在互聯(lián)時代，云計算正在改變醫(yī)務(wù)人員、護(hù)士和醫(yī)院為患者提供優(yōu)質(zhì)、經(jīng)濟(jì)高效的服務(wù)的方式。1996 年健康保險流通與責(zé)任法案 （HIPAA） 是美國發(fā)布的一項法律，旨在保護(hù)患者醫(yī)療記錄和患者提供/提供給患者的健康相關(guān)信息（也稱為 PHI（個人健康信息））的隱私。HIPAA 適用于“涵蓋實體”和“商業(yè)伙伴”，包括醫(yī)生、醫(yī)院、健康相關(guān)提供商、清算所和健康保險提供商。HIPAA也適用于提供健康相關(guān)服務(wù)或處理或存儲患者健康信息的國家/地區(qū)，所有公司。

對于在行業(yè)中工作的嵌入式工程師和專業(yè)人員來說，HIPAA 合規(guī)性是最重要的。雖然公司繼續(xù)幫助構(gòu)建抗擊 COVID-19 的技術(shù)，但法規(guī)在生產(chǎn)和部署過程中至關(guān)重要。

HIPAA 要求

對于符合 HIPAA 的解決方案，訪問 PHI 的每個涵蓋實體和業(yè)務(wù)伙伴都必須確保技術(shù)、物理和管理保護(hù)措施到位并得到解決，從而確保 HIPAA 隱私規(guī)則保護(hù) PHI 的完整性。如果發(fā)生任何違反 PHI 的行為，則解決方案將實施通知過程來通知違規(guī)行為（HIPAA 違規(guī)通知規(guī)則）。

在設(shè)計符合 HIPAA 標(biāo)準(zhǔn)的云連接醫(yī)療保健解決方案時，請滿足以下 HIPAA 要求。

HIPAA 安全規(guī)則

HIPAA 安全規(guī)則解決了必須應(yīng)用的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)是保護(hù) REST 和傳輸中的數(shù)據(jù)的保護(hù)措施。這適用于所有有權(quán)訪問機(jī)密患者數(shù)據(jù)的人員和系統(tǒng)。系統(tǒng)必須實施基于角色的訪問控制 （RBAC），這有助于定義對訪問 ePHI 的不同實體的不同訪問級別，如人類（研究人員、患者、醫(yī)生）或系統(tǒng)（智能設(shè)備、移動設(shè)備、平板電腦）。

技術(shù)保障

技術(shù)保護(hù)措施側(cè)重于用于保護(hù) ePHI 并提供對數(shù)據(jù)的訪問的技術(shù)。REST 和傳輸中的數(shù)據(jù)一旦超出組織的內(nèi)部基礎(chǔ)結(jié)構(gòu)，就必須按照 NIST 標(biāo)準(zhǔn)進(jìn)行加密。這側(cè)重于以下參數(shù)。

物理保護(hù)

物理防護(hù)側(cè)重于對 ePHI 的物理訪問，無論其位置如何。ePHI 可以存儲在 HIPAA 覆蓋實體的遠(yuǎn)程位置或本地數(shù)據(jù)中心。在任何情況下，都必須保護(hù)存儲 ePHI 的物理位置，并防止未經(jīng)授權(quán)的訪問

行政保障

管理保障側(cè)重于將隱私規(guī)則和安全規(guī)則連接在一起的過程和策略。

HIPAA 隱私規(guī)則

HIPAA 隱私規(guī)則側(cè)重于應(yīng)如何使用和披露 ePHI。該規(guī)則要求實施所有必要的保護(hù)措施以保護(hù)患者的個人信息。該規(guī)則賦予患者權(quán)力;知情權(quán)，獲取信息副本和共享信息的權(quán)利。

根據(jù)隱私規(guī)則，涵蓋的實體必須在 30 天內(nèi)回復(fù)患者的請求。

建議，

為員工提供培訓(xùn)

