在過去的幾年里，醫(yī)院、診所和其他衛(wèi)生組織在采用云計算方面經(jīng)歷了一段坎坷的道路。使用公共云或與第三方服務(wù)提供商合作的隱含安全風(fēng)險大大延遲了醫(yī)療保健行業(yè)對云的采用。即使在今天，當(dāng) 84% 的醫(yī)療保健組織使用云服務(wù)時，選擇合適的符合 HIPAA 標(biāo)準(zhǔn)的云提供商的問題仍然是一個令人頭疼的問題。其客戶數(shù)據(jù)存儲在美國的所有醫(yī)療保健提供者都受一系列稱為 HIPAA 合規(guī)性的法規(guī)的約束。如今，任何處理機(jī)密患者數(shù)據(jù)的組織都需要遵守 HIPAA 存儲要求。

什么是 HIPAA 合規(guī)性？

HIPAA 標(biāo)準(zhǔn)提供對健康數(shù)據(jù)的保護(hù)。與醫(yī)療保健組織或處理健康檔案的企業(yè)合作的任何供應(yīng)商都必須遵守 HIPAA 隱私規(guī)則。如果可以訪問醫(yī)療和患者數(shù)據(jù)，還有許多輔助行業(yè)必須遵守指南。這就是符合 HIPPA 標(biāo)準(zhǔn)的云存儲發(fā)揮重要作用的地方。

1996 年，“美國衛(wèi)生與公眾服務(wù)部 (“HHS”) 發(fā)布了隱私規(guī)則，以實施 1996 年《健康保險流通與責(zé)任法案》 (HIPAA) 的要求?！?隱私規(guī)則涉及患者的“受保護(hù)的電子健康信息”以及受隱私規(guī)則約束的組織或“HIPAA 涵蓋的實體”必須如何遵守。

大多數(shù)醫(yī)療機(jī)構(gòu)使用某種形式的電子設(shè)備來提供醫(yī)療服務(wù)。這意味著信息不再存在于紙質(zhì)圖表上，而是存在于計算機(jī)或云中。與一般企業(yè)或大多數(shù)商業(yè)實體不同，醫(yī)療機(jī)構(gòu)在法律上有義務(wù)采用最可靠的數(shù)據(jù)備份做法。

那么，這將如何影響他們對云提供商的選擇呢？

在計劃向云計算遷移時，醫(yī)療保健機(jī)構(gòu)需要確保其供應(yīng)商滿足特定的安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)轉(zhuǎn)化為公司必須滿足和保持的要求和閾值，才能為 HIPAA 做好準(zhǔn)備。這些歸結(jié)為一組認(rèn)證、 SOC 審計和報告、加密級別和物理安全功能。HIPAA 云存儲解決方案應(yīng)該使合規(guī)變得簡單明了。這樣，醫(yī)療保健組織就少了一件需要擔(dān)心的事情，并且可以專注于改進(jìn)他們的關(guān)鍵流程。

HIPAA 云存儲和數(shù)據(jù)備份要求

與根據(jù) HIPAA-HITECH 法案規(guī)則運營的公司開展業(yè)務(wù)的云服務(wù)提供商被視為業(yè)務(wù)伙伴。因此，它必須表明它符合云合規(guī)標(biāo)準(zhǔn)并遵循任何相關(guān)標(biāo)準(zhǔn)。盡管供應(yīng)商不直接處理患者信息，但它確實接收、管理和存儲受保護(hù)的健康信息 (PHI)。僅這一事實就使他們有責(zé)任根據(jù) HIPAA-HITECH 法案指南對其進(jìn)行保護(hù)。

符合 HIPAA 意味著執(zhí)行該法案提出的所有規(guī)則和條例。任何提供受該法案約束的服務(wù)的供應(yīng)商都必須提供文件作為其符合性的證明。該文件不僅需要發(fā)送給他們的客戶，還需要發(fā)送給民權(quán)辦公室 (OCR)。OCR 是美國教育部的下屬機(jī)構(gòu)，旨在促進(jìn)平等獲得醫(yī)療保健和人類服務(wù)計劃。

