與個人健康狀況相關(guān)的醫(yī)療信息對于許多人來說是非常重要的事情。確保這些信息的隱私至關(guān)重要，因為許多人不想與未經(jīng)授權(quán)的第三方分享他們的病史。與此同時，公共衛(wèi)生系統(tǒng)中醫(yī)療信息的隱私是一項人權(quán)，因此必須得到尊重和照顧。確保適當?shù)幕颊邤?shù)據(jù)安全是HIPAA 認證系統(tǒng)存在的理由。這次，我們將仔細了解HIPAA 法案是什么、它負責什么以及認證的依據(jù)是什么。

為什么 HIPAA 認證很重要？

健康數(shù)據(jù)是一個人擁有的一些最敏感的信息。與此同時，這些數(shù)據(jù)需要在醫(yī)院、私人診所和衛(wèi)生系統(tǒng)的其他要素之間傳遞，因此信息安全標準問題成為全球國家決策的一部分。其結(jié)果是《健康保險流通與責任法案》中概述的HIPAA 法。該法律確保醫(yī)療機構(gòu)之間數(shù)據(jù)的安全存儲和傳輸。HIPAA 隱私法規(guī)是美國衛(wèi)生與公共服務(wù)部 (HHS)共同努力的結(jié)果。這項立法使組織能夠遵守隱私法，同時獲得現(xiàn)代數(shù)據(jù)基礎(chǔ)設(shè)施的全部運營優(yōu)勢。這直接影響醫(yī)療質(zhì)量。

誰受 HIPAA 法律約束？

每個每天處理醫(yī)療記錄的醫(yī)療保健組織和所涵蓋的實體以及這些實體的業(yè)務(wù)伙伴都必須遵守該法案。受監(jiān)管群體由直接處理患者信息的代表組成。這一類別主要包括醫(yī)療保健提供者、醫(yī)療保健計劃提供者和醫(yī)療保健信息交換所，但應(yīng)該強調(diào)的是，責任會落到與他們開展常規(guī)業(yè)務(wù)的許多實體身上。

HIPAA 合規(guī)性與 HIPAA 認證

雖然這兩個術(shù)語在醫(yī)療隱私實踐領(lǐng)域經(jīng)常出現(xiàn)，但它們并不相同。合規(guī)性是指遵守HIPAA確定的規(guī)則，以保護患者的健康信息。認證是作為設(shè)施合規(guī)性證明的文件。只有在員工接受適當?shù)呐嘤柡?，才會授?HIPAA 認證。

如何確保醫(yī)療保健軟件符合 HIPAA 要求？

首先，并非醫(yī)療保健中使用的所有系統(tǒng)都需要遵守所述標準。第一步是熟悉受保護的健康信息 (PHI)法規(guī)。特殊保護適用于患者和醫(yī)生姓名、電話號碼和醫(yī)療記錄等數(shù)據(jù)。HIPAA 法規(guī)應(yīng)適用于與數(shù)據(jù)處理和數(shù)據(jù)收集有關(guān)的醫(yī)療軟件。否則，無需申請認證。

為了遵守規(guī)定，申請必須滿足以下條件：

應(yīng)保護醫(yī)療記錄，防止未經(jīng)授權(quán)的訪問

未經(jīng)授權(quán)的用戶無法編輯或刪除 PHI

必須為授權(quán)用戶提供對文檔的輕松訪問

應(yīng)努力覆蓋所有可能的安全風險

應(yīng)通過方便的用戶界面提供數(shù)據(jù)控制。

每項安全原則也受到監(jiān)管。其中包括HIPAA 隱私規(guī)則 (2003)、HIPAA 安全規(guī)則、HITECH 法案 (2009)。他們負責電子 PHI 日常使用的安全。此外，他們還為醫(yī)療應(yīng)用程序開發(fā)人員提出了要求。

如何根據(jù)HIPAA標準進行軟件開發(fā)？

HIPAA涵蓋的健康信息系統(tǒng)主要由醫(yī)療組織委托使用。此類項目需要與標準軟件開發(fā)完全不同的方法。醫(yī)療軟件應(yīng)適應(yīng)定期審計。受電子保護的健康信息容易遭受各種類型的破壞。為了防止這種情況發(fā)生，我們會不時進行審核以發(fā)現(xiàn)任何違規(guī)行為。軟件應(yīng)包括補救計劃。此類計劃可以糾正任何違規(guī)行為。同時，也會進行調(diào)整，以免今后再出現(xiàn)類似的錯誤。

