在醫療保健領域，遵守數據法規是生死攸關的問題。濫用患者數據會導致道德衝突，損害機構的聲譽，甚至影響診斷和治療。如果您正在構建醫療保健解決方案或在與健康相關的組織中工作，則需要特別注意存儲實踐。

本文將分享我們選擇 HIPAA 雲存儲的經驗，並討論其對健康保險流通與責任法案 (HIPAA) 的遵守情況。我們將看到現有提供商如何遵守官方建議並檢查典型風險。

什麼是 HIPAA？

這是一項保護衛生工作者和患者的行為，尤其是他們的私人數據和電子記錄。該法案由五個部分組成：

• 第一個標題保護衛生工作者，如果他們失去工作，他們會為他們提供保險；
• 第二個標題建立了醫療保健提供者、保險公司和僱主之間電子交易的國家標準；
• 醫療支出實體的第三類稅收要求；
• 第四個標題包括公共團體健康計劃的指導方針；
• 第五條規定了公司向員工提供的保險。

這是所有醫療機構和專業人士的必備文件。出於數據管理的目的，組織參考了第二個標題，該標題指定了處理電子記錄的規則。

HIPAA 基本術語

電子健康記錄 (EHR) 是在醫療機構中生成的數字記錄，用於描述病史、治療、實驗室結果、人口統計數據、個人信息。

健康信息：醫療保健提供者、僱主收集的各種數據，與患者的病史、健康、人口統計有關。

HIPAA 審計 — 驗證公司是否符合 HIPAA 要求的過程。公司指定一個團隊的例子來檢查當前的政策和執行機制。審計檢查醫療保健公司員工和患者之間的溝通、存儲電子健康記錄的規定以及危機管理實踐。

基本 ePHI 系統 — 負責創建、訪問和管理 ePHI 的系統。一個系統可以由單個用戶或一組人使用。

應急計劃 (CP) — 組織團隊在系統遭到破壞時採取的一系列行動。應急計劃涉及處理安全漏洞、組織危機和災難的關鍵資源和機制。

HIPAA 合規雲的要求

符合 HIPAA 的存儲必須響應有關患者記錄安全和安全策略執行的特定要求。為您的醫療保健平台選擇存儲選項時，第一步是檢查 HIPAA 保護措施並將其集成到架構中。

技術保障

從技術角度來看，HIPAA 合規性始於安全架構。根據官方文檔和最佳實踐，遵循領先的醫療保健機構，我們可以將這些標準匯總到 HIPAA 合規性資料庫的列表中。

安全傳輸：符合 HIPAA 標準的系統必須確保在組織內的多個用戶之間安全輕鬆地傳輸患者記錄。該系統應防止惡意嘗試訪問數據，並確保每個人都本著善意行事。

受控訪問：在醫療保健平台中，需要嚴格的數據可用性管理機制。所有用戶都必須知道他們的訪問許可權，如果這些許可權被破壞，必須更改指定的許可權。

系統完整性：每個符合 HIPAA 的系統都應該有一個系統來禁止篡改數據的企圖。提供者應該有一個編輯和刪除任何病人和員工記錄的政策——並通過技術機制強制執行。

技術保障描述了軟體系統的標準。軟體架構師、開發人員和安全工程師應該預見可能的威脅，開發最可能的用例。對於 HIPAA 合規性，重要的是避免對用戶行為和洞察做出草率假設——如果有的話，最好謹慎行事。這就是為什麼要實現這些保護措施需要大量的分析工作、研究和競爭對手分析。

物理保護

除了確保軟體的安全性之外，控制硬體也同樣重要。通過直接控制設備，網路犯罪分子可能會訪問數字平台並使用硬碟驅動器存儲患者數據。即使您依賴雲進行 ePHI 存儲，保護硬體仍然是重中之重。

設備保護：整個機構的工作站組織應符合 HIPAA 並由網路安全專家監督。存放伺服器和 PC 的房間應有其特定的訪問規則。如果保護被破壞，團隊應該啟動應急計劃。

設施訪問：數據中心應僅供授權人員使用。

行政保障

數據管理通常是 HIPAA 合規性的薄弱環節。當您考慮存儲時，您應該查看平台提供哪些管理管理功能。因此，我們編製了一份關鍵注意事項清單。

評估：應向符合 HIPAA 的雲託管提供商開放有關存儲符合 HIPAA 的程度。供應商應參與諮詢並幫助您制定管理計劃。

員工管理和培訓：供應商應為您提供他們的知識庫。如果他們之前與醫療保健提供者合作，很可能已經在 HIPAA 條款中解釋了雲功能。這就是為什麼我們鼓勵我們的客戶與具有 HIPAA 合規性的長期傳統的成熟存儲合作。

