什么是HIPAA合规性？

在过去的几年里，医院、诊所和其他卫生组织在采用云计算方面经历了一段坎坷的道路。使用公共云或与第三方服务提供商合作的隐含安全风险大大延迟了医疗保健行业对云的采用。即使在今天，当 84% 的医疗保健组织使用云服务时，选择合适的符合 HIPAA 标准的云提供商的问题仍然是一个令人头疼的问题。其客户数据存储在美国的所有医疗保健提供者都受一系列称为 HIPAA 合规性的法规的约束。如今，任何处理机密患者数据的组织都需要遵守 HIPAA 存储要求。

什么是 HIPAA 合规性？

HIPAA 标准提供对健康数据的保护。与医疗保健组织或处理健康档案的企业合作的任何供应商都必须遵守 HIPAA 隐私规则。如果可以访问医疗和患者数据，还有许多辅助行业必须遵守指南。这就是符合 HIPPA 标准的云存储发挥重要作用的地方。

1996 年，“美国卫生与公众服务部 (“HHS”) 发布了隐私规则，以实施 1996 年《健康保险流通与责任法案》 (HIPAA) 的要求。” 隐私规则涉及患者的“受保护的电子健康信息”以及受隐私规则约束的组织或“HIPAA 涵盖的实体”必须如何遵守。

大多数医疗机构使用某种形式的电子设备来提供医疗服务。这意味着信息不再存在于纸质图表上，而是存在于计算机或云中。与一般企业或大多数商业实体不同，医疗机构在法律上有义务采用最可靠的数据备份做法。

那么，这将如何影响他们对云提供商的选择呢？

在计划向云计算迁移时，医疗保健机构需要确保其供应商满足特定的安全标准。这些标准转化为公司必须满足和保持的要求和阈值，才能为 HIPAA 做好准备。这些归结为一组认证、 SOC 审计和报告、加密级别和物理安全功能。HIPAA 云存储解决方案应该使合规变得简单明了。这样，医疗保健组织就少了一件需要担心的事情，并且可以专注于改进他们的关键流程。

HIPAA 云存储和数据备份要求

与根据 HIPAA-HITECH 法案规则运营的公司开展业务的云服务提供商被视为业务伙伴。因此，它必须表明它符合云合规标准并遵循任何相关标准。尽管供应商不直接处理患者信息，但它确实接收、管理和存储受保护的健康信息 (PHI)。仅这一事实就使他们有责任根据 HIPAA-HITECH 法案指南对其进行保护。

符合 HIPAA 意味着执行该法案提出的所有规则和条例。任何提供受该法案约束的服务的供应商都必须提供文件作为其符合性的证明。该文件不仅需要发送给他们的客户，还需要发送给民权办公室 (OCR)。OCR 是美国教育部的下属机构，旨在促进平等获得医疗保健和人类服务计划。

希望与 符合 HIPAA 的云存储 提供商合作的医疗保健行业组织应要求提供合规证明以保护自己。如果提供商遵循所有标准，它应该不会对与您共享适当的文档感到不安。

云托管组织的 HIPAA 要求与业务伙伴的要求相同。它们分为三个不同的类别：行政、物理和技术保障。

• 行政保障措施： 这些类型的保障措施是透明的政策，从运营的角度概述了企业将如何遵守。这些操作可以包括 管理安全风险评估、适当的程序、灾难和紧急响应以及管理密码。
• 物理保障： 物理保障通常是用于保护客户数据的系统。它们可能包括数据中心的适当存储、数据备份和适当的媒体处置。硬件或软件存储设备所在设施的重要安全预防措施也属于此类。
• 技术保障： 这组保障是指为最大限度地降低数据风险和最大限度地保护而实施的技术功能。要求唯一的登录信息、自动注销策略和 PHI 访问身份验证只是应采​​取的一些技术保障措施。

是什么让 HIPAA 认证的云提供商合规？

提供符合 HIPAA 标准的文件存储硬件或软件并不像拨动开关那么简单。一家公司要合规需要花费大量的时间和精力。在 HIPAA 认证的云存储提供商中寻找的关键要素是其是否愿意签订商业伙伴协议。该协议被称为 BAA，由计划传输、处理或接收 PHI 的两方完成。其主要目的是保护双方免受任何导致滥用受保护健康信息的法律影响。

