在過去的幾年里，醫院、診所和其他衛生組織在采用云計算方面經歷了一段坎坷的道路。使用公共云或與第三方服務提供商合作的隱含安全風險大大延遲了醫療保健行業對云的采用。即使在今天，當 84% 的醫療保健組織使用云服務時，選擇合適的符合 HIPAA 標準的云提供商的問題仍然是一個令人頭疼的問題。其客戶數據存儲在美國的所有醫療保健提供者都受一系列稱為 HIPAA 合規性的法規的約束。如今，任何處理機密患者數據的組織都需要遵守 HIPAA 存儲要求。

什么是 HIPAA 合規性？

HIPAA 標準提供對健康數據的保護。與醫療保健組織或處理健康檔案的企業合作的任何供應商都必須遵守 HIPAA 隱私規則。如果可以訪問醫療和患者數據，還有許多輔助行業必須遵守指南。這就是符合 HIPPA 標準的云存儲發揮重要作用的地方。

1996 年，“美國衛生與公眾服務部 (“HHS”) 發布了隱私規則，以實施 1996 年《健康保險流通與責任法案》 (HIPAA) 的要求。” 隱私規則涉及患者的“受保護的電子健康信息”以及受隱私規則約束的組織或“HIPAA 涵蓋的實體”必須如何遵守。

大多數醫療機構使用某種形式的電子設備來提供醫療服務。這意味著信息不再存在于紙質圖表上，而是存在于計算機或云中。與一般企業或大多數商業實體不同，醫療機構在法律上有義務采用最可靠的數據備份做法。

那么，這將如何影響他們對云提供商的選擇呢？

在計劃向云計算遷移時，醫療保健機構需要確保其供應商滿足特定的安全標準。這些標準轉化為公司必須滿足和保持的要求和閾值，才能為 HIPAA 做好準備。這些歸結為一組認證、 SOC 審計和報告、加密級別和物理安全功能。HIPAA 云存儲解決方案應該使合規變得簡單明了。這樣，醫療保健組織就少了一件需要擔心的事情，并且可以專注于改進他們的關鍵流程。

HIPAA 云存儲和數據備份要求

與根據 HIPAA-HITECH 法案規則運營的公司開展業務的云服務提供商被視為業務伙伴。因此，它必須表明它符合云合規標準并遵循任何相關標準。盡管供應商不直接處理患者信息，但它確實接收、管理和存儲受保護的健康信息 (PHI)。僅這一事實就使他們有責任根據 HIPAA-HITECH 法案指南對其進行保護。

符合 HIPAA 意味著執行該法案提出的所有規則和條例。任何提供受該法案約束的服務的供應商都必須提供文件作為其符合性的證明。該文件不僅需要發送給他們的客戶，還需要發送給民權辦公室 (OCR)。OCR 是美國教育部的下屬機構，旨在促進平等獲得醫療保健和人類服務計劃。

希望與 符合 HIPAA 的云存儲 提供商合作的醫療保健行業組織應要求提供合規證明以保護自己。如果提供商遵循所有標準，它應該不會對與您共享適當的文檔感到不安。

云托管組織的 HIPAA 要求與業務伙伴的要求相同。它們分為三個不同的類別：行政、物理和技術保障。

• 行政保障措施： 這些類型的保障措施是透明的政策，從運營的角度概述了企業將如何遵守。這些操作可以包括 管理安全風險評估、適當的程序、災難和緊急響應以及管理密碼。
• 物理保障： 物理保障通常是用于保護客戶數據的系統。它們可能包括數據中心的適當存儲、數據備份和適當的媒體處置。硬件或軟件存儲設備所在設施的重要安全預防措施也屬于此類。
• 技術保障： 這組保障是指為最大限度地降低數據風險和最大限度地保護而實施的技術功能。要求唯一的登錄信息、自動注銷策略和 PHI 訪問身份驗證只是應采??取的一些技術保障措施。

是什么讓 HIPAA 認證的云提供商合規？

提供符合 HIPAA 標準的文件存儲硬件或軟件并不像撥動開關那么簡單。一家公司要合規需要花費大量的時間和精力。在 HIPAA 認證的云存儲提供商中尋找的關鍵要素是其是否愿意簽訂商業伙伴協議。該協議被稱為 BAA，由計劃傳輸、處理或接收 PHI 的兩方完成。其主要目的是保護雙方免受任何導致濫用受保護健康信息的法律影響。

