在過(guò)去的幾年里，醫(yī)院、診所和其他衛(wèi)生組織在采用云計(jì)算方面經(jīng)歷了一段坎坷的道路。使用公共云或與第三方服務(wù)提供商合作的隱含安全風(fēng)險(xiǎn)大大延遲了醫(yī)療保健行業(yè)對(duì)云的采用。即使在今天，當(dāng) 84% 的醫(yī)療保健組織使用云服務(wù)時(shí)，選擇合適的符合 HIPAA 標(biāo)準(zhǔn)的云提供商的問(wèn)題仍然是一個(gè)令人頭疼的問(wèn)題。其客戶數(shù)據(jù)存儲(chǔ)在美國(guó)的所有醫(yī)療保健提供者都受一系列稱為 HIPAA 合規(guī)性的法規(guī)的約束。如今，任何處理機(jī)密患者數(shù)據(jù)的組織都需要遵守 HIPAA 存儲(chǔ)要求。

什么是 HIPAA 合規(guī)性？

HIPAA 標(biāo)準(zhǔn)提供對(duì)健康數(shù)據(jù)的保護(hù)。與醫(yī)療保健組織或處理健康檔案的企業(yè)合作的任何供應(yīng)商都必須遵守 HIPAA 隱私規(guī)則。如果可以訪問(wèn)醫(yī)療和患者數(shù)據(jù)，還有許多輔助行業(yè)必須遵守指南。這就是符合 HIPPA 標(biāo)準(zhǔn)的云存儲(chǔ)發(fā)揮重要作用的地方。

1996 年，“美國(guó)衛(wèi)生與公眾服務(wù)部 (“HHS”) 發(fā)布了隱私規(guī)則，以實(shí)施 1996 年《健康保險(xiǎn)流通與責(zé)任法案》 (HIPAA) 的要求。” 隱私規(guī)則涉及患者的“受保護(hù)的電子健康信息”以及受隱私規(guī)則約束的組織或“HIPAA 涵蓋的實(shí)體”必須如何遵守。

大多數(shù)醫(yī)療機(jī)構(gòu)使用某種形式的電子設(shè)備來(lái)提供醫(yī)療服務(wù)。這意味著信息不再存在于紙質(zhì)圖表上，而是存在于計(jì)算機(jī)或云中。與一般企業(yè)或大多數(shù)商業(yè)實(shí)體不同，醫(yī)療機(jī)構(gòu)在法律上有義務(wù)采用最可靠的數(shù)據(jù)備份做法。

那么，這將如何影響他們對(duì)云提供商的選擇呢？

在計(jì)劃向云計(jì)算遷移時(shí)，醫(yī)療保健機(jī)構(gòu)需要確保其供應(yīng)商滿足特定的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)轉(zhuǎn)化為公司必須滿足和保持的要求和閾值，才能為 HIPAA 做好準(zhǔn)備。這些歸結(jié)為一組認(rèn)證、 SOC 審計(jì)和報(bào)告、加密級(jí)別和物理安全功能。HIPAA 云存儲(chǔ)解決方案應(yīng)該使合規(guī)變得簡(jiǎn)單明了。這樣，醫(yī)療保健組織就少了一件需要擔(dān)心的事情，并且可以專注于改進(jìn)他們的關(guān)鍵流程。

HIPAA 云存儲(chǔ)和數(shù)據(jù)備份要求

與根據(jù) HIPAA-HITECH 法案規(guī)則運(yùn)營(yíng)的公司開展業(yè)務(wù)的云服務(wù)提供商被視為業(yè)務(wù)伙伴。因此，它必須表明它符合云合規(guī)標(biāo)準(zhǔn)并遵循任何相關(guān)標(biāo)準(zhǔn)。盡管供應(yīng)商不直接處理患者信息，但它確實(shí)接收、管理和存儲(chǔ)受保護(hù)的健康信息 (PHI)。僅這一事實(shí)就使他們有責(zé)任根據(jù) HIPAA-HITECH 法案指南對(duì)其進(jìn)行保護(hù)。

符合 HIPAA 意味著執(zhí)行該法案提出的所有規(guī)則和條例。任何提供受該法案約束的服務(wù)的供應(yīng)商都必須提供文件作為其符合性的證明。該文件不僅需要發(fā)送給他們的客戶，還需要發(fā)送給民權(quán)辦公室 (OCR)。OCR 是美國(guó)教育部的下屬機(jī)構(gòu)，旨在促進(jìn)平等獲得醫(yī)療保健和人類服務(wù)計(jì)劃。

希望與 符合 HIPAA 的云存儲(chǔ) 提供商合作的醫(yī)療保健行業(yè)組織應(yīng)要求提供合規(guī)證明以保護(hù)自己。如果提供商遵循所有標(biāo)準(zhǔn)，它應(yīng)該不會(huì)對(duì)與您共享適當(dāng)?shù)奈臋n感到不安。

