在互聯(lián)時(shí)代，云計(jì)算正在改變醫(yī)務(wù)人員、護(hù)士和醫(yī)院為患者提供優(yōu)質(zhì)、經(jīng)濟(jì)高效的服務(wù)的方式。1996 年健康保險(xiǎn)流通與責(zé)任法案 （HIPAA） 是美國(guó)發(fā)布的一項(xiàng)法律，旨在保護(hù)患者醫(yī)療記錄和患者提供/提供給患者的健康相關(guān)信息（也稱為 PHI（個(gè)人健康信息））的隱私。HIPAA 適用于“涵蓋實(shí)體”和“商業(yè)伙伴”，包括醫(yī)生、醫(yī)院、健康相關(guān)提供商、清算所和健康保險(xiǎn)提供商。HIPAA也適用于提供健康相關(guān)服務(wù)或處理或存儲(chǔ)患者健康信息的國(guó)家/地區(qū)，所有公司。

對(duì)于在行業(yè)中工作的嵌入式工程師和專業(yè)人員來(lái)說(shuō)，HIPAA 合規(guī)性是最重要的。雖然公司繼續(xù)幫助構(gòu)建抗擊 COVID-19 的技術(shù)，但法規(guī)在生產(chǎn)和部署過(guò)程中至關(guān)重要。

HIPAA 要求

對(duì)于符合 HIPAA 的解決方案，訪問(wèn) PHI 的每個(gè)涵蓋實(shí)體和業(yè)務(wù)伙伴都必須確保技術(shù)、物理和管理保護(hù)措施到位并得到解決，從而確保 HIPAA 隱私規(guī)則保護(hù) PHI 的完整性。如果發(fā)生任何違反 PHI 的行為，則解決方案將實(shí)施通知過(guò)程來(lái)通知違規(guī)行為（HIPAA 違規(guī)通知規(guī)則）。

在設(shè)計(jì)符合 HIPAA 標(biāo)準(zhǔn)的云連接醫(yī)療保健解決方案時(shí)，請(qǐng)滿足以下 HIPAA 要求。

HIPAA 安全規(guī)則

HIPAA 安全規(guī)則解決了必須應(yīng)用的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)是保護(hù) REST 和傳輸中的數(shù)據(jù)的保護(hù)措施。這適用于所有有權(quán)訪問(wèn)機(jī)密患者數(shù)據(jù)的人員和系統(tǒng)。系統(tǒng)必須實(shí)施基于角色的訪問(wèn)控制 （RBAC），這有助于定義對(duì)訪問(wèn) ePHI 的不同實(shí)體的不同訪問(wèn)級(jí)別，如人類（研究人員、患者、醫(yī)生）或系統(tǒng)（智能設(shè)備、移動(dòng)設(shè)備、平板電腦）。

技術(shù)保障

技術(shù)保護(hù)措施側(cè)重于用于保護(hù) ePHI 并提供對(duì)數(shù)據(jù)的訪問(wèn)的技術(shù)。REST 和傳輸中的數(shù)據(jù)一旦超出組織的內(nèi)部基礎(chǔ)結(jié)構(gòu)，就必須按照 NIST 標(biāo)準(zhǔn)進(jìn)行加密。這側(cè)重于以下參數(shù)。

物理保護(hù)

物理防護(hù)側(cè)重于對(duì) ePHI 的物理訪問(wèn)，無(wú)論其位置如何。ePHI 可以存儲(chǔ)在 HIPAA 覆蓋實(shí)體的遠(yuǎn)程位置或本地?cái)?shù)據(jù)中心。在任何情況下，都必須保護(hù)存儲(chǔ) ePHI 的物理位置，并防止未經(jīng)授權(quán)的訪問(wèn)

行政保障

管理保障側(cè)重于將隱私規(guī)則和安全規(guī)則連接在一起的過(guò)程和策略。

HIPAA 隱私規(guī)則

HIPAA 隱私規(guī)則側(cè)重于應(yīng)如何使用和披露 ePHI。該規(guī)則要求實(shí)施所有必要的保護(hù)措施以保護(hù)患者的個(gè)人信息。該規(guī)則賦予患者權(quán)力;知情權(quán)，獲取信息副本和共享信息的權(quán)利。

根據(jù)隱私規(guī)則，涵蓋的實(shí)體必須在 30 天內(nèi)回復(fù)患者的請(qǐng)求。

建議，

為員工提供培訓(xùn)

