符合HIPAA要求的解决方案要求

在互联互通的时代，云计算正在改变医务人员、护士和医院为患者提供优质、经济高效的服务的方式。1996年健康保险流通与责任法案（HIPAA）是美国颁布的一项法律，旨在保护患者医疗记录和患者提供的健康相关信息（也称为PHI（个人健康信息））的隐私。HIPAA 适用于“涵盖实体”和“业务伙伴”，包括医生、医院、健康相关提供商、清算所和健康保险提供商。HIPAA也适用于国家/地区，所有提供与健康相关的服务或正在处理或存储患者健康信息的公司。

对于在行业中工作的嵌入式工程师和专业人士来说，HIPAA 合规性处于最前沿。虽然公司继续帮助构建抗击COVID-19的技术，但这些法规在生产和部署过程中至关重要。

海帕要求

对于符合 HIPAA 要求的解决方案，每个访问 PHI 的涵盖实体和业务伙伴都必须确保技术、物理和管理保护措施到位并得到解决，这确保了 HIPAA 隐私规则保护 PHI 的完整性。如果发生任何违反 PHI 的行为，则解决方案将实施通知程序以通知违规行为（HIPAA 违规通知规则）。

在下面找到在设计符合 HIPAA 标准的云连接医疗保健解决方案时要满足的 HIPAA 要求。

希帕安全规则

HIPAA 安全规则解决了必须作为保护措施来保护 REST 和传输中的数据所必须应用的标准。这适用于所有有权访问机密患者数据的人员和系统。系统必须实现基于角色的访问控制（RBAC），这有助于定义对访问ePHI的不同实体的不同级别的访问，如人类（研究人员，患者，医生）或系统（智能设备，移动设备，平板电脑）。

技术安全卫士

技术保护侧重于用于保护 ePHI 并提供对数据的访问的技术。REST 和传输中的数据一旦超出组织的内部基础结构，就必须按照 NIST 标准进行加密。这侧重于以下参数。

物理保护

物理保护侧重于对 ePHI 的物理访问，而不考虑位置。ePHI可以存储在HIPAA覆盖实体的远程位置或内部数据中心。在任何情况下，必须保护存储 ePHI 的物理位置，并防止未经授权的访问

行政保障

行政保护侧重于将隐私规则和安全规则连接在一起的程序和政策。

隐私规则

HIPAA 隐私规则侧重于应如何使用和披露 ePHI。该规则要求实施所有必要的保护措施来保护患者的个人信息。该规则赋予患者权力;知情权，获取信息副本和共享信息的权利。

根据隐私规则，涵盖的实体必须在 30 天内响应患者请求。

建议，

为员工提供培训

确保采取适当的措施来维护 ePHI 的完整性

当他们的健康信息用于任何目的（如营销，研究等）时，必须获得患者的书面许可。

海帕违规通知规则

HIPAA 违规通知规则要求涵盖的实体在其 ePHI 发生违规行为时通知患者。还应进一步通知卫生与公众服务部（仅当违规行为影响超过500名患者时）。

通知通知应包括：

涉及的电子应用实例的类型

如果知道，请共享访问 ePHI 的未经授权的人员的详细信息

是否查看或获取了 ePHI？

违规原因和风险缓解计划

希帕综合规则

HIPAA 综合规则解决以前 HIPAA 更新中省略的区域。

它明确了HIPAA合规性清单的定义，澄清了为HIPAA合规性清单实施的程序和政策，以涵盖业务伙伴和分包商。

它修订了以下关键领域的HIPPA法规：

最终修正案，包括根据“经济和临床健康健康信息技术（HITECH）法”要求的处罚结构

更新伤害阈值，并包括HITECH法案下不安全受保护健康信息的违规通知规则

对HIPAA进行修改，以纳入《遗传信息非歧视法》（GINA）的规定，禁止为承保目的披露遗传信息

防止将 ePHI 和个人标识符用于营销目的

执行规则

HIPAA 执行规则涵盖对违反 ePHI 的调查以及对违反 ePHI 负责的实体的处罚。根据 HIPAA 合规性清单，以下是处罚

？可归咎于无知的违规行为可招致100-50，000美元的罚款

？尽管有合理的警惕而发生的违规行为可能会被处以1，000美元至50，000美元的罚款。

？因故意疏忽而造成的违规行为，如在三十天内得到纠正，将被处以10，000美元至50，000美元的罚款

？因故意疏忽而造成的违规行为，如未在三十天内得到纠正，最高罚款为50，000美元

海帕风险评估指南

以下是风险评估指南。

确定解决方案创建、接收、传输和存储的 PHI

识别对 PHI 完整性的威胁 – 人为威胁，包括有意和无意的威胁

确定适当的措施，以防止对 PHI 完整性的威胁，以及“合理预期”发生违规的可能性

确定违规的影响，并根据分配的可能性和影响级别的平均值定义风险级别的潜在发生

随后实施的措施，程序和政策的理由，以及所有政策文件必须保留至少六年

因此，为了符合 HIPAA 的任何医疗保健解决方案，应注意以下要求并将其集成到解决方案中：

确保保护措施，以保护物理和虚拟数据存储和传输上的 PHI

通过适当的访问控制限制信息的使用和访问

制定适当的协议以涵盖职能和活动。BAA 确保服务提供商使用和传递具有适当访问权限的 PHI，并遵循定义的保护措施

定义培训变更流程、访问控制审批流程和管理流程

为员工设置有关 PHI 保护意识、安全性和过程说明的培训计划

在Covid19的这一困难时期，应通过在存储患者诊断和重要数据的云中严格遵守HIPAA来对患者数据采取最谨慎的态度。

审核编辑：郭婷