希望與 符合 HIPAA 的云存儲 提供商合作的醫(yī)療保健行業(yè)組織應(yīng)要求提供合規(guī)證明以保護(hù)自己。如果提供商遵循所有標(biāo)準(zhǔn)，它應(yīng)該不會對與您共享適當(dāng)?shù)奈臋n感到不安。

云托管組織的 HIPAA 要求與業(yè)務(wù)伙伴的要求相同。它們分為三個不同的類別：行政、物理和技術(shù)保障。

• 行政保障措施： 這些類型的保障措施是透明的政策，從運營的角度概述了企業(yè)將如何遵守。這些操作可以包括 管理安全風(fēng)險評估、適當(dāng)?shù)某绦颉?zāi)難和緊急響應(yīng)以及管理密碼。
• 物理保障： 物理保障通常是用于保護(hù)客戶數(shù)據(jù)的系統(tǒng)。它們可能包括數(shù)據(jù)中心的適當(dāng)存儲、數(shù)據(jù)備份和適當(dāng)?shù)拿襟w處置。硬件或軟件存儲設(shè)備所在設(shè)施的重要安全預(yù)防措施也屬于此類。
• 技術(shù)保障： 這組保障是指為最大限度地降低數(shù)據(jù)風(fēng)險和最大限度地保護(hù)而實施的技術(shù)功能。要求唯一的登錄信息、自動注銷策略和 PHI 訪問身份驗證只是應(yīng)采??取的一些技術(shù)保障措施。

是什么讓 HIPAA 認(rèn)證的云提供商合規(guī)？

提供符合 HIPAA 標(biāo)準(zhǔn)的文件存儲硬件或軟件并不像撥動開關(guān)那么簡單。一家公司要合規(guī)需要花費大量的時間和精力。在 HIPAA 認(rèn)證的云存儲提供商中尋找的關(guān)鍵要素是其是否愿意簽訂商業(yè)伙伴協(xié)議。該協(xié)議被稱為 BAA，由計劃傳輸、處理或接收 PHI 的兩方完成。其主要目的是保護(hù)雙方免受任何導(dǎo)致濫用受保護(hù)健康信息的法律影響。

商業(yè)伙伴協(xié)議 BAA 不得增加、減少或與 HIPAA 的整體標(biāo)準(zhǔn)相抵觸。但是，如果雙方同意，補(bǔ)充特定術(shù)語是可以接受的。還有一些核心條款構(gòu)成了合規(guī)的業(yè)務(wù)伙伴協(xié)議的基礎(chǔ)，并且必須保留，以使合同被視為具有法律約束力。

云提供商啟用的加密級別需要適當(dāng)注意。公司不僅要加密傳輸中的文件，還要加密靜態(tài)文件。高級加密標(biāo)準(zhǔn) (AES) 是用于文件存儲和共享的最低加密級別。AES 是數(shù)據(jù)加密標(biāo)準(zhǔn) (DES) 的繼承者，由美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 于 1997 年開發(fā)。它是一種先進(jìn)的加密算法，可針對不同的安全事件提供更好的防御。

選擇合規(guī)的云存儲供應(yīng)商

選擇符合 HIPAA 標(biāo)準(zhǔn)的提供商時，請尋找 符合上一節(jié)所述措施的HIPAA 虛擬主機(jī)。確保向他們詢問他們的數(shù)據(jù)存儲安全實踐，以了解您的 PHI 數(shù)據(jù)的安全性。

潛在供應(yīng)商是否提供服務(wù)水平協(xié)議？

SLA 合同指明了對威脅的保證響應(yīng)時間，通常在 24 小時內(nèi)。作為傳輸 PHI 的公司，您需要知道提供商在發(fā)生事件時可以多快通知您。您收到違規(guī)通知的速度越快，您的響應(yīng)效率就越高。不要忘記，基于云的電子病歷存儲應(yīng)該在一個安全的數(shù)據(jù)中心。

發(fā)生事故時有哪些安全措施？如何確定對設(shè)施的訪問？詢問他們?nèi)绾螌嵤┖蛯嵤┪锢戆踩脑敿?xì)概述。檢查他們在發(fā)生數(shù)據(jù)泄露時如何響應(yīng)。確保在將數(shù)據(jù)置于風(fēng)險之前獲得所有相關(guān)詳細(xì)信息。

