在互联时代,云计算正在改变医务人员、护士和医院为患者提供优质、经济高效的服务的方式。1996 年健康保险流通与责任法案 (HIPAA) 是美国发布的一项法律,旨在保护患者医疗记录和患者提供/提供给患者的健康相关信息(也称为 PHI(个人健康信息))的隐私。HIPAA 适用于“涵盖实体”和“商业伙伴”,包括医生、医院、健康相关提供商、清算所和健康保险提供商。HIPAA也适用于提供健康相关服务或处理或存储患者健康信息的国家/地区,所有公司。
对于在行业中工作的嵌入式工程师和专业人员来说,HIPAA 合规性是最重要的。虽然公司继续帮助构建抗击 COVID-19 的技术,但法规在生产和部署过程中至关重要。
HIPAA 要求
对于符合 HIPAA 的解决方案,访问 PHI 的每个涵盖实体和业务伙伴都必须确保技术、物理和管理保护措施到位并得到解决,从而确保 HIPAA 隐私规则保护 PHI 的完整性。如果发生任何违反 PHI 的行为,则解决方案将实施通知过程来通知违规行为(HIPAA 违规通知规则)。
在设计符合 HIPAA 标准的云连接医疗保健解决方案时,请满足以下 HIPAA 要求。
HIPAA 安全规则
HIPAA 安全规则解决了必须应用的标准,这些标准是保护 REST 和传输中的数据的保护措施。这适用于所有有权访问机密患者数据的人员和系统。系统必须实施基于角色的访问控制 (RBAC),这有助于定义对访问 ePHI 的不同实体的不同访问级别,如人类(研究人员、患者、医生)或系统(智能设备、移动设备、平板电脑)。
技术保障
技术保护措施侧重于用于保护 ePHI 并提供对数据的访问的技术。REST 和传输中的数据一旦超出组织的内部基础结构,就必须按照 NIST 标准进行加密。这侧重于以下参数。
物理保护
物理防护侧重于对 ePHI 的物理访问,无论其位置如何。ePHI 可以存储在 HIPAA 覆盖实体的远程位置或本地数据中心。在任何情况下,都必须保护存储 ePHI 的物理位置,并防止未经授权的访问
行政保障
管理保障侧重于将隐私规则和安全规则连接在一起的过程和策略。
HIPAA 隐私规则
HIPAA 隐私规则侧重于应如何使用和披露 ePHI。该规则要求实施所有必要的保护措施以保护患者的个人信息。该规则赋予患者权力;知情权,获取信息副本和共享信息的权利。
根据隐私规则,涵盖的实体必须在 30 天内回复患者的请求。
建议,
为员工提供培训
确保采取适当措施维护 ePHI 的完整性
当他们的健康信息用于营销、研究等任何目的时,必须得到患者的书面许可。
HIPAA 违规通知规则
HIPAA 违规通知规则要求涵盖的实体在违反其 ePHI 时通知患者。还应进一步通知卫生与公众服务部(仅当违规影响超过 500 名患者时)。
通知通知应包括:
涉及的 ePHI 类型
如果知道,请共享访问 ePHI 的未授权人员的详细信息
是否查看或获取了 ePHI?
违规原因和风险缓解计划
HIPAA 综合规则
HIPAA 综合规则解决了以前的 HIPAA 更新中省略的区域。
它清除了定义,阐明了为HIPAA合规性清单实施的程序和政策,以涵盖业务伙伴和分包商。
它修订了以下关键领域的HIPPA法规:
最终修正案,包括《经济和临床健康信息技术(HITECH)法案》要求的处罚结构
更新伤害阈值,并根据HITECH法案纳入不安全受保护健康信息的违规通知规则
修改HIPAA,以纳入《遗传信息非歧视法》(GINA)的规定,禁止为承保目的披露遗传信息
防止将 ePHI 和个人标识符用于营销目的
HIPAA 执行规则
HIPAA 执行规则涵盖对违反 ePHI 的调查以及对违反 ePHI 的实体的处罚。根据 HIPAA 合规性清单,以下是处罚
?由于无知而造成的违规行为可能会被处以 100 至 50,000 美元的罚款
?尽管有合理的警惕,但还是发生了违规行为,可能会被处以$1,000 – $50,000的罚款
?由于故意疏忽造成的违规行为在三十天内得到纠正,将被处以 10,000 至 50,000 美元的罚款
?因故意疏忽而造成的违规行为未在三十天内纠正,将处以最高 50,000 美元的罚款
HIPAA 风险评估指南
以下是风险评估指南。
确定解决方案创建、接收、传输和存储的 PHI,该 PHI
识别对 PHI 完整性的威胁 – 人为威胁,包括有意和无意的威胁
确定为防止PHI完整性受到威胁而采取的措施,以及“合理预期”违规发生的可能性
确定违规的影响,并根据分配的可能性和影响级别的平均值定义风险级别的潜在发生
随后实施的措施、程序和政策的理由以及所有政策文件必须至少保存六年
因此,为了符合HIPAA 的任何医疗保健解决方案,应注意以下要求并将其集成到解决方案中:
确保在物理和虚拟数据存储和传输方面保护 PHI 的保护措施
通过适当的访问控制限制信息的使用和访问
有适当的协议来涵盖职能和活动。BAA 确保服务提供商使用和通过具有适当访问权限的 PHI,并遵循定义的保护措施
定义培训变更流程、访问控制和管理流程的审批流程
为员工设置有关 PHI 保护意识、安全和流程解释的培训计划
在 Covid19 的困难时期,应通过在存储患者诊断和重要数据的云中遵循严格的 HIPAA 合规性来格外小心患者的数据。
审核编辑:郭婷
-
嵌入式
+关注
关注
5082文章
19126浏览量
305201 -
云计算
+关注
关注
39文章
7806浏览量
137402 -
智能设备
+关注
关注
5文章
1057浏览量
50599
发布评论请先 登录
相关推荐
评论