云托管組織的 HIPAA 要求與業(yè)務(wù)伙伴的要求相同。它們分為三個(gè)不同的類別：行政、物理和技術(shù)保障。

• 行政保障措施： 這些類型的保障措施是透明的政策，從運(yùn)營(yíng)的角度概述了企業(yè)將如何遵守。這些操作可以包括 管理安全風(fēng)險(xiǎn)評(píng)估、適當(dāng)?shù)某绦颉?zāi)難和緊急響應(yīng)以及管理密碼。
• 物理保障： 物理保障通常是用于保護(hù)客戶數(shù)據(jù)的系統(tǒng)。它們可能包括數(shù)據(jù)中心的適當(dāng)存儲(chǔ)、數(shù)據(jù)備份和適當(dāng)?shù)拿襟w處置。硬件或軟件存儲(chǔ)設(shè)備所在設(shè)施的重要安全預(yù)防措施也屬于此類。
• 技術(shù)保障： 這組保障是指為最大限度地降低數(shù)據(jù)風(fēng)險(xiǎn)和最大限度地保護(hù)而實(shí)施的技術(shù)功能。要求唯一的登錄信息、自動(dòng)注銷策略和 PHI 訪問(wèn)身份驗(yàn)證只是應(yīng)采??取的一些技術(shù)保障措施。

是什么讓 HIPAA 認(rèn)證的云提供商合規(guī)？

提供符合 HIPAA 標(biāo)準(zhǔn)的文件存儲(chǔ)硬件或軟件并不像撥動(dòng)開關(guān)那么簡(jiǎn)單。一家公司要合規(guī)需要花費(fèi)大量的時(shí)間和精力。在 HIPAA 認(rèn)證的云存儲(chǔ)提供商中尋找的關(guān)鍵要素是其是否愿意簽訂商業(yè)伙伴協(xié)議。該協(xié)議被稱為 BAA，由計(jì)劃傳輸、處理或接收 PHI 的兩方完成。其主要目的是保護(hù)雙方免受任何導(dǎo)致濫用受保護(hù)健康信息的法律影響。

商業(yè)伙伴協(xié)議 BAA 不得增加、減少或與 HIPAA 的整體標(biāo)準(zhǔn)相抵觸。但是，如果雙方同意，補(bǔ)充特定術(shù)語(yǔ)是可以接受的。還有一些核心條款構(gòu)成了合規(guī)的業(yè)務(wù)伙伴協(xié)議的基礎(chǔ)，并且必須保留，以使合同被視為具有法律約束力。

云提供商啟用的加密級(jí)別需要適當(dāng)注意。公司不僅要加密傳輸中的文件，還要加密靜態(tài)文件。高級(jí)加密標(biāo)準(zhǔn) (AES) 是用于文件存儲(chǔ)和共享的最低加密級(jí)別。AES 是數(shù)據(jù)加密標(biāo)準(zhǔn) (DES) 的繼承者，由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 于 1997 年開發(fā)。它是一種先進(jìn)的加密算法，可針對(duì)不同的安全事件提供更好的防御。

選擇合規(guī)的云存儲(chǔ)供應(yīng)商

選擇符合 HIPAA 標(biāo)準(zhǔn)的提供商時(shí)，請(qǐng)尋找 符合上一節(jié)所述措施的HIPAA 虛擬主機(jī)。確保向他們?cè)儐?wèn)他們的數(shù)據(jù)存儲(chǔ)安全實(shí)踐，以了解您的 PHI 數(shù)據(jù)的安全性。

潛在供應(yīng)商是否提供服務(wù)水平協(xié)議？

SLA 合同指明了對(duì)威脅的保證響應(yīng)時(shí)間，通常在 24 小時(shí)內(nèi)。作為傳輸 PHI 的公司，您需要知道提供商在發(fā)生事件時(shí)可以多快通知您。您收到違規(guī)通知的速度越快，您的響應(yīng)效率就越高。不要忘記，基于云的電子病歷存儲(chǔ)應(yīng)該在一個(gè)安全的數(shù)據(jù)中心。

發(fā)生事故時(shí)有哪些安全措施？如何確定對(duì)設(shè)施的訪問(wèn)？詢問(wèn)他們?nèi)绾螌?shí)施和實(shí)施物理安全的詳細(xì)概述。檢查他們?cè)诎l(fā)生數(shù)據(jù)泄露時(shí)如何響應(yīng)。確保在將數(shù)據(jù)置于風(fēng)險(xiǎn)之前獲得所有相關(guān)詳細(xì)信息。