商業伙伴協議 BAA 不得增加、減少或與 HIPAA 的整體標準相抵觸。但是，如果雙方同意，補充特定術語是可以接受的。還有一些核心條款構成了合規的業務伙伴協議的基礎，并且必須保留，以使合同被視為具有法律約束力。

云提供商啟用的加密級別需要適當注意。公司不僅要加密傳輸中的文件，還要加密靜態文件。高級加密標準 (AES) 是用于文件存儲和共享的最低加密級別。AES 是數據加密標準 (DES) 的繼承者，由美國國家標準與技術研究院 (NIST) 于 1997 年開發。它是一種先進的加密算法，可針對不同的安全事件提供更好的防御。

選擇合規的云存儲供應商

選擇符合 HIPAA 標準的提供商時，請尋找 符合上一節所述措施的HIPAA 虛擬主機。確保向他們詢問他們的數據存儲安全實踐，以了解您的 PHI 數據的安全性。

潛在供應商是否提供服務水平協議？

SLA 合同指明了對威脅的保證響應時間，通常在 24 小時內。作為傳輸 PHI 的公司，您需要知道提供商在發生事件時可以多快通知您。您收到違規通知的速度越快，您的響應效率就越高。不要忘記，基于云的電子病歷存儲應該在一個安全的數據中心。

發生事故時有哪些安全措施？如何確定對設施的訪問？詢問他們如何實施和實施物理安全的詳細概述。檢查他們在發生數據泄露時如何響應。確保在將數據置于風險之前獲得所有相關詳細信息。

您選擇的供應商還應制定 災難恢復和連續性計劃。連續性計劃將預測由于自然災害、數據泄露和其他不可預見事件造成的損失。如果或當此類事件發生時，它還將提供必要的流程和程序。關于 數據丟失預防最佳實踐，還必須確定所提議的方法多久進行一次嚴格測試。

醫療保健病歷安全——我怎么能確定？

認真對待合規性的云提供商將確保他們的認證是最新的。有幾種方法可以檢查它們是否符合標準和相關規定。一種方法是使用獨立方審核您的潛在供應商。審計會引起您的注意并揭示供應商的安全策略。醫療記錄提供商的云存儲必須定期審核他們的系統和環境，以確保威脅保持合規。該法案未對“定期”一詞進行定義，因此必須至少每季度索取一次文件和信息。您還應該確保您可以經常訪問詳細說明最近審計的報告和文檔。

確定公司是否合規的另一種方法是評估其員工的資格。所有員工都需要接受最新標準的教育，并熟悉具體的保障措施。只有有了這些，組織才能實現合規。

向您的潛在供應商提出棘手的問題。任何有權訪問 PHI 的人都需要接受有關安全數據傳輸方法的適當培訓。培訓需要包括對患者信息進行安全加密的能力，無論這些信息存儲在何處。

符合 HIPAA 的公司不會要求您提供后門來訪問您的數據或允許繞過您的訪問管理協議。這些供應商認識到需要額外的身份驗證或訪問點的風險。破壞對身份驗證協議和密碼要求的訪問是一種嚴重的違規行為，絕不應該發生。

云備份和存儲常見問題

詢問潛在的云供應商他們使用哪種方法來評估您的 HIPAA 合規性。是否可以使用 HIPAA 策略模板？提供商是否提供有關合規性的指導和反饋？他們如何確保您了解最新的安全規則和法規？他們提供符合 HIPAA 標準的電子郵件嗎？

公司有全職員工嗎？

現場存在并全天候可用是一種確保高級安全性的機制。可用的代表使 PHI 安全性更加可靠，并保證在需要時快速響應。知道負責您的數據保護的公司完全精通所需的標準，這也讓您高枕無憂。

合適的提供商還應該快速適應變化，并通知您任何直接影響您的 PHI 或您訪問它的事情。

數據刪除是選擇合適的 HIPAA 業務伙伴的關鍵組成部分。在清除之前，信息會保留多長時間？ 當服務器停止使用或被刪除時，如何 防止數據泄露？數據是否在刪除前提供給您？該法案沒有提供有關所需時間長度的指南，但這是您和您的提供者必須共同達成的協議。

除了您的知識之外，還要確定您的潛在供應商對 HIPAA 法規的熟悉程度。云公司通常無法遵循最新的法規變化，您必須尋找始終如一的奉獻精神。貨比三家。不要滿足于第一句話。許多公司吹捧他們的 HIPAA 安全性，卻發現他們達不到標準。做你的研究，提出問題，并確定哪個供應商最適合你的需求。