关重要。

　　HIPAA 要求

　　对于符合 HIPAA 的解决方案，访问 PHI 的每个涵盖实体和业务伙伴都必须确保技术、物理和管理保护措施到位并得到解决，从而确保 HIPAA 隐私规则保护 PHI 的完整性。如果发生任何违反 PHI 的行为，则解决方案将实施通知过程来通知违规行为（HIPAA 违规通知规则）。

　　在设计符合 HIPAA 标准的云连接医疗保健解决方案时，请满足以下 HIPAA 要求。

　　HIPAA 安全规则

　　HIPAA 安全规则解决了必须应用的标准，这些标准是保护 REST 和传输中的数据的保护措施。这适用于所有有权访问机密患者数据的人员和系统。系统必须实施基于角色的访问控制 （RBAC），这有助于定义对访问 ePHI 的不同实体的不同访问级别，如人类（研究人员、患者、医生）或系统（智能设备、移动设备、平板电脑）。

　　技术保障

　　技术保护措施侧重于用于保护 ePHI 并提供对数据的访问的技术。REST 和传输中的数据一旦超出组织的内部基础结构，就必须按照 NIST 标准进行加密。这侧重于以下参数。

　　物理保护

　　物理防护侧重于对 ePHI 的物理访问，无论其位置如何。ePHI 可以存储在 HIPAA 覆盖实体的远程位置或本地数据中心。在任何情况下，都必须保护存储 ePHI 的物理位置，并防止未经授权的访问

　　行政保障

　　管理保障侧重于将隐私规则和安全规则连接在一起的过程和策略。

　　HIPAA 隐私规则

　　HIPAA 隐私规则侧重于应如何使用和披露 ePHI。该规则要求实施所有必要的保护措施以保护患者的个人信息。该规则赋予患者权力;知情权，获取信息副本和共享信息的权利。

　　根据隐私规则，涵盖的实体必须在 30 天内回复患者的请求。

　　建议，

　　为员工提供培训

　　确保采取适当措施维护 ePHI 的完整性

　　当他们的健康信息用于营销、研究等任何目的时，必须得到患者的书面许可。

　　HIPAA 违规通知规则

　　HIPAA 违规通知规则要求涵盖的实体在违反其 ePHI 时通知患者。还应进一步通知卫生与公众服务部（仅当违规影响超过 500 名患者时）。

　　通知通知应包括：

　　涉及的 ePHI 类型

　　如果知道，请共享访问 ePHI 的未授权人员的详细信息

　　是否查看或获取了 ePHI？

　　违规原因和风险缓解计划

　　HIPAA 综合规则

　　HIPAA 综合规则解决了以前的 HIPAA 更新中省略的区域。

　　它清除了定义，阐明了为HIPAA合规性清单实施的程序和政策，以涵盖业务伙伴和分包商。

　　它修订了以下关键领域的HIPPA法规：

　　最终修正案，包括《经济和临床健康信息技术（HITECH）法案》要求的处罚结构

　　更新伤害阈值，并根据HITECH法案纳入不安全受保护健康信息的违规通知规则

　　修改HIPAA，以纳入《遗传信息非歧视法》（GINA）的规定，禁止为承保目的披露遗传信息

　　防止将 ePHI 和个人标识符用于营销目的

　　HIPAA 执行规则

　　HIPAA 执行规则涵盖对违反 ePHI 的调查以及对违反 ePHI 的实体的处罚。根据 HIPAA 合规性清单，以下是处罚

　　？由于无知而造成的违规行为可能会被处以 100 至 50，000 美元的罚款

　　？尽管有合理的警惕，但还是发生了违规行为，可能会被处以$1，000 – $50，000的罚款

　　？由于故意疏忽造成的违规行为在三十天内得到纠正，将被处以 10，000 至 50，000 美元的罚款

　　？因故意疏忽而造成的违规行为未在三十天内纠正，将处以最高 50，000 美元的罚款

　　HIPAA 风险评估指南

　　以下是风险评估指南。

　　确定解决方案创建、接收、传输和存储的 PHI，该 PHI

　　识别对 PHI 完整性的威胁 – 人为威胁，包括有意和无意的威胁

　　确定为防止PHI完整性受到威胁而采取的措施，以及“合理预期”违规发生的可能性

　　确定违规的影响，并根据分配的可能性和影响级别的平均值定义风险级别的潜在发生

　　随后实施的措施、程序和政策的理由以及所有政策文件必须至少保存六年

　　因此，为了符合HIPAA 的任何医疗保健解决方案，应注意以下要求并将其集成到解决方案中：

　　确保在物理和虚拟数据存储和传输方面保护 PHI 的保护措施

　　通过适当的访问控制限制信息的使用和访问

　　有适当的协议来涵盖职能和活动。BAA 确保服务提供商使用和通过具有适当访问权限的 PHI，并遵循定义的保护措施

　　定义培训变更流程、访问控制和管理流程的审批流程

　　为员工设置有关 PHI 保护意识、安全和流程解释的培训计划

　　在 Covid19 的困难时期，应通过在存储患者诊断和重要数据的云中遵循严格的 HIPAA 合规性来格外小心患者的数据。

　　审核编辑：郭婷