與個(gè)人健康狀況相關(guān)的醫(yī)療信息對(duì)于許多人來(lái)說(shuō)是非常重要的事情。確保這些信息的隱私至關(guān)重要，因?yàn)樵S多人不想與未經(jīng)授權(quán)的第三方分享他們的病史。與此同時(shí)，公共衛(wèi)生系統(tǒng)中醫(yī)療信息的隱私是一項(xiàng)人權(quán)，因此必須得到尊重和照顧。確保適當(dāng)?shù)幕颊邤?shù)據(jù)安全是HIPAA 認(rèn)證系統(tǒng)存在的理由。這次，我們將仔細(xì)了解HIPAA 法案是什么、它負(fù)責(zé)什么以及認(rèn)證的依據(jù)是什么。

為什么 HIPAA 認(rèn)證很重要？

健康數(shù)據(jù)是一個(gè)人擁有的一些最敏感的信息。與此同時(shí)，這些數(shù)據(jù)需要在醫(yī)院、私人診所和衛(wèi)生系統(tǒng)的其他要素之間傳遞，因此信息安全標(biāo)準(zhǔn)問(wèn)題成為全球國(guó)家決策的一部分。其結(jié)果是《健康保險(xiǎn)流通與責(zé)任法案》中概述的HIPAA 法。該法律確保醫(yī)療機(jī)構(gòu)之間數(shù)據(jù)的安全存儲(chǔ)和傳輸。HIPAA 隱私法規(guī)是美國(guó)衛(wèi)生與公共服務(wù)部 (HHS)共同努力的結(jié)果。這項(xiàng)立法使組織能夠遵守隱私法，同時(shí)獲得現(xiàn)代數(shù)據(jù)基礎(chǔ)設(shè)施的全部運(yùn)營(yíng)優(yōu)勢(shì)。這直接影響醫(yī)療質(zhì)量。

誰(shuí)受 HIPAA 法律約束？

每個(gè)每天處理醫(yī)療記錄的醫(yī)療保健組織和所涵蓋的實(shí)體以及這些實(shí)體的業(yè)務(wù)伙伴都必須遵守該法案。受監(jiān)管群體由直接處理患者信息的代表組成。這一類別主要包括醫(yī)療保健提供者、醫(yī)療保健計(jì)劃提供者和醫(yī)療保健信息交換所，但應(yīng)該強(qiáng)調(diào)的是，責(zé)任會(huì)落到與他們開(kāi)展常規(guī)業(yè)務(wù)的許多實(shí)體身上。

HIPAA 合規(guī)性與 HIPAA 認(rèn)證

雖然這兩個(gè)術(shù)語(yǔ)在醫(yī)療隱私實(shí)踐領(lǐng)域經(jīng)常出現(xiàn)，但它們并不相同。合規(guī)性是指遵守HIPAA確定的規(guī)則，以保護(hù)患者的健康信息。認(rèn)證是作為設(shè)施合規(guī)性證明的文件。只有在員工接受適當(dāng)?shù)呐嘤?xùn)后，才會(huì)授予 HIPAA 認(rèn)證。

如何確保醫(yī)療保健軟件符合 HIPAA 要求？

首先，并非醫(yī)療保健中使用的所有系統(tǒng)都需要遵守所述標(biāo)準(zhǔn)。第一步是熟悉受保護(hù)的健康信息 (PHI)法規(guī)。特殊保護(hù)適用于患者和醫(yī)生姓名、電話號(hào)碼和醫(yī)療記錄等數(shù)據(jù)。HIPAA 法規(guī)應(yīng)適用于與數(shù)據(jù)處理和數(shù)據(jù)收集有關(guān)的醫(yī)療軟件。否則，無(wú)需申請(qǐng)認(rèn)證。

為了遵守規(guī)定，申請(qǐng)必須滿足以下條件：

應(yīng)保護(hù)醫(yī)療記錄，防止未經(jīng)授權(quán)的訪問(wèn)

未經(jīng)授權(quán)的用戶無(wú)法編輯或刪除 PHI

必須為授權(quán)用戶提供對(duì)文檔的輕松訪問(wèn)

應(yīng)努力覆蓋所有可能的安全風(fēng)險(xiǎn)

應(yīng)通過(guò)方便的用戶界面提供數(shù)據(jù)控制。

每項(xiàng)安全原則也受到監(jiān)管。其中包括HIPAA 隱私規(guī)則 (2003)、HIPAA 安全規(guī)則、HITECH 法案 (2009)。他們負(fù)責(zé)電子 PHI 日常使用的安全。此外，他們還為醫(yī)療應(yīng)用程序開(kāi)發(fā)人員提出了要求。

如何根據(jù)HIPAA標(biāo)準(zhǔn)進(jìn)行軟件開(kāi)發(fā)？

HIPAA涵蓋的健康信息系統(tǒng)主要由醫(yī)療組織委托使用。此類項(xiàng)目需要與標(biāo)準(zhǔn)軟件開(kāi)發(fā)完全不同的方法。醫(yī)療軟件應(yīng)適應(yīng)定期審計(jì)。受電子保護(hù)的健康信息容易遭受各種類型的破壞。為了防止這種情況發(fā)生，我們會(huì)不時(shí)進(jìn)行審核以發(fā)現(xiàn)任何違規(guī)行為。軟件應(yīng)包括補(bǔ)救計(jì)劃。此類計(jì)劃可以糾正任何違規(guī)行為。同時(shí)，也會(huì)進(jìn)行調(diào)整，以免今后再出現(xiàn)類似的錯(cuò)誤。