HIPAA 隱私規(guī)則主要涵蓋與文檔相關(guān)的所有問題。因此，在各個層面上正確保護它非常重要。除了安全問題之外，記住醫(yī)療組織的業(yè)務(wù)伙伴也很重要。這些是接觸應(yīng)用程序處理的敏感 PHI 數(shù)據(jù)元素的第三方。這些實體還應(yīng)對任何違反 HIPAA的行為承擔責任。如果出現(xiàn)任何違規(guī)行為，則受HIPAA 違規(guī)通知規(guī)則的約束。該規(guī)則涉及所有HIPAA 涵蓋的實體在受保護的患者數(shù)據(jù)遭到破壞時提供通知的問題被發(fā)現(xiàn)。

RWM 案例研究：符合 HIPAA 的醫(yī)療技術(shù)應(yīng)用 

合作目的

北京軟件開發(fā)外包公司致力于從頭開始創(chuàng)建一家在線醫(yī)療用品商店。一位來自美國的客戶想要開設(shè)一個人們可以購買處方藥的平臺。選擇的解決方案是基于 Web 的應(yīng)用程序，可以滿足HIPAA 合規(guī)性要求。合作雙方面臨的挑戰(zhàn)是開發(fā)一個能夠充分保護患者健康信息的功能系統(tǒng)。

發(fā)展

我們的主要任務(wù)是開發(fā)一個能夠充分保證系統(tǒng)中用戶數(shù)據(jù)保護的平臺。為了保護個人數(shù)據(jù)，我們引入了幾項重要的改進。其中之一是強制用戶每 6 個月定期更改密碼。此外，加密發(fā)揮了重要作用，并在多種情況下被引入。其中之一是磁盤加密，這樣如果設(shè)備被盜，任何個人身份健康信息都將無法訪問。所有通信（甚至本地通信）也都通過 https 進行加密和處理。敏感數(shù)據(jù)已與一般數(shù)據(jù)分開。唯一的例外是由分配給管理員角色的人員進行訪問。作為安全元素的一部分，我們?yōu)楦鱾€系統(tǒng)管理員引入了角色和權(quán)限。我們還限制了對服務(wù)器的訪問，以便僅將其分配給指定的人員。工作的最后階段是進行全面的安全審計，以檢查引入的解決方案是否在現(xiàn)實中有效。

結(jié)果

我們努力的結(jié)果是建立了一個提供處方藥銷售的功能性醫(yī)療平臺。作為購買過程的一部分，用戶可以確定相關(guān)處方的交付形式。除此之外，我們使用Amazon 云服務(wù)來提高用戶安全性并創(chuàng)建HIPAA 合規(guī)軟件。我們的工作是在HIPAA 準則的基礎(chǔ)上進行的，我們在每個階段都嚴格遵守該準則。 

我們不斷與客戶協(xié)商以定制合適的工具。所有這一切都是為了確保他的商店提供可與固定藥店媲美的快速舒適的購物體驗。所描述的平臺為沒有處方的用戶提供了與醫(yī)生聯(lián)系的可能性。我們還指出，如果檢測到漏洞，則應(yīng)更新外部組件。

如果您正在開發(fā)符合每項HIPAA 要求的軟件，那么使用特殊的清單是個好主意。以下是hipaajournal.com準備的官方列表，其中指出了需要注意的事項。

1. 準確說明您的組織需要進行哪些建議的年度審核。

2. 執(zhí)行所需的審核和評估，分析結(jié)果并報告任何缺陷。

3. 提出整改計劃，付諸實施，每年審查，并根據(jù)需要進行調(diào)整。

4. 如果組織尚未這樣做，請確保雇用 HIPAA 合規(guī)性、隱私和/或安全官并分配職責。

5. 指定的 HIPAA 合規(guī)官應(yīng)負責對受雇員工進行年度 HIPAA 培訓。

6. 確保 HIPAA 培訓有記錄，并且工作人員能夠證明他們對 HIPAA 政策的了解。

7. 對業(yè)務(wù)伙伴進行 BAA 評估和盡職調(diào)查以確保 HIPAA 合規(guī)性。

8. 重新檢查員工如何報告安全漏洞以及如何通知 HHS 民權(quán)辦公室的流程。

如果您需要幫助創(chuàng)建符合 HIPAA 標準的軟件，為您的用戶提供100% 的安全性，那么我們鼓勵您聯(lián)系北京軟件開發(fā)公司。我們的專家將為您提供必要的幫助和解決方案，以滿足您的所有期望。填寫聯(lián)系表并與我們的專家分享您的需求。