隨著面向健康的軟件和應(yīng)用程序的普及以火箭般的速度增長（AppStore 上有超過 40,000 個），了解這些應(yīng)用程序必須遵守哪些標(biāo)準(zhǔn)以及誰負(fù)責(zé)使它們符合標(biāo)準(zhǔn)變得越來越重要。本文是計(jì)劃構(gòu)建健康相關(guān)軟件的客戶和開發(fā)人員的詳細(xì)指南。

HIPAA 概述

《健康保險(xiǎn)流通與責(zé)任法案》（簡稱 HIPAA）是一套規(guī)定，用于規(guī)范存儲在任何設(shè)備上并用于任何醫(yī)療保健目的的任何類型的電子受保護(hù)健康信息 (ePHI) 的安全和隱私。最初的法案于 1996 年頒布，主要是為了促進(jìn)患者保險(xiǎn)信息的轉(zhuǎn)移。隨后在 2003 年進(jìn)行了一項(xiàng)稱為綜合規(guī)則的重大更新。它澄清并添加了許多術(shù)語和規(guī)定，包括新程序，并總體上使 HIPAA 在醫(yī)療保健領(lǐng)域更加具體和普遍適用。由于 HIPAA 是一個如此復(fù)雜的現(xiàn)象，接下來我們將簡要地看一下它的結(jié)構(gòu)。

簡短詞匯表

在繼續(xù)之前，我們想澄清幾個在整個 HIPAA 文檔中常見的關(guān)鍵術(shù)語：

• ePHI – 醫(yī)療記錄中包含的任何類型的信息，可用于唯一識別患者，并且是通過醫(yī)療程序獲得的。ePHI 的一些常見示例包括醫(yī)療保健服務(wù)賬單、MRI 掃描、實(shí)驗(yàn)室測試結(jié)果、預(yù)約通知等。無法具體歸因于特定個人的數(shù)據(jù)不被視為 ePHI，例如特定周內(nèi)的總距離（智能手表）讀數(shù)）或與用戶帳戶或電子郵件地址無關(guān)的心率監(jiān)測數(shù)據(jù)。

• 涵蓋實(shí)體——在醫(yī)療保健行業(yè)提供治療、支付或運(yùn)營服務(wù)的組織。這包括醫(yī)生和牙科診所、保險(xiǎn)公司、健康計(jì)劃、藥房、醫(yī)院等。

• 商業(yè)伙伴——任何與涵蓋的實(shí)體有業(yè)務(wù)往來并可以某種方式訪問 ePHI 的第三方。這些可以是多種多樣的，如翻譯、審計(jì)員、律師、顧問、粉碎公司、醫(yī)療設(shè)備服務(wù)公司、數(shù)據(jù)存儲公司等。

HIPAA 結(jié)構(gòu)

HIPAA 的核心包括以下四個要素（前兩個概述了實(shí)際要求）：

• 隱私規(guī)則——關(guān)注誰有權(quán)使用和共享 ePHI、如何使用以及在何種程度上使用。

• 安全規(guī)則——規(guī)定了健康信息（包括物理、技術(shù)和行政部門）的存儲、傳輸和保護(hù)標(biāo)準(zhǔn)。

• 執(zhí)行規(guī)則——描述了違規(guī)調(diào)查程序、處罰制度的實(shí)施以及在違規(guī)情況下可能采取的法律行動。

• 違規(guī)通知規(guī)則——定義通知方式和通知方以及通知發(fā)生的頻率。

開發(fā)者應(yīng)該關(guān)注什么？

符合 HIPAA 標(biāo)準(zhǔn)的軟件開發(fā)人員主要關(guān)注安全規(guī)則的物理和技術(shù)方面。具體標(biāo)準(zhǔn)將在接下來的兩節(jié)中討論。

一、技術(shù)保障

技術(shù)保障措施定義了一組要求，技術(shù)基礎(chǔ)設(shè)施在對 ePHI 進(jìn)行任何操作期間必須遵守這些要求。為確保符合 HIPAA 安全性，軟件必須嚴(yán)格遵循此清單：

訪問控制
必須實(shí)施 ePHI 的加密和解密機(jī)制。
任何試圖登錄存儲 ePHI 的區(qū)域/應(yīng)用程序的人都必須通過身份驗(yàn)證程序。
必須制定在緊急情況下訪問 ePHI 的應(yīng)急計(jì)劃。
必須將唯一的訪問憑證分配給每個授權(quán)實(shí)體。
必須設(shè)置自動注銷程序以保證在特定時(shí)間段后終止用戶會話。

安全傳輸
在任何遷移之前，必須對 ePHI 應(yīng)用可靠的加密算法。
必須引入適當(dāng)?shù)陌踩呗?，以確保在傳輸過程中不會損壞或錯誤修改 ePHI。