HIPAA 隱私規(guī)則主要涵蓋與文檔相關(guān)的所有問(wèn)題。因此，在各個(gè)層面上正確保護(hù)它非常重要。除了安全問(wèn)題之外，記住醫(yī)療組織的業(yè)務(wù)伙伴也很重要。這些是接觸應(yīng)用程序處理的敏感 PHI 數(shù)據(jù)元素的第三方。這些實(shí)體還應(yīng)對(duì)任何違反 HIPAA的行為承擔(dān)責(zé)任。如果出現(xiàn)任何違規(guī)行為，則受HIPAA 違規(guī)通知規(guī)則的約束。該規(guī)則涉及所有HIPAA 涵蓋的實(shí)體在受保護(hù)的患者數(shù)據(jù)遭到破壞時(shí)提供通知的問(wèn)題被發(fā)現(xiàn)。

RWM 案例研究：符合 HIPAA 的醫(yī)療技術(shù)應(yīng)用 

合作目的

北京軟件開(kāi)發(fā)外包公司致力于從頭開(kāi)始創(chuàng)建一家在線醫(yī)療用品商店。一位來(lái)自美國(guó)的客戶想要開(kāi)設(shè)一個(gè)人們可以購(gòu)買處方藥的平臺(tái)。選擇的解決方案是基于 Web 的應(yīng)用程序，可以滿足HIPAA 合規(guī)性要求。合作雙方面臨的挑戰(zhàn)是開(kāi)發(fā)一個(gè)能夠充分保護(hù)患者健康信息的功能系統(tǒng)。

發(fā)展

我們的主要任務(wù)是開(kāi)發(fā)一個(gè)能夠充分保證系統(tǒng)中用戶數(shù)據(jù)保護(hù)的平臺(tái)。為了保護(hù)個(gè)人數(shù)據(jù)，我們引入了幾項(xiàng)重要的改進(jìn)。其中之一是強(qiáng)制用戶每 6 個(gè)月定期更改密碼。此外，加密發(fā)揮了重要作用，并在多種情況下被引入。其中之一是磁盤加密，這樣如果設(shè)備被盜，任何個(gè)人身份健康信息都將無(wú)法訪問(wèn)。所有通信（甚至本地通信）也都通過(guò) https 進(jìn)行加密和處理。敏感數(shù)據(jù)已與一般數(shù)據(jù)分開(kāi)。唯一的例外是由分配給管理員角色的人員進(jìn)行訪問(wèn)。作為安全元素的一部分，我們?yōu)楦鱾€(gè)系統(tǒng)管理員引入了角色和權(quán)限。我們還限制了對(duì)服務(wù)器的訪問(wèn)，以便僅將其分配給指定的人員。工作的最后階段是進(jìn)行全面的安全審計(jì)，以檢查引入的解決方案是否在現(xiàn)實(shí)中有效。

結(jié)果

我們努力的結(jié)果是建立了一個(gè)提供處方藥銷售的功能性醫(yī)療平臺(tái)。作為購(gòu)買過(guò)程的一部分，用戶可以確定相關(guān)處方的交付形式。除此之外，我們使用Amazon 云服務(wù)來(lái)提高用戶安全性并創(chuàng)建HIPAA 合規(guī)軟件。我們的工作是在HIPAA 準(zhǔn)則的基礎(chǔ)上進(jìn)行的，我們?cè)诿總€(gè)階段都嚴(yán)格遵守該準(zhǔn)則。 

我們不斷與客戶協(xié)商以定制合適的工具。所有這一切都是為了確保他的商店提供可與固定藥店媲美的快速舒適的購(gòu)物體驗(yàn)。所描述的平臺(tái)為沒(méi)有處方的用戶提供了與醫(yī)生聯(lián)系的可能性。我們還指出，如果檢測(cè)到漏洞，則應(yīng)更新外部組件。

如果您正在開(kāi)發(fā)符合每項(xiàng)HIPAA 要求的軟件，那么使用特殊的清單是個(gè)好主意。以下是hipaajournal.com準(zhǔn)備的官方列表，其中指出了需要注意的事項(xiàng)。

1. 準(zhǔn)確說(shuō)明您的組織需要進(jìn)行哪些建議的年度審核。

2. 執(zhí)行所需的審核和評(píng)估，分析結(jié)果并報(bào)告任何缺陷。

3. 提出整改計(jì)劃，付諸實(shí)施，每年審查，并根據(jù)需要進(jìn)行調(diào)整。

4. 如果組織尚未這樣做，請(qǐng)確保雇用 HIPAA 合規(guī)性、隱私和/或安全官并分配職責(zé)。

5. 指定的 HIPAA 合規(guī)官應(yīng)負(fù)責(zé)對(duì)受雇員工進(jìn)行年度 HIPAA 培訓(xùn)。

6. 確保 HIPAA 培訓(xùn)有記錄，并且工作人員能夠證明他們對(duì) HIPAA 政策的了解。

7. 對(duì)業(yè)務(wù)伙伴進(jìn)行 BAA 評(píng)估和盡職調(diào)查以確保 HIPAA 合規(guī)性。

8. 重新檢查員工如何報(bào)告安全漏洞以及如何通知 HHS 民權(quán)辦公室的流程。

如果您需要幫助創(chuàng)建符合 HIPAA 標(biāo)準(zhǔn)的軟件，為您的用戶提供100% 的安全性，那么我們鼓勵(lì)您聯(lián)系北京軟件開(kāi)發(fā)公司。我們的專家將為您提供必要的幫助和解決方案，以滿足您的所有期望。填寫聯(lián)系表并與我們的專家分享您的需求。