A program called MyHealthEData 揭幕 in 2018. Through this program, the US Centers for Medicare & 医疗补助服务(CMS)正在推动采用IT环境,以便更简单地与外部组织共享健康数据, as well as better access. CMS还将允许医疗受益人更容易地获取索赔数据.
虽然MyHealthEData是一个相当新的程序,但它的目标并非如此. Issues of access and interoperability are central to healthcare 安全 和管理. 这一倡议是更广泛的文化和技术时刻的一部分, 在这种情况下,越来越多的人希望将患者分享给第三方应用程序, 同时加强关于在任何地方提供患者治疗的历史健康数据的讨论. This strategy could become critical for public health, 将病人与可能对他们最有效的健康治疗联系起来. 去识别的患者数据可以成为改善护理的有力手段, but the threats related to big data are manifold.
在这种气候下, 重要的是要考虑为保护HIPAA数据而应该采取的保护措施, both today and in the future.
Patient safeguards for today
A 报告 published in 2017 by the Journal of Medical Systems 回顾了研究文章中推荐的最常见的HIPAA遵从性安全方法. 下面, 这些方法是根据安全规则(技术)规定的三种类型的保护来组织的, 物理, and administrative safeguards.
Technical safeguards:
- Access controls to prevent unauthorized access;
- User IDs and passwords;
- Simple passwords for backup systems;
- Personal and role-based authentication;
- 使用假名;
- 防火墙;
- Antivirus software;
- 移动代理;
- Encryption through cryptography (digital certificates, digital signatures, and encryption algorithms);
- RBAC Matrix cryptography protocol;
- Decryption and verification;
- 数据丢弃;
- Authenticated assertion issuances;
- 符合ANSI/AAMI/IEC TIR80001-2-1:2012和类似风险管理标准的数据传输;
- 基于隐私增强技术(PET)的传真传输加密
- Cloud computing (hybrid cloud integration); and
- Use of short-range wireless (Bluetooth).
Physical safeguards:
- Locks on laptops;
- 物理访问控制,包括网络服务器的锁定空间;
- Tamper-proof equipment;
- Security cameras; and
- Radio Frequency Identification (RFID).
Administrative safeguards:
- 全面的员工培训计划(包含游戏教育), including regarding disaster recovery, response training for missing records, 防止通过电子邮件泄露未经授权的患者记录;
- 完整的安全计划,包括监控和测试实践;
- Annual risk assessments;
- Hiring a Chief Information Security Officer (CISO);
- Hiring HIPAA consultants;
- 管理者对任何纸质患者数据发布的审批政策;
- 禁止无线设备用于PHI存储或传输的要求;
- 关于如何以符合hipaa的方式使用社交媒体的政策;
- Deidentification of research samples;
- Prevention of offsite ePHI transfer;
- Mitigation of alert fatigue;
- 日常备份;
- Generators for downtime prevention;
- Duplication of key hardware;
- 任何订单都要求计算机化供应商订单输入(CPOE);
- Restrictions on the interaction of ancillary systems, such as pharmacy management, with mission-critical environments;
- 培养安全文化,养成良好的使用电脑习惯;
- Digital signatures for any of the organization’s documents; and
- 与所有云和其他第三方的业务关联协议.
Patient safeguards for tomorrow
维护 HIPAA合规 鉴于不断变化的威胁和技术环境,需要采取合理和适当的措施. 遵从HIPAA的方法将越来越多地用于未来的HIPAA遵从性组织 包括 advanced analytics, custom 安全 infrastructure, Gartner持续风险与信任评估方法(CARTA), 和区块链, 等.
超越技术和方法的选择,这是最新提供给你的, 考虑病人的行为和期望是如何演变的也很重要. Patients have the right to their own ePHI at any time. That means they can copy their information, even from your computer screen, without signing an authorization. 一旦他们的epphi在他们手中,病人有责任保护它. 提供商担心,他们可能会被期望保护他们无法控制的信息. 医生也很担心,因为他们传统上负责卫生信息, 但是今天, patients often want control, 也就是说他们需要查看他们的全部记录.
正如ISACA成员和健康技术作家所指出的那样 苏珊Snedaker研究表明,参与和知情的患者有更好的结果.既然是这样,你就想提供这种访问.
对患者记录的更广泛访问和环境的多样化当然是HIPAA遵从性的挑战, 虽然, 正如7月份的一项研究所表明的那样,该研究强调了HIPAA范围的局限性. 的 分析, written by attorneys Glenn Cohen and Michelle M. 成熟,Ph值.D., 发现该法律针对的是传统环境和互动——仅涵盖了所有数字健康数据的一小部分. 与医疗保健相关的其他关键数据可通过搜索引擎获得, 超市, and credit card firms. 人们可以通过数据推断一个人患病的例子包括药店的非处方购买数据, user-generated posts on social media, and purchase data from online stores.
在线收集和交易的此类数据的数量呈指数级增长,最终可能比个人的医疗记录更准确地预测健康状况,” noted Cohen and Mellow.
Given how powerful this data is, 遵从最终可能会转向纳入医疗保健法规定的其他形式的信息.
Internal and external compliance
今天,组织需要采取广泛的步骤来保护其ePHI. 随着安全技术和威胁环境的不断适应, the specific methods will change. However, a core concern with and focus on 安全 是否仍将是认真对待HIPAA合规性的组织的文化核心.
这不仅仅是关于组织内部发生的事情,还包括管理与供应商的关系. 确保您的业务伙伴今天和明天都做好了遵守法规的准备, 正如强有力的商业伙伴协议所表明的那样,表明他们了解这项法律并承诺遵守其规定.
