在互聯(lián)互通的時代，云計算正在改變醫(yī)務人員、護士和醫(yī)院為患者提供優(yōu)質(zhì)、經(jīng)濟高效的服務的方式。1996年健康保險流通與責任法案（HIPAA）是美國頒布的一項法律，旨在保護患者醫(yī)療記錄和患者提供的健康相關(guān)信息（也稱為PHI（個人健康信息））的隱私。HIPAA 適用于“涵蓋實體”和“業(yè)務伙伴”，包括醫(yī)生、醫(yī)院、健康相關(guān)提供商、清算所和健康保險提供商。HIPAA也適用于國家/地區(qū)，所有提供與健康相關(guān)的服務或正在處理或存儲患者健康信息的公司。

對于在行業(yè)中工作的嵌入式工程師和專業(yè)人士來說，HIPAA 合規(guī)性處于最前沿。雖然公司繼續(xù)幫助構(gòu)建抗擊COVID-19的技術(shù)，但這些法規(guī)在生產(chǎn)和部署過程中至關(guān)重要。

海帕要求

對于符合 HIPAA 要求的解決方案，每個訪問 PHI 的涵蓋實體和業(yè)務伙伴都必須確保技術(shù)、物理和管理保護措施到位并得到解決，這確保了 HIPAA 隱私規(guī)則保護 PHI 的完整性。如果發(fā)生任何違反 PHI 的行為，則解決方案將實施通知程序以通知違規(guī)行為（HIPAA 違規(guī)通知規(guī)則）。

在下面找到在設(shè)計符合 HIPAA 標準的云連接醫(yī)療保健解決方案時要滿足的 HIPAA 要求。

希帕安全規(guī)則

HIPAA 安全規(guī)則解決了必須作為保護措施來保護 REST 和傳輸中的數(shù)據(jù)所必須應用的標準。這適用于所有有權(quán)訪問機密患者數(shù)據(jù)的人員和系統(tǒng)。系統(tǒng)必須實現(xiàn)基于角色的訪問控制（RBAC），這有助于定義對訪問ePHI的不同實體的不同級別的訪問，如人類（研究人員，患者，醫(yī)生）或系統(tǒng)（智能設(shè)備，移動設(shè)備，平板電腦）。

技術(shù)安全衛(wèi)士

技術(shù)保護側(cè)重于用于保護 ePHI 并提供對數(shù)據(jù)的訪問的技術(shù)。REST 和傳輸中的數(shù)據(jù)一旦超出組織的內(nèi)部基礎(chǔ)結(jié)構(gòu)，就必須按照 NIST 標準進行加密。這側(cè)重于以下參數(shù)。

物理保護

物理保護側(cè)重于對 ePHI 的物理訪問，而不考慮位置。ePHI可以存儲在HIPAA覆蓋實體的遠程位置或內(nèi)部數(shù)據(jù)中心。在任何情況下，必須保護存儲 ePHI 的物理位置，并防止未經(jīng)授權(quán)的訪問

行政保障

行政保護側(cè)重于將隱私規(guī)則和安全規(guī)則連接在一起的程序和政策。

隱私規(guī)則

HIPAA 隱私規(guī)則側(cè)重于應如何使用和披露 ePHI。該規(guī)則要求實施所有必要的保護措施來保護患者的個人信息。該規(guī)則賦予患者權(quán)力;知情權(quán)，獲取信息副本和共享信息的權(quán)利。

根據(jù)隱私規(guī)則，涵蓋的實體必須在 30 天內(nèi)響應患者請求。

建議，

為員工提供培訓

確保采取適當?shù)拇胧﹣砭S護 ePHI 的完整性

當他們的健康信息用于任何目的（如營銷，研究等）時，必須獲得患者的書面許可。

海帕違規(guī)通知規(guī)則

HIPAA 違規(guī)通知規(guī)則要求涵蓋的實體在其 ePHI 發(fā)生違規(guī)行為時通知患者。還應進一步通知衛(wèi)生與公眾服務部（僅當違規(guī)行為影響超過500名患者時）。

通知通知應包括：

涉及的電子應用實例的類型

如果知道，請共享訪問 ePHI 的未經(jīng)授權(quán)的人員的詳細信息

是否查看或獲取了 ePHI？

違規(guī)原因和風險緩解計劃

希帕綜合規(guī)則

HIPAA 綜合規(guī)則解決以前 HIPAA 更新中省略的區(qū)域。

它明確了HIPAA合規(guī)性清單的定義，澄清了為HIPAA合規(guī)性清單實施的程序和政策，以涵蓋業(yè)務伙伴和分包商。

它修訂了以下關(guān)鍵領(lǐng)域的HIPPA法規(guī)：

最終修正案，包括根據(jù)“經(jīng)濟和臨床健康健康信息技術(shù)（HITECH）法”要求的處罰結(jié)構(gòu)

更新傷害閾值，并包括HITECH法案下不安全受保護健康信息的違規(guī)通知規(guī)則

對HIPAA進行修改，以納入《遺傳信息非歧視法》（GINA）的規(guī)定，禁止為承保目的披露遺傳信息

防止將 ePHI 和個人標識符用于營銷目的

執(zhí)行規(guī)則

HIPAA 執(zhí)行規(guī)則涵蓋對違反 ePHI 的調(diào)查以及對違反 ePHI 負責的實體的處罰。根據(jù) HIPAA 合規(guī)性清單，以下是處罰

？可歸咎于無知的違規(guī)行為可招致100-50，000美元的罰款

？盡管有合理的警惕而發(fā)生的違規(guī)行為可能會被處以1，000美元至50，000美元的罰款。

？因故意疏忽而造成的違規(guī)行為，如在三十天內(nèi)得到糾正，將被處以10，000美元至50，000美元的罰款

？因故意疏忽而造成的違規(guī)行為，如未在三十天內(nèi)得到糾正，最高罰款為50，000美元

海帕風險評估指南

以下是風險評估指南。

確定解決方案創(chuàng)建、接收、傳輸和存儲的 PHI

識別對 PHI 完整性的威脅 – 人為威脅，包括有意和無意的威脅

確定適當?shù)拇胧苑乐箤?PHI 完整性的威脅，以及“合理預期”發(fā)生違規(guī)的可能性

確定違規(guī)的影響，并根據(jù)分配的可能性和影響級別的平均值定義風險級別的潛在發(fā)生

隨后實施的措施，程序和政策的理由，以及所有政策文件必須保留至少六年

因此，為了符合 HIPAA 的任何醫(yī)療保健解決方案，應注意以下要求并將其集成到解決方案中：

確保保護措施，以保護物理和虛擬數(shù)據(jù)存儲和傳輸上的 PHI

通過適當?shù)脑L問控制限制信息的使用和訪問

制定適當?shù)膮f(xié)議以涵蓋職能和活動。BAA 確保服務提供商使用和傳遞具有適當訪問權(quán)限的 PHI，并遵循定義的保護措施

定義培訓變更流程、訪問控制審批流程和管理流程

為員工設(shè)置有關(guān) PHI 保護意識、安全性和過程說明的培訓計劃

在Covid19的這一困難時期，應通過在存儲患者診斷和重要數(shù)據(jù)的云中嚴格遵守HIPAA來對患者數(shù)據(jù)采取最謹慎的態(tài)度。

審核編輯：郭婷