數據訪問管理：每個組織都為數據訪問和質量管理制定了單獨的計劃。供應商可以幫助您開始使用官方教程和文檔，但最終，您的團隊應該獨立設置工作流程。與軟體開發人員和網路安全方面的會議並討論系統的潛在漏洞是一個很好的起點。沒有任何醫療保健系統是完美的——了解可能存在的弱點很重要——並為這些弱點設計保護機制。

預測危機和損害。團隊應與雲供應商合作，檢查常見威脅並為每個威脅制定詳細的工作流程。

滿足管理 HIPAA 保護措施的過程是雙重的。一方面，供應商團隊負責為您的團隊提供專門適用於其基礎架構的官方文檔、教程和最佳實踐。另一方面，團隊必須使這些材料適應他們的架構和工作流程。

HIPAA 數據可以存儲在雲中嗎？

根據官方 HIPAA 指南，醫療機構可​以使用符合 HIPAA 標準的雲存儲進行 ePHI 處理。只要您確保您選擇的供應商遵守 HIPAA，就不會有法律問題。

與雲提供商合作的要求

雲服務提供商 (CSP) 應提供進行風險分析和建立獨立風險管理政策的可能性。換句話說，它應該對安全審計和協作開放，特別是對信息交換。

兩位參與者保證對創建和存儲的 ePHI 的完整性和安全性負責。這些條件通常在特定協議中籤署。如果沒有此類文檔，雲提供商可能會選擇拒絕承擔數據完整性的責任——這種做法會在安全危機期間危及公司。

符合 HIPAA 的服務水平協議應說明確保系統可用性的條件、數據備份做法、合作結束後將數據返回給客戶的方式、信息傳輸方式以及維護安全的責任實體。

即使雲公司只存儲加密文件，不收取解密費用，他們仍然有責任遵守 HIPAA。如果出現安全漏洞，團隊將與醫療機構一起負責。

根據 HIPAA 的說法，單獨的加密不被認為是一種穩定的保護措施。一方面，它不能確保數據的完整性——即使是加密文件也可能被惡意軟體損壞或被未經授權的個人使用。

醫療保健機構和雲供應商之間的所有合作都應該是無視的——供應商無法洞察健康記錄。

然而，即使組織選擇了雲供應商，團隊也不能轉移數據安全的責任。大多數合同協議包含雙重保證——供應商和機構都應遵守嚴格的安全實踐。如果醫療機構未能這樣做，違規責任將完全分配給團隊。

最佳 HIPAA 兼容雲供應商

雲供應商沒有 HIPAA 合規性認證。證明供應商可靠性的唯一方法是驗證評論、科學出版物並參考供應商的官方資源。作為一個企業開發團隊，我們經常將我們的客戶與可靠的雲供應商聯繫起來——所以這是我們對最可靠的供應商的看法。

AWS 雲

AWS 官方文檔保證該服務與 HIPAA 和其他醫療保健數據安全法規完全兼容。要實施 HIPAA 所需的設置，用戶可以部署 Quick Start — 一項部署安全、HIPAA 兼容環境的功能。

您可以獲得提供數據結構和解釋信息管理流程的架構圖。

Quick Start 具有 CloudFormation 模板，可為所有 AWS 資源提供結構化框架。

AWS 基礎設施受嚴格的安全標準監管，客戶可以實時更新安全控制。

Dropbox

Dropbox Business 符合 HIPAA 要求，並提供擴展雲安全性的法律文檔。美國客戶可以簽署業務夥伴協議，確保符合 HIPAA 的合作條款和延長擔保。

Dropbox 是否符合 HIPAA 標準？是的，Dropbox Business 功能允許醫療保健實體：

配置共享許可權：功能包括嚴格的訪問過濾器和靈活的許可權控制系統。

永久刪除：Dropbox 提供無限期刪除所有健康記錄的可能性。

監控帳戶活動：企業獲得有關其安全控制的實時更新。

安全的第三方集成：如果醫療保健機構想要集成其他服務（例如 SaaS），Dropbox 會提供用於驗證其安全合規性的工具。

谷歌雲

Google Cloud 與 HIPAA 協議高度兼容——供應商提供了豐富的附加功能來管理電子健康記錄，並為建立安全最佳實踐提供詳細指導。特別是，可用服務列表包括訪問管理功能、人工智慧平台、自然語言處理和翻譯功能、雲任務、視頻目錄等。

要簽署業務夥伴協議，醫療保健組織應證明其願意實施推薦的安全實踐：

IAM 安全：醫療團隊全權負責查看和管理數據。供應商不與健康記錄互動。

設置加密：如果業務夥伴已經在他們身邊設置了加密系統，那麼 Google Cloud 假定他們應該合作。為避免加密危險，與大多數雲供應商一樣，谷歌雲不會對其側的數據進行加密。

