如何确保符合 HIPAA 的软件开发
随着面向健康的软件和应用程序的普及以火箭般的速度增长(AppStore 上有超过 40,000 个),了解这些应用程序必须遵守哪些标准以及谁负责使它们符合标准变得越来越重要。本文是计划构建健康相关软件的客户和开发人员的详细指南。
HIPAA 概述
《健康保险流通与责任法案》(简称 HIPAA)是一套规定,用于规范存储在任何设备上并用于任何医疗保健目的的任何类型的电子受保护健康信息 (ePHI) 的安全和隐私。最初的法案于 1996 年颁布,主要是为了促进患者保险信息的转移。随后在 2003 年进行了一项称为综合规则的重大更新。它澄清并添加了许多术语和规定,包括新程序,并总体上使 HIPAA 在医疗保健领域更加具体和普遍适用。由于 HIPAA 是一个如此复杂的现象,接下来我们将简要地看一下它的结构。
简短词汇表
在继续之前,我们想澄清几个在整个 HIPAA 文档中常见的关键术语:
ePHI – 医疗记录中包含的任何类型的信息,可用于唯一识别患者,并且是通过医疗程序获得的。ePHI 的一些常见示例包括医疗保健服务账单、MRI 扫描、实验室测试结果、预约通知等。无法具体归因于特定个人的数据不被视为 ePHI,例如特定周内的总距离(智能手表)读数)或与用户帐户或电子邮件地址无关的心率监测数据。
涵盖实体——在医疗保健行业提供治疗、支付或运营服务的组织。这包括医生和牙科诊所、保险公司、健康计划、药房、医院等。
商业伙伴——任何与涵盖的实体有业务往来并可以某种方式访问 ePHI 的第三方。这些可以是多种多样的,如翻译、审计员、律师、顾问、粉碎公司、医疗设备服务公司、数据存储公司等。
HIPAA 结构
HIPAA 的核心包括以下四个要素(前两个概述了实际要求):
隐私规则——关注谁有权使用和共享 ePHI、如何使用以及在何种程度上使用。
安全规则——规定了健康信息(包括物理、技术和行政部门)的存储、传输和保护标准。
执行规则——描述了违规调查程序、处罚制度的实施以及在违规情况下可能采取的法律行动。
违规通知规则——定义通知方式和通知方以及通知发生的频率。
开发者应该关注什么?
符合 HIPAA 标准的软件开发人员主要关注安全规则的物理和技术方面。具体标准将在接下来的两节中讨论。
一、技术保障
技术保障措施定义了一组要求,技术基础设施在对 ePHI 进行任何操作期间必须遵守这些要求。为确保符合 HIPAA 安全性,软件必须严格遵循此清单:
访问控制
必须实施 ePHI 的加密和解密机制。
任何试图登录存储 ePHI 的区域/应用程序的人都必须通过身份验证程序。
必须制定在紧急情况下访问 ePHI 的应急计划。
必须将唯一的访问凭证分配给每个授权实体。
必须设置自动注销程序以保证在特定时间段后终止用户会话。
安全传输
在任何迁移之前,必须对 ePHI 应用可靠的加密算法。
必须引入适当的安全策略,以确保在传输过程中不会损坏或错误修改 ePHI。
审计
必须开发一种强大的机制来收集有关使用 ePHI 执行的所有操作(访问、修改、传输等)的信息,以便于监控和分析。
必须设计一种机制来确保 ePHI 不会在未经适当许可的情况下被删除或修改。
2. 人身保障
物理保护措施的目的是规范对 ePHI 存储位置(本地服务器、云或第三方服务)的访问。
物理访问
必须准备一个安全计划来保护设施免受任何未经授权的访问、数据损坏或盗窃。
必须制定一套验证和控制人员进入场所的程序。
必须制定一个备份计划,该计划定义了访问场所的程序以及紧急情况下的数据恢复。
必须仔细记录物理设施的任何修改、更改和维护程序。
存储控制
必须制定用于跟踪 ePHI 最终位置的程序以及存储它的硬件的处置过程。
必须设计从任何打算重复使用的设备中完全删除 ePHI 的过程。
必须设置对负责 ePHI 移动的每个人的跟踪。
在任何搬迁之前,必须创建目标 ePHI 的准确且完整的副本。
工作站
必须提供对所有工作站的物理访问控制以仅允许授权用户。
必须确定可以使用 ePHI 执行的功能列表以及如何执行这些功能。
什么被视为受保护的健康信息?
对于被归类为 ePHI 的信息,它必须:
被存储、记录或转移到涵盖的实体
可识别个人身份
谁必须符合 HIPAA 标准?
如果公司涉及管理、使用、存储或传输电子受保护健康信息 (ePHI),则它必须符合 HIPAA。不这样做会导致巨额罚款。因此,公司必须预先明确决定“接触”ePHI 对他们的业务是否至关重要,或者他们是否可以在没有它的情况下生存。
开发人员应该做什么?