您選擇的供應(yīng)商還應(yīng)制定 災(zāi)難恢復(fù)和連續(xù)性計(jì)劃。連續(xù)性計(jì)劃將預(yù)測(cè)由于自然災(zāi)害、數(shù)據(jù)泄露和其他不可預(yù)見事件造成的損失。如果或當(dāng)此類事件發(fā)生時(shí)，它還將提供必要的流程和程序。關(guān)于 數(shù)據(jù)丟失預(yù)防最佳實(shí)踐，還必須確定所提議的方法多久進(jìn)行一次嚴(yán)格測(cè)試。

醫(yī)療保健病歷安全——我怎么能確定？

認(rèn)真對(duì)待合規(guī)性的云提供商將確保他們的認(rèn)證是最新的。有幾種方法可以檢查它們是否符合標(biāo)準(zhǔn)和相關(guān)規(guī)定。一種方法是使用獨(dú)立方審核您的潛在供應(yīng)商。審計(jì)會(huì)引起您的注意并揭示供應(yīng)商的安全策略。醫(yī)療記錄提供商的云存儲(chǔ)必須定期審核他們的系統(tǒng)和環(huán)境，以確保威脅保持合規(guī)。該法案未對(duì)“定期”一詞進(jìn)行定義，因此必須至少每季度索取一次文件和信息。您還應(yīng)該確保您可以經(jīng)常訪問(wèn)詳細(xì)說(shuō)明最近審計(jì)的報(bào)告和文檔。

確定公司是否合規(guī)的另一種方法是評(píng)估其員工的資格。所有員工都需要接受最新標(biāo)準(zhǔn)的教育，并熟悉具體的保障措施。只有有了這些，組織才能實(shí)現(xiàn)合規(guī)。

向您的潛在供應(yīng)商提出棘手的問(wèn)題。任何有權(quán)訪問(wèn) PHI 的人都需要接受有關(guān)安全數(shù)據(jù)傳輸方法的適當(dāng)培訓(xùn)。培訓(xùn)需要包括對(duì)患者信息進(jìn)行安全加密的能力，無(wú)論這些信息存儲(chǔ)在何處。

符合 HIPAA 的公司不會(huì)要求您提供后門來(lái)訪問(wèn)您的數(shù)據(jù)或允許繞過(guò)您的訪問(wèn)管理協(xié)議。這些供應(yīng)商認(rèn)識(shí)到需要額外的身份驗(yàn)證或訪問(wèn)點(diǎn)的風(fēng)險(xiǎn)。破壞對(duì)身份驗(yàn)證協(xié)議和密碼要求的訪問(wèn)是一種嚴(yán)重的違規(guī)行為，絕不應(yīng)該發(fā)生。

云備份和存儲(chǔ)常見問(wèn)題

詢問(wèn)潛在的云供應(yīng)商他們使用哪種方法來(lái)評(píng)估您的 HIPAA 合規(guī)性。是否可以使用 HIPAA 策略模板？提供商是否提供有關(guān)合規(guī)性的指導(dǎo)和反饋？他們?nèi)绾未_保您了解最新的安全規(guī)則和法規(guī)？他們提供符合 HIPAA 標(biāo)準(zhǔn)的電子郵件嗎？

公司有全職員工嗎？

現(xiàn)場(chǎng)存在并全天候可用是一種確保高級(jí)安全性的機(jī)制。可用的代表使 PHI 安全性更加可靠，并保證在需要時(shí)快速響應(yīng)。知道負(fù)責(zé)您的數(shù)據(jù)保護(hù)的公司完全精通所需的標(biāo)準(zhǔn)，這也讓您高枕無(wú)憂。

合適的提供商還應(yīng)該快速適應(yīng)變化，并通知您任何直接影響您的 PHI 或您訪問(wèn)它的事情。

數(shù)據(jù)刪除是選擇合適的 HIPAA 業(yè)務(wù)伙伴的關(guān)鍵組成部分。在清除之前，信息會(huì)保留多長(zhǎng)時(shí)間？ 當(dāng)服務(wù)器停止使用或被刪除時(shí)，如何 防止數(shù)據(jù)泄露？數(shù)據(jù)是否在刪除前提供給您？該法案沒有提供有關(guān)所需時(shí)間長(zhǎng)度的指南，但這是您和您的提供者必須共同達(dá)成的協(xié)議。

除了您的知識(shí)之外，還要確定您的潛在供應(yīng)商對(duì) HIPAA 法規(guī)的熟悉程度。云公司通常無(wú)法遵循最新的法規(guī)變化，您必須尋找始終如一的奉獻(xiàn)精神。貨比三家。不要滿足于第一句話。許多公司吹捧他們的 HIPAA 安全性，卻發(fā)現(xiàn)他們達(dá)不到標(biāo)準(zhǔn)。做你的研究，提出問(wèn)題，并確定哪個(gè)供應(yīng)商最適合你的需求。