在互聯互通的時代，云計算正在改變醫務人員、護士和醫院為患者提供優質、經濟高效的服務的方式。1996年健康保險流通與責任法案（HIPAA）是美國頒布的一項法律，旨在保護患者醫療記錄和患者提供的健康相關信息（也稱為PHI（個人健康信息））的隱私。HIPAA 適用于“涵蓋實體”和“業務伙伴”，包括醫生、醫院、健康相關提供商、清算所和健康保險提供商。HIPAA也適用于國家/地區，所有提供與健康相關的服務或正在處理或存儲患者健康信息的公司。

對于在行業中工作的嵌入式工程師和專業人士來說，HIPAA 合規性處于最前沿。雖然公司繼續幫助構建抗擊COVID-19的技術，但這些法規在生產和部署過程中至關重要。

海帕要求

對于符合 HIPAA 要求的解決方案，每個訪問 PHI 的涵蓋實體和業務伙伴都必須確保技術、物理和管理保護措施到位并得到解決，這確保了 HIPAA 隱私規則保護 PHI 的完整性。如果發生任何違反 PHI 的行為，則解決方案將實施通知程序以通知違規行為（HIPAA 違規通知規則）。

在下面找到在設計符合 HIPAA 標準的云連接醫療保健解決方案時要滿足的 HIPAA 要求。

希帕安全規則

HIPAA 安全規則解決了必須作為保護措施來保護 REST 和傳輸中的數據所必須應用的標準。這適用于所有有權訪問機密患者數據的人員和系統。系統必須實現基于角色的訪問控制（RBAC），這有助于定義對訪問ePHI的不同實體的不同級別的訪問，如人類（研究人員，患者，醫生）或系統（智能設備，移動設備，平板電腦）。

技術安全衛士

技術保護側重于用于保護 ePHI 并提供對數據的訪問的技術。REST 和傳輸中的數據一旦超出組織的內部基礎結構，就必須按照 NIST 標準進行加密。這側重于以下參數。

物理保護

物理保護側重于對 ePHI 的物理訪問，而不考慮位置。ePHI可以存儲在HIPAA覆蓋實體的遠程位置或內部數據中心。在任何情況下，必須保護存儲 ePHI 的物理位置，并防止未經授權的訪問

行政保障

行政保護側重于將隱私規則和安全規則連接在一起的程序和政策。

隱私規則

HIPAA 隱私規則側重于應如何使用和披露 ePHI。該規則要求實施所有必要的保護措施來保護患者的個人信息。該規則賦予患者權力;知情權，獲取信息副本和共享信息的權利。

根據隱私規則，涵蓋的實體必須在 30 天內響應患者請求。

建議，

為員工提供培訓

確保采取適當的措施來維護 ePHI 的完整性

當他們的健康信息用于任何目的（如營銷，研究等）時，必須獲得患者的書面許可。

海帕違規通知規則

HIPAA 違規通知規則要求涵蓋的實體在其 ePHI 發生違規行為時通知患者。還應進一步通知衛生與公眾服務部（僅當違規行為影響超過500名患者時）。

通知通知應包括：

涉及的電子應用實例的類型

如果知道，請共享訪問 ePHI 的未經授權的人員的詳細信息

是否查看或獲取了 ePHI？

違規原因和風險緩解計劃

希帕綜合規則

HIPAA 綜合規則解決以前 HIPAA 更新中省略的區域。

它明確了HIPAA合規性清單的定義，澄清了為HIPAA合規性清單實施的程序和政策，以涵蓋業務伙伴和分包商。

它修訂了以下關鍵領域的HIPPA法規：

最終修正案，包括根據“經濟和臨床健康健康信息技術（HITECH）法”要求的處罰結構

更新傷害閾值，并包括HITECH法案下不安全受保護健康信息的違規通知規則

對HIPAA進行修改，以納入《遺傳信息非歧視法》（GINA）的規定，禁止為承保目的披露遺傳信息

防止將 ePHI 和個人標識符用于營銷目的

執行規則

HIPAA 執行規則涵蓋對違反 ePHI 的調查以及對違反 ePHI 負責的實體的處罰。根據 HIPAA 合規性清單，以下是處罰

？可歸咎于無知的違規行為可招致100-50，000美元的罰款

？盡管有合理的警惕而發生的違規行為可能會被處以1，000美元至50，000美元的罰款。

？因故意疏忽而造成的違規行為，如在三十天內得到糾正，將被處以10，000美元至50，000美元的罰款

？因故意疏忽而造成的違規行為，如未在三十天內得到糾正，最高罰款為50，000美元

海帕風險評估指南

以下是風險評估指南。

確定解決方案創建、接收、傳輸和存儲的 PHI

識別對 PHI 完整性的威脅 – 人為威脅，包括有意和無意的威脅

確定適當的措施，以防止對 PHI 完整性的威脅，以及“合理預期”發生違規的可能性

確定違規的影響，并根據分配的可能性和影響級別的平均值定義風險級別的潛在發生

隨后實施的措施，程序和政策的理由，以及所有政策文件必須保留至少六年

因此，為了符合 HIPAA 的任何醫療保健解決方案，應注意以下要求并將其集成到解決方案中：

確保保護措施，以保護物理和虛擬數據存儲和傳輸上的 PHI

通過適當的訪問控制限制信息的使用和訪問

制定適當的協議以涵蓋職能和活動。BAA 確保服務提供商使用和傳遞具有適當訪問權限的 PHI，并遵循定義的保護措施

定義培訓變更流程、訪問控制審批流程和管理流程

為員工設置有關 PHI 保護意識、安全性和過程說明的培訓計劃

在Covid19的這一困難時期，應通過在存儲患者診斷和重要數據的云中嚴格遵守HIPAA來對患者數據采取最謹慎的態度。

審核編輯：郭婷