確保采取適當(dāng)措施維護(hù) ePHI 的完整性

當(dāng)他們的健康信息用于營(yíng)銷、研究等任何目的時(shí)，必須得到患者的書(shū)面許可。

HIPAA 違規(guī)通知規(guī)則

HIPAA 違規(guī)通知規(guī)則要求涵蓋的實(shí)體在違反其 ePHI 時(shí)通知患者。還應(yīng)進(jìn)一步通知衛(wèi)生與公眾服務(wù)部（僅當(dāng)違規(guī)影響超過(guò) 500 名患者時(shí)）。

通知通知應(yīng)包括：

涉及的 ePHI 類型

如果知道，請(qǐng)共享訪問(wèn) ePHI 的未授權(quán)人員的詳細(xì)信息

是否查看或獲取了 ePHI？

違規(guī)原因和風(fēng)險(xiǎn)緩解計(jì)劃

HIPAA 綜合規(guī)則

HIPAA 綜合規(guī)則解決了以前的 HIPAA 更新中省略的區(qū)域。

它清除了定義，闡明了為HIPAA合規(guī)性清單實(shí)施的程序和政策，以涵蓋業(yè)務(wù)伙伴和分包商。

它修訂了以下關(guān)鍵領(lǐng)域的HIPPA法規(guī)：

最終修正案，包括《經(jīng)濟(jì)和臨床健康信息技術(shù)（HITECH）法案》要求的處罰結(jié)構(gòu)

更新傷害閾值，并根據(jù)HITECH法案納入不安全受保護(hù)健康信息的違規(guī)通知規(guī)則

修改HIPAA，以納入《遺傳信息非歧視法》（GINA）的規(guī)定，禁止為承保目的披露遺傳信息

防止將 ePHI 和個(gè)人標(biāo)識(shí)符用于營(yíng)銷目的

HIPAA 執(zhí)行規(guī)則

HIPAA 執(zhí)行規(guī)則涵蓋對(duì)違反 ePHI 的調(diào)查以及對(duì)違反 ePHI 的實(shí)體的處罰。根據(jù) HIPAA 合規(guī)性清單，以下是處罰

？由于無(wú)知而造成的違規(guī)行為可能會(huì)被處以 100 至 50，000 美元的罰款

？盡管有合理的警惕，但還是發(fā)生了違規(guī)行為，可能會(huì)被處以$1，000 – $50，000的罰款

？由于故意疏忽造成的違規(guī)行為在三十天內(nèi)得到糾正，將被處以 10，000 至 50，000 美元的罰款

？因故意疏忽而造成的違規(guī)行為未在三十天內(nèi)糾正，將處以最高 50，000 美元的罰款

HIPAA 風(fēng)險(xiǎn)評(píng)估指南

以下是風(fēng)險(xiǎn)評(píng)估指南。

確定解決方案創(chuàng)建、接收、傳輸和存儲(chǔ)的 PHI，該 PHI

識(shí)別對(duì) PHI 完整性的威脅 – 人為威脅，包括有意和無(wú)意的威脅

確定為防止PHI完整性受到威脅而采取的措施，以及“合理預(yù)期”違規(guī)發(fā)生的可能性

確定違規(guī)的影響，并根據(jù)分配的可能性和影響級(jí)別的平均值定義風(fēng)險(xiǎn)級(jí)別的潛在發(fā)生

隨后實(shí)施的措施、程序和政策的理由以及所有政策文件必須至少保存六年

因此，為了符合HIPAA 的任何醫(yī)療保健解決方案，應(yīng)注意以下要求并將其集成到解決方案中：

確保在物理和虛擬數(shù)據(jù)存儲(chǔ)和傳輸方面保護(hù) PHI 的保護(hù)措施

通過(guò)適當(dāng)?shù)脑L問(wèn)控制限制信息的使用和訪問(wèn)

有適當(dāng)?shù)膮f(xié)議來(lái)涵蓋職能和活動(dòng)。BAA 確保服務(wù)提供商使用和通過(guò)具有適當(dāng)訪問(wèn)權(quán)限的 PHI，并遵循定義的保護(hù)措施

定義培訓(xùn)變更流程、訪問(wèn)控制和管理流程的審批流程

為員工設(shè)置有關(guān) PHI 保護(hù)意識(shí)、安全和流程解釋的培訓(xùn)計(jì)劃

在 Covid19 的困難時(shí)期，應(yīng)通過(guò)在存儲(chǔ)患者診斷和重要數(shù)據(jù)的云中遵循嚴(yán)格的 HIPAA 合規(guī)性來(lái)格外小心患者的數(shù)據(jù)。

審核編輯：郭婷