審計(jì)
必須開發(fā)一種強(qiáng)大的機(jī)制來收集有關(guān)使用 ePHI 執(zhí)行的所有操作（訪問、修改、傳輸?shù)龋┑男畔ⅲ员阌诒O(jiān)控和分析。
必須設(shè)計(jì)一種機(jī)制來確保 ePHI 不會在未經(jīng)適當(dāng)許可的情況下被刪除或修改。

2. 人身保障

物理保護(hù)措施的目的是規(guī)范對 ePHI 存儲位置（本地服務(wù)器、云或第三方服務(wù)）的訪問。

物理訪問
必須準(zhǔn)備一個安全計(jì)劃來保護(hù)設(shè)施免受任何未經(jīng)授權(quán)的訪問、數(shù)據(jù)損壞或盜竊。
必須制定一套驗(yàn)證和控制人員進(jìn)入場所的程序。
必須制定一個備份計(jì)劃，該計(jì)劃定義了訪問場所的程序以及緊急情況下的數(shù)據(jù)恢復(fù)。
必須仔細(xì)記錄物理設(shè)施的任何修改、更改和維護(hù)程序。

存儲控制
必須制定用于跟蹤 ePHI 最終位置的程序以及存儲它的硬件的處置過程。
必須設(shè)計(jì)從任何打算重復(fù)使用的設(shè)備中完全刪除 ePHI 的過程。
必須設(shè)置對負(fù)責(zé) ePHI 移動的每個人的跟蹤。
在任何搬遷之前，必須創(chuàng)建目標(biāo) ePHI 的準(zhǔn)確且完整的副本。

工作站
必須提供對所有工作站的物理訪問控制以僅允許授權(quán)用戶。
必須確定可以使用 ePHI 執(zhí)行的功能列表以及如何執(zhí)行這些功能。

什么被視為受保護(hù)的健康信息？

對于被歸類為 ePHI 的信息，它必須：

• 被存儲、記錄或轉(zhuǎn)移到涵蓋的實(shí)體

• 可識別個人身份

誰必須符合 HIPAA 標(biāo)準(zhǔn)？

如果公司涉及管理、使用、存儲或傳輸電子受保護(hù)健康信息 (ePHI)，則它必須符合 HIPAA。不這樣做會導(dǎo)致巨額罰款。因此，公司必須預(yù)先明確決定“接觸”ePHI 對他們的業(yè)務(wù)是否至關(guān)重要，或者他們是否可以在沒有它的情況下生存。

開發(fā)人員應(yīng)該做什么？

從上面的項(xiàng)目列表中可以看出，符合 HIPAA 標(biāo)準(zhǔn)的軟件開發(fā)并非易事。因此，應(yīng)仔細(xì)考慮決定進(jìn)行這項(xiàng)努力。可以采取三種可能的途徑：

1. 決定根本不處理 ePHI。無需 ePHI，無需遵守 HIPAA。沒有 HIPAA 合規(guī)性，沒有問題。

2. 自行開發(fā)符合 HIPAA 標(biāo)準(zhǔn)的軟件。一些要求非常簡單，并且在許多軟件解決方案中實(shí)現(xiàn)，而不管它們的預(yù)期用途如何。

3. 將成為 HIPAA 合規(guī)性的挑戰(zhàn)委托給有能力的第三方。通常，他們保證符合所有標(biāo)準(zhǔn)，因?yàn)檫@是他們的專長。

HIPAA 處罰制度

為了進(jìn)一步強(qiáng)調(diào)從上述三個選擇中選擇正確軌道的重要性，我們想談?wù)勛鲥e事情的后果——罰款和處罰。
不遵守 HIPAA 條款可能會造成巨大損失！單次違規(guī)的代價(jià)從 100 美元到 50,000 美元不等。違反一項(xiàng)規(guī)定的最高罰款為 150 萬美元！該數(shù)字與受違規(guī)影響的人數(shù)以及疏忽的程度成正比。
為了保持我們的銀行賬戶完好無損，我們需要了解可能導(dǎo)致違規(guī)的典型情況或條件，并采取相應(yīng)的行動。

違規(guī)來源

• 沒有加密或加密不佳——您希望 ePHI 始終使用高級加密算法進(jìn)行加密。如果持有 ePHI 的設(shè)備丟失或被盜，加密是防止不法分子訪問和使用數(shù)據(jù)的唯一措施。

• 便攜式設(shè)備——在移動時(shí)代，可以通過各種設(shè)備（筆記本電腦、平板電腦、智能手機(jī)）訪問 ePHI。然而，這些很容易丟失或被盜，因此將數(shù)據(jù)存儲在受保護(hù)的云或服務(wù)器中而不是設(shè)備本身是明智的。