从上面的项目列表中可以看出,符合 HIPAA 标准的软件开发并非易事。因此,应仔细考虑决定进行这项努力。可以采取三种可能的途径:
决定根本不处理 ePHI。无需 ePHI,无需遵守 HIPAA。没有 HIPAA 合规性,没有问题。
自行开发符合 HIPAA 标准的软件。一些要求非常简单,并且在许多软件解决方案中实现,而不管它们的预期用途如何。
将成为 HIPAA 合规性的挑战委托给有能力的第三方。通常,他们保证符合所有标准,因为这是他们的专长。
HIPAA 处罚制度
为了进一步强调从上述三个选择中选择正确轨道的重要性,我们想谈谈做错事情的后果——罚款和处罚。
不遵守 HIPAA 条款可能会造成巨大损失!单次违规的代价从 100 美元到 50,000 美元不等。违反一项规定的最高罚款为 150 万美元!该数字与受违规影响的人数以及疏忽的程度成正比。
为了保持我们的银行账户完好无损,我们需要了解可能导致违规的典型情况或条件,并采取相应的行动。
违规来源
没有加密或加密不佳——您希望 ePHI 始终使用高级加密算法进行加密。如果持有 ePHI 的设备丢失或被盗,加密是防止不法分子访问和使用数据的唯一措施。
便携式设备——在移动时代,可以通过各种设备(笔记本电脑、平板电脑、智能手机)访问 ePHI。然而,这些很容易丢失或被盗,因此将数据存储在受保护的云或服务器中而不是设备本身是明智的。
人为因素——员工通常是安全系统中最薄弱的环节。违规可能是简单的人为错误、疏忽或愚蠢造成的,但无论哪种方式,都必须通过定期培训和万无一失的软件来预防。
第三方——业务伙伴在超过三分之二的违规行为中“出名”。由于在大多数情况下,这些人不是医疗保健专业人员,他们可能很容易低估手中数据的重要性和敏感性,因此谨慎选择业务合作伙伴并正确指导他们至关重要。
需要考虑的关键概念
一个常见的制造与购买困境也适用于构建符合 HIPAA 标准的软件。尽管实施某些保护措施可能是程序员的例行任务,但其他规定可能更加复杂并且需要成倍增加的资源。在这种情况下,外包选项值得评估。
有时可能难以识别您的软件正在使用 ePHI,因此需要符合 HIPAA。很难预测该应用程序可能具有的所有可能用途(其中许多是无意的)。
符合 HIPAA 标准的托管是拥有符合 HIPAA 标准的整体软件解决方案的关键部分,因此请明智地选择您的主机。
并非您的应用程序使用的所有数据都必须存储在符合 HIPAA 的主机上。只有 ePHI 对此很挑剔。其他数据可以使用更便宜的传统托管形式。
安全不能过头,所以除了托管公司提供的保护措施外,一定要保证网络和应用程序级别的保护。
是多余的。虽然乍一看这听起来有悖常理,但这在未来可能会证明是一个挽救生命(和挽救企业)的决定。系统的关键节点(如 Web 服务器和数据库服务器)必须有备份。
手机和可穿戴设备
即使是最便携的设备现在也有能力携带高级软件并在轻点几下后执行各种操作。由于功能正在以闪电般的速度扩展,并且不存在严格的规定,因此重要的是要考虑使用 ePHI 等敏感数据时可能出现的复杂情况。
如前一节所述,通常很难预料用户将如何使用您的应用程序。请三思而后行,考虑将您的应用程序中存储的数据归类为 ePHI 的任何可能性。
沟通。许多应用程序允许您设置自动电子邮件或推送通知。这些默认情况下很少是安全的,因此要么仔细分析可以通过此类通道发送的数据,要么设置可靠的加密算法。
如果您的应用程序从涵盖的实体服务器请求数据,则它必须符合 HIPAA。对于与另一个业务伙伴或涵盖实体的任何其他类型的集成也是如此。
尽管软件开发人员在移动设备物理丢失的情况下无能为力,但仍然可以采取一些措施。推荐安装您的应用程序的用户使用密码启用锁屏。您可能只建议做的另一件事是利用设备上的远程删除功能——例如,这可能使用户能够使用笔记本电脑从丢失/被盗的小工具中删除 ePHI。
越来越多的可穿戴设备在一定程度上扮演着医疗助理或教练的角色。请咨询 FDA,了解医疗设备的分类标准是什么,以及您的应用是否符合其中任何一项。
包起来
开发符合 HIPAA 标准的软件应用程序无疑是一项挑战。它就像拼一个 3000 块拼图——涉及很多块,而且其中许多块是相互关联的。每个错误的代价都很高,因此深思熟虑的计划、深入的分析和完美的执行至关重要。本文让您大致了解需要什么以及有哪些选项。我们还建议阅读有关此主题的案例并查看我们博客上的案例研究。