在互聯時代，云計算正在改變醫務人員、護士和醫院為患者提供優質、經濟高效的服務的方式。1996 年健康保險流通與責任法案 （HIPAA） 是美國發布的一項法律，旨在保護患者醫療記錄和患者提供/提供給患者的健康相關信息（也稱為 PHI（個人健康信息））的隱私。HIPAA 適用于“涵蓋實體”和“商業伙伴”，包括醫生、醫院、健康相關提供商、清算所和健康保險提供商。HIPAA也適用于提供健康相關服務或處理或存儲患者健康信息的國家/地區，所有公司。

對于在行業中工作的嵌入式工程師和專業人員來說，HIPAA 合規性是最重要的。雖然公司繼續幫助構建抗擊 COVID-19 的技術，但法規在生產和部署過程中至關重要。

HIPAA 要求

對于符合 HIPAA 的解決方案，訪問 PHI 的每個涵蓋實體和業務伙伴都必須確保技術、物理和管理保護措施到位并得到解決，從而確保 HIPAA 隱私規則保護 PHI 的完整性。如果發生任何違反 PHI 的行為，則解決方案將實施通知過程來通知違規行為（HIPAA 違規通知規則）。

在設計符合 HIPAA 標準的云連接醫療保健解決方案時，請滿足以下 HIPAA 要求。

HIPAA 安全規則

HIPAA 安全規則解決了必須應用的標準，這些標準是保護 REST 和傳輸中的數據的保護措施。這適用于所有有權訪問機密患者數據的人員和系統。系統必須實施基于角色的訪問控制 （RBAC），這有助于定義對訪問 ePHI 的不同實體的不同訪問級別，如人類（研究人員、患者、醫生）或系統（智能設備、移動設備、平板電腦）。

技術保障

技術保護措施側重于用于保護 ePHI 并提供對數據的訪問的技術。REST 和傳輸中的數據一旦超出組織的內部基礎結構，就必須按照 NIST 標準進行加密。這側重于以下參數。

物理保護

物理防護側重于對 ePHI 的物理訪問，無論其位置如何。ePHI 可以存儲在 HIPAA 覆蓋實體的遠程位置或本地數據中心。在任何情況下，都必須保護存儲 ePHI 的物理位置，并防止未經授權的訪問

行政保障

管理保障側重于將隱私規則和安全規則連接在一起的過程和策略。

HIPAA 隱私規則

HIPAA 隱私規則側重于應如何使用和披露 ePHI。該規則要求實施所有必要的保護措施以保護患者的個人信息。該規則賦予患者權力;知情權，獲取信息副本和共享信息的權利。

根據隱私規則，涵蓋的實體必須在 30 天內回復患者的請求。

建議，

為員工提供培訓

確保采取適當措施維護 ePHI 的完整性

當他們的健康信息用于營銷、研究等任何目的時，必須得到患者的書面許可。

HIPAA 違規通知規則

HIPAA 違規通知規則要求涵蓋的實體在違反其 ePHI 時通知患者。還應進一步通知衛生與公眾服務部（僅當違規影響超過 500 名患者時）。

通知通知應包括：

涉及的 ePHI 類型

如果知道，請共享訪問 ePHI 的未授權人員的詳細信息

是否查看或獲取了 ePHI？

違規原因和風險緩解計劃

HIPAA 綜合規則

HIPAA 綜合規則解決了以前的 HIPAA 更新中省略的區域。

它清除了定義，闡明了為HIPAA合規性清單實施的程序和政策，以涵蓋業務伙伴和分包商。

它修訂了以下關鍵領域的HIPPA法規：

最終修正案，包括《經濟和臨床健康信息技術（HITECH）法案》要求的處罰結構

更新傷害閾值，并根據HITECH法案納入不安全受保護健康信息的違規通知規則

修改HIPAA，以納入《遺傳信息非歧視法》（GINA）的規定，禁止為承保目的披露遺傳信息

防止將 ePHI 和個人標識符用于營銷目的

HIPAA 執行規則

HIPAA 執行規則涵蓋對違反 ePHI 的調查以及對違反 ePHI 的實體的處罰。根據 HIPAA 合規性清單，以下是處罰

？由于無知而造成的違規行為可能會被處以 100 至 50，000 美元的罰款

？盡管有合理的警惕，但還是發生了違規行為，可能會被處以$1，000 – $50，000的罰款

？由于故意疏忽造成的違規行為在三十天內得到糾正，將被處以 10，000 至 50，000 美元的罰款

？因故意疏忽而造成的違規行為未在三十天內糾正，將處以最高 50，000 美元的罰款

HIPAA 風險評估指南

以下是風險評估指南。

確定解決方案創建、接收、傳輸和存儲的 PHI，該 PHI

識別對 PHI 完整性的威脅 – 人為威脅，包括有意和無意的威脅

確定為防止PHI完整性受到威脅而采取的措施，以及“合理預期”違規發生的可能性

確定違規的影響，并根據分配的可能性和影響級別的平均值定義風險級別的潛在發生

隨后實施的措施、程序和政策的理由以及所有政策文件必須至少保存六年

因此，為了符合HIPAA 的任何醫療保健解決方案，應注意以下要求并將其集成到解決方案中：

確保在物理和虛擬數據存儲和傳輸方面保護 PHI 的保護措施

通過適當的訪問控制限制信息的使用和訪問

有適當的協議來涵蓋職能和活動。BAA 確保服務提供商使用和通過具有適當訪問權限的 PHI，并遵循定義的保護措施

定義培訓變更流程、訪問控制和管理流程的審批流程

為員工設置有關 PHI 保護意識、安全和流程解釋的培訓計劃

在 Covid19 的困難時期，應通過在存儲患者診斷和重要數據的云中遵循嚴格的 HIPAA 合規性來格外小心患者的數據。

審核編輯：郭婷