確保采取適當(dāng)措施維護(hù) ePHI 的完整性

當(dāng)他們的健康信息用于營銷、研究等任何目的時，必須得到患者的書面許可。

HIPAA 違規(guī)通知規(guī)則

HIPAA 違規(guī)通知規(guī)則要求涵蓋的實體在違反其 ePHI 時通知患者。還應(yīng)進(jìn)一步通知衛(wèi)生與公眾服務(wù)部（僅當(dāng)違規(guī)影響超過 500 名患者時）。

通知通知應(yīng)包括：

涉及的 ePHI 類型

如果知道，請共享訪問 ePHI 的未授權(quán)人員的詳細(xì)信息

是否查看或獲取了 ePHI？

違規(guī)原因和風(fēng)險緩解計劃

HIPAA 綜合規(guī)則

HIPAA 綜合規(guī)則解決了以前的 HIPAA 更新中省略的區(qū)域。

它清除了定義，闡明了為HIPAA合規(guī)性清單實施的程序和政策，以涵蓋業(yè)務(wù)伙伴和分包商。

它修訂了以下關(guān)鍵領(lǐng)域的HIPPA法規(guī)：

最終修正案，包括《經(jīng)濟(jì)和臨床健康信息技術(shù)（HITECH）法案》要求的處罰結(jié)構(gòu)

更新傷害閾值，并根據(jù)HITECH法案納入不安全受保護(hù)健康信息的違規(guī)通知規(guī)則

修改HIPAA，以納入《遺傳信息非歧視法》（GINA）的規(guī)定，禁止為承保目的披露遺傳信息

防止將 ePHI 和個人標(biāo)識符用于營銷目的

HIPAA 執(zhí)行規(guī)則

HIPAA 執(zhí)行規(guī)則涵蓋對違反 ePHI 的調(diào)查以及對違反 ePHI 的實體的處罰。根據(jù) HIPAA 合規(guī)性清單，以下是處罰

？由于無知而造成的違規(guī)行為可能會被處以 100 至 50，000 美元的罰款

？盡管有合理的警惕，但還是發(fā)生了違規(guī)行為，可能會被處以$1，000 – $50，000的罰款

？由于故意疏忽造成的違規(guī)行為在三十天內(nèi)得到糾正，將被處以 10，000 至 50，000 美元的罰款

？因故意疏忽而造成的違規(guī)行為未在三十天內(nèi)糾正，將處以最高 50，000 美元的罰款

HIPAA 風(fēng)險評估指南

以下是風(fēng)險評估指南。

確定解決方案創(chuàng)建、接收、傳輸和存儲的 PHI，該 PHI

識別對 PHI 完整性的威脅 – 人為威脅，包括有意和無意的威脅

確定為防止PHI完整性受到威脅而采取的措施，以及“合理預(yù)期”違規(guī)發(fā)生的可能性

確定違規(guī)的影響，并根據(jù)分配的可能性和影響級別的平均值定義風(fēng)險級別的潛在發(fā)生

隨后實施的措施、程序和政策的理由以及所有政策文件必須至少保存六年

因此，為了符合HIPAA 的任何醫(yī)療保健解決方案，應(yīng)注意以下要求并將其集成到解決方案中：

確保在物理和虛擬數(shù)據(jù)存儲和傳輸方面保護(hù) PHI 的保護(hù)措施

通過適當(dāng)?shù)脑L問控制限制信息的使用和訪問

有適當(dāng)?shù)膮f(xié)議來涵蓋職能和活動。BAA 確保服務(wù)提供商使用和通過具有適當(dāng)訪問權(quán)限的 PHI，并遵循定義的保護(hù)措施

定義培訓(xùn)變更流程、訪問控制和管理流程的審批流程

為員工設(shè)置有關(guān) PHI 保護(hù)意識、安全和流程解釋的培訓(xùn)計劃

在 Covid19 的困難時期，應(yīng)通過在存儲患者診斷和重要數(shù)據(jù)的云中遵循嚴(yán)格的 HIPAA 合規(guī)性來格外小心患者的數(shù)據(jù)。

審核編輯：郭婷