在互聯時代，云計算正在改變醫務人員、護士和醫院為患者提供優質、經濟高效的服務的方式。1996 年健康保險流通與責任法案 （HIPAA） 是美國發布的一項法律，旨在保護患者醫療記錄和患者提供/提供給患者的健康相關信息（也稱為 PHI（個人健康信息））的隱私。HIPAA 適用于“涵蓋實體”和“商業伙伴”，包括醫生、醫院、健康相關提供商、清算所和健康保險提供商。HIPAA也適用于提供健康相關服務或處理或存儲患者健康信息的國家/地區，所有公司。

HIPAA 要求

對于符合 HIPAA 的解決方案，訪問 PHI 的每個涵蓋實體和業務伙伴都必須確保技術、物理和管理保護措施到位并得到解決，從而確保 HIPAA 隱私規則保護 PHI 的完整性。如果發生任何違反 PHI 的行為，則解決方案將實施通知過程來通知違規行為（HIPAA 違規通知規則）。

在設計符合 HIPAA 標準的云連接醫療保健解決方案時，請滿足以下 HIPAA 要求。

HIPAA 安全規則

HIPAA 安全規則解決了必須應用的標準，這些標準是保護 REST 和傳輸中的數據的保護措施。這適用于所有有權訪問機密患者數據的人員和系統。系統必須實現 RBAC（基于角色的訪問控制），這有助于定義對訪問 ePHI 的不同實體的不同訪問級別，如人類（研究人員、患者、醫生）或系統（智能設備、移動設備、平板電腦）。

技術保障：

技術保護措施側重于用于保護 ePHI 并提供對數據的訪問的技術。REST 和傳輸中的數據一旦超出組織的內部基礎結構，就必須按照 NIST 標準進行加密。這側重于以下參數。

物理保護

物理防護側重于對 ePHI 的物理訪問，無論其位置如何。ePHI 可以存儲在 HIPAA 覆蓋實體的遠程位置或本地數據中心。在任何情況下，存儲 ePHI 的物理位置都必須受到保護，并防止未經授權的訪問。

行政保障

管理保障側重于將隱私規則和安全規則連接在一起的過程和策略。

HIPAA 隱私規則

HIPAA 隱私規則側重于應如何使用和披露 ePHI。該規則要求實施所有必要的保護措施以保護患者的個人信息。該規則賦予患者權力——知情權、獲取信息副本和共享信息的權利。

審核編輯：郭婷