• 人為因素——員工通常是安全系統(tǒng)中最薄弱的環(huán)節(jié)。違規(guī)可能是簡單的人為錯誤、疏忽或愚蠢造成的，但無論哪種方式，都必須通過定期培訓(xùn)和萬無一失的軟件來預(yù)防。

• 第三方——業(yè)務(wù)伙伴在超過三分之二的違規(guī)行為中“出名”。由于在大多數(shù)情況下，這些人不是醫(yī)療保健專業(yè)人員，他們可能很容易低估手中數(shù)據(jù)的重要性和敏感性，因此謹(jǐn)慎選擇業(yè)務(wù)合作伙伴并正確指導(dǎo)他們至關(guān)重要。

需要考慮的關(guān)鍵概念

• 一個常見的制造與購買困境也適用于構(gòu)建符合 HIPAA 標(biāo)準(zhǔn)的軟件。盡管實(shí)施某些保護(hù)措施可能是程序員的例行任務(wù)，但其他規(guī)定可能更加復(fù)雜并且需要成倍增加的資源。在這種情況下，外包選項(xiàng)值得評估。

• 有時(shí)可能難以識別您的軟件正在使用 ePHI，因此需要符合 HIPAA。很難預(yù)測該應(yīng)用程序可能具有的所有可能用途（其中許多是無意的）。

• 符合 HIPAA 標(biāo)準(zhǔn)的托管是擁有符合 HIPAA 標(biāo)準(zhǔn)的整體軟件解決方案的關(guān)鍵部分，因此請明智地選擇您的主機(jī)。

• 并非您的應(yīng)用程序使用的所有數(shù)據(jù)都必須存儲在符合 HIPAA 的主機(jī)上。只有 ePHI 對此很挑剔。其他數(shù)據(jù)可以使用更便宜的傳統(tǒng)托管形式。

• 安全不能過頭，所以除了托管公司提供的保護(hù)措施外，一定要保證網(wǎng)絡(luò)和應(yīng)用程序級別的保護(hù)。

• 是多余的。雖然乍一看這聽起來有悖常理，但這在未來可能會證明是一個挽救生命（和挽救企業(yè)）的決定。系統(tǒng)的關(guān)鍵節(jié)點(diǎn)（如 Web 服務(wù)器和數(shù)據(jù)庫服務(wù)器）必須有備份。

手機(jī)和可穿戴設(shè)備

即使是最便攜的設(shè)備現(xiàn)在也有能力攜帶高級軟件并在輕點(diǎn)幾下后執(zhí)行各種操作。由于功能正在以閃電般的速度擴(kuò)展，并且不存在嚴(yán)格的規(guī)定，因此重要的是要考慮使用 ePHI 等敏感數(shù)據(jù)時(shí)可能出現(xiàn)的復(fù)雜情況。

• 如前一節(jié)所述，通常很難預(yù)料用戶將如何使用您的應(yīng)用程序。請三思而后行，考慮將您的應(yīng)用程序中存儲的數(shù)據(jù)歸類為 ePHI 的任何可能性。

• 溝通。許多應(yīng)用程序允許您設(shè)置自動電子郵件或推送通知。這些默認(rèn)情況下很少是安全的，因此要么仔細(xì)分析可以通過此類通道發(fā)送的數(shù)據(jù)，要么設(shè)置可靠的加密算法。

• 如果您的應(yīng)用程序從涵蓋的實(shí)體服務(wù)器請求數(shù)據(jù)，則它必須符合 HIPAA。對于與另一個業(yè)務(wù)伙伴或涵蓋實(shí)體的任何其他類型的集成也是如此。

• 盡管軟件開發(fā)人員在移動設(shè)備物理丟失的情況下無能為力，但仍然可以采取一些措施。推薦安裝您的應(yīng)用程序的用戶使用密碼啟用鎖屏。您可能只建議做的另一件事是利用設(shè)備上的遠(yuǎn)程刪除功能——例如，這可能使用戶能夠使用筆記本電腦從丟失/被盜的小工具中刪除 ePHI。

• 越來越多的可穿戴設(shè)備在一定程度上扮演著醫(yī)療助理或教練的角色。請咨詢 FDA，了解醫(yī)療設(shè)備的分類標(biāo)準(zhǔn)是什么，以及您的應(yīng)用是否符合其中任何一項(xiàng)。

包起來

開發(fā)符合 HIPAA 標(biāo)準(zhǔn)的軟件應(yīng)用程序無疑是一項(xiàng)挑戰(zhàn)。它就像拼一個 3000 塊拼圖——涉及很多塊，而且其中許多塊是相互關(guān)聯(lián)的。每個錯誤的代價(jià)都很高，因此深思熟慮的計(jì)劃、深入的分析和完美的執(zhí)行至關(guān)重要。本文讓您大致了解需要什么以及有哪些選項(xiàng)。我們還建議閱讀有關(guān)此主題的案例并查看我們博客上的案例研究。