您選擇的供應(yīng)商還應(yīng)制定 災(zāi)難恢復(fù)和連續(xù)性計劃。連續(xù)性計劃將預(yù)測由于自然災(zāi)害、數(shù)據(jù)泄露和其他不可預(yù)見事件造成的損失。如果或當(dāng)此類事件發(fā)生時，它還將提供必要的流程和程序。關(guān)于 數(shù)據(jù)丟失預(yù)防最佳實踐，還必須確定所提議的方法多久進(jìn)行一次嚴(yán)格測試。

醫(yī)療保健病歷安全——我怎么能確定？

認(rèn)真對待合規(guī)性的云提供商將確保他們的認(rèn)證是最新的。有幾種方法可以檢查它們是否符合標(biāo)準(zhǔn)和相關(guān)規(guī)定。一種方法是使用獨立方審核您的潛在供應(yīng)商。審計會引起您的注意并揭示供應(yīng)商的安全策略。醫(yī)療記錄提供商的云存儲必須定期審核他們的系統(tǒng)和環(huán)境，以確保威脅保持合規(guī)。該法案未對“定期”一詞進(jìn)行定義，因此必須至少每季度索取一次文件和信息。您還應(yīng)該確保您可以經(jīng)常訪問詳細(xì)說明最近審計的報告和文檔。

確定公司是否合規(guī)的另一種方法是評估其員工的資格。所有員工都需要接受最新標(biāo)準(zhǔn)的教育，并熟悉具體的保障措施。只有有了這些，組織才能實現(xiàn)合規(guī)。

向您的潛在供應(yīng)商提出棘手的問題。任何有權(quán)訪問 PHI 的人都需要接受有關(guān)安全數(shù)據(jù)傳輸方法的適當(dāng)培訓(xùn)。培訓(xùn)需要包括對患者信息進(jìn)行安全加密的能力，無論這些信息存儲在何處。

符合 HIPAA 的公司不會要求您提供后門來訪問您的數(shù)據(jù)或允許繞過您的訪問管理協(xié)議。這些供應(yīng)商認(rèn)識到需要額外的身份驗證或訪問點的風(fēng)險。破壞對身份驗證協(xié)議和密碼要求的訪問是一種嚴(yán)重的違規(guī)行為，絕不應(yīng)該發(fā)生。

云備份和存儲常見問題

詢問潛在的云供應(yīng)商他們使用哪種方法來評估您的 HIPAA 合規(guī)性。是否可以使用 HIPAA 策略模板？提供商是否提供有關(guān)合規(guī)性的指導(dǎo)和反饋？他們?nèi)绾未_保您了解最新的安全規(guī)則和法規(guī)？他們提供符合 HIPAA 標(biāo)準(zhǔn)的電子郵件嗎？

公司有全職員工嗎？

現(xiàn)場存在并全天候可用是一種確保高級安全性的機(jī)制?？捎玫拇硎?PHI 安全性更加可靠，并保證在需要時快速響應(yīng)。知道負(fù)責(zé)您的數(shù)據(jù)保護(hù)的公司完全精通所需的標(biāo)準(zhǔn)，這也讓您高枕無憂。

合適的提供商還應(yīng)該快速適應(yīng)變化，并通知您任何直接影響您的 PHI 或您訪問它的事情。

數(shù)據(jù)刪除是選擇合適的 HIPAA 業(yè)務(wù)伙伴的關(guān)鍵組成部分。在清除之前，信息會保留多長時間？ 當(dāng)服務(wù)器停止使用或被刪除時，如何 防止數(shù)據(jù)泄露？數(shù)據(jù)是否在刪除前提供給您？該法案沒有提供有關(guān)所需時間長度的指南，但這是您和您的提供者必須共同達(dá)成的協(xié)議。

除了您的知識之外，還要確定您的潛在供應(yīng)商對 HIPAA 法規(guī)的熟悉程度。云公司通常無法遵循最新的法規(guī)變化，您必須尋找始終如一的奉獻(xiàn)精神。貨比三家。不要滿足于第一句話。許多公司吹捧他們的 HIPAA 安全性，卻發(fā)現(xiàn)他們達(dá)不到標(biāo)準(zhǔn)。做你的研究，提出問題，并確定哪個供應(yīng)商最適合你的需求。