查看審計日誌。 GCP 將為團隊提供安全日誌，您的團隊應定期查看這些日誌。條款在協議中規定。

元數據管理實踐：文件的描述和標題不應包含來自記錄本身的任何個人數據。

微軟 OneDrive

Microsoft One Drive 與 HIPAA 法規兼容，並允許其所有屬於 HIPAA 的客戶簽署業務夥伴協議。但是，合同不會個性化。由醫療保健公司創建用於保護數據的內部文檔——因為 Microsoft 對所有情況使用標準協議表格。

整個 OneDrive 符合 HIPAA 標準；然而，供應商並未提供用於創建日益安全的基礎設施的精心設計的模板。用戶僅存儲微軟雲服務來存儲數據，對其安全性和完整性負全部責任。

Microsoft 通過提供詳細的官方指南來幫助實現 HIPAA 合規性。

Azure、Dynamics 和 Office 365 HIPAA 合規性實施指南。本指南詳細介紹了在 Microsoft 生態系統中建立安全數據架構和確保 HIPAA 合規性的分步過程。

使用 Azure 設計醫療保健系統的實用指南。如果您正在構建醫療保健解決方案，您可能需要在設計信息架構之前參考此文檔。該文檔提供了在系統開發和使用過程中處理醫療保健信息的實用指南。

Microsoft 雲中的 HIPAA 安全和隱私要求：Office 365 HIPAA 合規性和滿足這些要求的最佳實踐的完整概述。

Carbonite

雲平台強調高效的數據備份和數據丟失保護，是符合 HIPAA 標準的最實惠的雲解決方案之一。該平台通常由小型醫療保健企業和平台使用。這種符合 HIPAA 標準的雲備份生態系統不像亞馬遜、谷歌或微軟的雲那樣通用，因此非常適合小型企業。

設置安全工作流程的責任在於醫療機構，但是，Carbonite 團隊提供了額外的工具和保證：

備份和災難恢復：高效的應急計劃和數據恢復系統是 HIPAA 合規性的基石。 Carbonite 有一個簡單的演算法，用於在病毒攻擊、伺服器故障、移除或災難後自動進行數據備份和恢復記錄。

所有備份文件都經過加密。要訪問 Carbonite 站點上的加密，用戶應該將他們的計劃升級到 Backup Pro 和 Safe Server Backup 功能。

與其他嚴格的數據法規的兼容性。與 HIPAA 一起，該軟體還與馬薩諸塞州數據安全合規性兼容 – 這是最嚴格的數據隱私法案之一。

現在做什麼：開始符合 HIPAA 的合作

與供應商簽署業務夥伴協議。該協議要求雲服務對違規行為負責。

確定雲供應商的訪問許可權。最好選擇未出現的協作並將所有管理工作留給您的團隊。這也意味著您必須投入更多的工作來保護基礎設施，但從長遠來看，它會賦予獨立性。

自行評估供應商的合規性。研究哪些醫療機構正在與您選擇的供應商合作，研究風險和過去的違規行為。

與您的業務夥伴的安全專家溝通。您的供應商應該樂於提出建議，以幫助您建立符合 HIPAA 的做法。

確保供應商為您提供使用符合 HIPAA 標準的資料庫的詳細指南和政策。他們的安全願景不應與您組織的實踐相衝突。

檢查他們的 HIPAA 培訓。他們的團隊如何接受培訓以根據 HIPAA 規定工作？誰在負責處理醫療保健公司的團隊中？

驗證供應商的安全保護措施。他們的伺服器應該位於受到良好保護的國家，並受到持續監視。物理伺服器和硬體應符合最新的安全標準。

檢查他們的應急計劃。要求供應商為您提供針對每種類型的安全威脅的詳細行動方案。

確保您的供應商財務穩定，之前沒有斷電和信息刪除的歷史。

每個協議都必須有一個條款，描述終止合作和檢索您的數據的條件。

結論

使用雲存儲醫療保健數據有很多優勢。主要是，它允許團隊轉移雲服務提供商的責任部分。有效地，該機構只負責少數設備，而不必維護自己的伺服器空間。結果，責任範圍縮小了，潛在風險和隨後的聲譽損害也縮小了。

但是，選擇合適的供應商是一項長期投資，它決定了您組織的安全性。不幸的是，並非所有提供商對其 HIPAA 合規實踐都同樣透明。同樣，並非所有提供商都為其 HIPAA 數據存儲提供個性化的入職程序。您將自己管理數據創建和管理——即使在獲得昂貴的計劃之後也是如此。

為了最大限度地減少費用並提高收益，我們建議對雲供應商進行仔細研究。對於一些機構。 AWS 或 Google Cloud 等完善的基礎設施將是最佳選擇，而對於小型企業而言，財務承諾可能難以承擔。因此，您需要評估組織的需求和預算——並找到報價符合這些要求的供應商。