商业伙伴协议 BAA 不得增加、减少或与 HIPAA 的整体标准相抵触。但是，如果双方同意，补充特定术语是可以接受的。还有一些核心条款构成了合规的业务伙伴协议的基础，并且必须保留，以使合同被视为具有法律约束力。

云提供商启用的加密级别需要适当注意。公司不仅要加密传输中的文件，还要加密静态文件。高级加密标准 (AES) 是用于文件存储和共享的最低加密级别。AES 是数据加密标准 (DES) 的继承者，由美国国家标准与技术研究院 (NIST) 于 1997 年开发。它是一种先进的加密算法，可针对不同的安全事件提供更好的防御。

选择合规的云存储供应商

选择符合 HIPAA 标准的提供商时，请寻找 符合上一节所述措施的HIPAA 虚拟主机。确保向他们询问他们的数据存储安全实践，以了解您的 PHI 数据的安全性。

潜在供应商是否提供服务水平协议？

SLA 合同指明了对威胁的保证响应时间，通常在 24 小时内。作为传输 PHI 的公司，您需要知道提供商在发生事件时可以多快通知您。您收到违规通知的速度越快，您的响应效率就越高。不要忘记，基于云的电子病历存储应该在一个安全的数据中心。

发生事故时有哪些安全措施？如何确定对设施的访问？询问他们如何实施和实施物理安全的详细概述。检查他们在发生数据泄露时如何响应。确保在将数据置于风险之前获得所有相关详细信息。

您选择的供应商还应制定 灾难恢复和连续性计划。连续性计划将预测由于自然灾害、数据泄露和其他不可预见事件造成的损失。如果或当此类事件发生时，它还将提供必要的流程和程序。关于 数据丢失预防最佳实践，还必须确定所提议的方法多久进行一次严格测试。

医疗保健病历安全——我怎么能确定？

认真对待合规性的云提供商将确保他们的认证是最新的。有几种方法可以检查它们是否符合标准和相关规定。一种方法是使用独立方审核您的潜在供应商。审计会引起您的注意并揭示供应商的安全策略。医疗记录提供商的云存储必须定期审核他们的系统和环境，以确保威胁保持合规。该法案未对“定期”一词进行定义，因此必须至少每季度索取一次文件和信息。您还应该确保您可以经常访问详细说明最近审计的报告和文档。

确定公司是否合规的另一种方法是评估其员工的资格。所有员工都需要接受最新标准的教育，并熟悉具体的保障措施。只有有了这些，组织才能实现合规。

向您的潜在供应商提出棘手的问题。任何有权访问 PHI 的人都需要接受有关安全数据传输方法的适当培训。培训需要包括对患者信息进行安全加密的能力，无论这些信息存储在何处。

符合 HIPAA 的公司不会要求您提供后门来访问您的数据或允许绕过您的访问管理协议。这些供应商认识到需要额外的身份验证或访问点的风险。破坏对身份验证协议和密码要求的访问是一种严重的违规行为，绝不应该发生。

云备份和存储常见问题

询问潜在的云供应商他们使用哪种方法来评估您的 HIPAA 合规性。是否可以使用 HIPAA 策略模板？提供商是否提供有关合规性的指导和反馈？他们如何确保您了解最新的安全规则和法规？他们提供符合 HIPAA 标准的电子邮件吗？

公司有全职员工吗？

现场存在并全天候可用是一种确保高级安全性的机制。可用的代表使 PHI 安全性更加可靠，并保证在需要时快速响应。知道负责您的数据保护的公司完全精通所需的标准，这也让您高枕无忧。

合适的提供商还应该快速适应变化，并通知您任何直接影响您的 PHI 或您访问它的事情。

数据删除是选择合适的 HIPAA 业务伙伴的关键组成部分。在清除之前，信息会保留多长时间？ 当服务器停止使用或被删除时，如何 防止数据泄露？数据是否在删除前提供给您？该法案没有提供有关所需时间长度的指南，但这是您和您的提供者必须共同达成的协议。

除了您的知识之外，还要确定您的潜在供应商对 HIPAA 法规的熟悉程度。云公司通常无法遵循最新的法规变化，您必须寻找始终如一的奉献精神。货比三家。不要满足于第一句话。许多公司吹捧他们的 HIPAA 安全性，却发现他们达不到标准。做你的研究，提出问题，并确定哪个供应商最适合你的需求。