在互聯互通的時代,云計算正在改變醫務人員、護士和醫院為患者提供優質、經濟高效的服務的方式。1996年健康保險流通與責任法案(HIPAA)是美國頒布的一項法律,旨在保護患者醫療記錄和患者提供的健康相關信息(也稱為PHI(個人健康信息))的隱私。HIPAA 適用于“涵蓋實體”和“業務伙伴”,包括醫生、醫院、健康相關提供商、清算所和健康保險提供商。HIPAA也適用于國家/地區,所有提供與健康相關的服務或正在處理或存儲患者健康信息的公司。
對于在行業中工作的嵌入式工程師和專業人士來說,HIPAA 合規性處于最前沿。雖然公司繼續幫助構建抗擊COVID-19的技術,但這些法規在生產和部署過程中至關重要。
海帕要求
對于符合 HIPAA 要求的解決方案,每個訪問 PHI 的涵蓋實體和業務伙伴都必須確保技術、物理和管理保護措施到位并得到解決,這確保了 HIPAA 隱私規則保護 PHI 的完整性。如果發生任何違反 PHI 的行為,則解決方案將實施通知程序以通知違規行為(HIPAA 違規通知規則)。
在下面找到在設計符合 HIPAA 標準的云連接醫療保健解決方案時要滿足的 HIPAA 要求。
希帕安全規則
HIPAA 安全規則解決了必須作為保護措施來保護 REST 和傳輸中的數據所必須應用的標準。這適用于所有有權訪問機密患者數據的人員和系統。系統必須實現基于角色的訪問控制(RBAC),這有助于定義對訪問ePHI的不同實體的不同級別的訪問,如人類(研究人員,患者,醫生)或系統(智能設備,移動設備,平板電腦)。
技術安全衛士
技術保護側重于用于保護 ePHI 并提供對數據的訪問的技術。REST 和傳輸中的數據一旦超出組織的內部基礎結構,就必須按照 NIST 標準進行加密。這側重于以下參數。
物理保護
物理保護側重于對 ePHI 的物理訪問,而不考慮位置。ePHI可以存儲在HIPAA覆蓋實體的遠程位置或內部數據中心。在任何情況下,必須保護存儲 ePHI 的物理位置,并防止未經授權的訪問
行政保障
行政保護側重于將隱私規則和安全規則連接在一起的程序和政策。
隱私規則
HIPAA 隱私規則側重于應如何使用和披露 ePHI。該規則要求實施所有必要的保護措施來保護患者的個人信息。該規則賦予患者權力;知情權,獲取信息副本和共享信息的權利。
根據隱私規則,涵蓋的實體必須在 30 天內響應患者請求。
建議,
為員工提供培訓
確保采取適當的措施來維護 ePHI 的完整性
當他們的健康信息用于任何目的(如營銷,研究等)時,必須獲得患者的書面許可。
海帕違規通知規則
HIPAA 違規通知規則要求涵蓋的實體在其 ePHI 發生違規行為時通知患者。還應進一步通知衛生與公眾服務部(僅當違規行為影響超過500名患者時)。
通知通知應包括:
涉及的電子應用實例的類型
如果知道,請共享訪問 ePHI 的未經授權的人員的詳細信息
是否查看或獲取了 ePHI?
違規原因和風險緩解計劃
希帕綜合規則
HIPAA 綜合規則解決以前 HIPAA 更新中省略的區域。
它明確了HIPAA合規性清單的定義,澄清了為HIPAA合規性清單實施的程序和政策,以涵蓋業務伙伴和分包商。
它修訂了以下關鍵領域的HIPPA法規:
最終修正案,包括根據“經濟和臨床健康健康信息技術(HITECH)法”要求的處罰結構
更新傷害閾值,并包括HITECH法案下不安全受保護健康信息的違規通知規則
對HIPAA進行修改,以納入《遺傳信息非歧視法》(GINA)的規定,禁止為承保目的披露遺傳信息
防止將 ePHI 和個人標識符用于營銷目的
執行規則
HIPAA 執行規則涵蓋對違反 ePHI 的調查以及對違反 ePHI 負責的實體的處罰。根據 HIPAA 合規性清單,以下是處罰
?可歸咎于無知的違規行為可招致100-50,000美元的罰款
?盡管有合理的警惕而發生的違規行為可能會被處以1,000美元至50,000美元的罰款。
?因故意疏忽而造成的違規行為,如在三十天內得到糾正,將被處以10,000美元至50,000美元的罰款
?因故意疏忽而造成的違規行為,如未在三十天內得到糾正,最高罰款為50,000美元
海帕風險評估指南
以下是風險評估指南。
確定解決方案創建、接收、傳輸和存儲的 PHI
識別對 PHI 完整性的威脅 – 人為威脅,包括有意和無意的威脅
確定適當的措施,以防止對 PHI 完整性的威脅,以及“合理預期”發生違規的可能性
確定違規的影響,并根據分配的可能性和影響級別的平均值定義風險級別的潛在發生
隨后實施的措施,程序和政策的理由,以及所有政策文件必須保留至少六年
因此,為了符合 HIPAA 的任何醫療保健解決方案,應注意以下要求并將其集成到解決方案中:
確保保護措施,以保護物理和虛擬數據存儲和傳輸上的 PHI
通過適當的訪問控制限制信息的使用和訪問
制定適當的協議以涵蓋職能和活動。BAA 確保服務提供商使用和傳遞具有適當訪問權限的 PHI,并遵循定義的保護措施
定義培訓變更流程、訪問控制審批流程和管理流程
為員工設置有關 PHI 保護意識、安全性和過程說明的培訓計劃
在Covid19的這一困難時期,應通過在存儲患者診斷和重要數據的云中嚴格遵守HIPAA來對患者數據采取最謹慎的態度。
審核編輯:郭婷
-
嵌入式
+關注
關注
5082文章
19107瀏覽量
304831 -
移動設備
+關注
關注
0文章
493瀏覽量
54688 -
智能設備
+關注
關注
5文章
1056瀏覽量
50583
發布評論請先 登錄
相關推薦
評論