在医疗保健领域，遵守数据法规是生死攸关的事情。滥用患者数据会导致道德冲突，损害机构声誉，甚至影响诊疗。如果您正在构建医疗保健解决方案或在与健康相关的组织中工作，您需要特别注意存储实践。

本文将分享我们选择HIPAA云存储的经验，并讨论它是否符合健康保险流通和责任法案(HIPAA)。我们将了解现有提供商如何遵守官方建议，并检查典型风险。

HIPAA是什么？

这是一项保护卫生工作者和患者的法案，尤其是他们的私人数据和电子记录。该法案由五部分组成:

第一个标题保护卫生工作者，如果他们失去工作，他们会为他们提供保险；第二个标题建立了医疗保健提供者、保险公司和雇主之间电子交易的国家标准；医疗支出实体的第三类税收要求；第四个标题包括公共团体健康计划的指导方针；第五条规定了公司向员工提供的保险。

这是所有医疗机构和专业人员必备的文件。出于数据管理的目的，本组织提及第二个标题，该标题规定了处理电子记录的规则。

HIPAA的基本条款

电子健康记录(EHR)是医疗机构生成的数字记录，用于描述病史、治疗、实验室结果、人口统计数据和个人信息。

健康信息:医疗保健提供者和雇主收集的各种数据，这些数据与患者的病史、健康状况和人口统计数据有关。

HIPAA审核—验证公司是否符合HIPAA要求的过程。公司指定一个团队范例来检查当前的政策和执行机制。检查医疗保健公司中员工和患者之间的沟通、存储电子健康记录的规则以及危机管理实践。

基本ePHI系统—负责创建、访问和管理ePHI的系统。一个系统可以被一个用户或一群人使用。

应急计划(CP)——当系统受损时，组织团队采取的一系列行动。应急计划涉及处理安全漏洞、组织危机和灾难的关键资源和机制。

HIPAA合规云的要求

符合HIPAA标准的存储必须符合有关病历安全和安全策略实施的特定要求。为您的医疗保健平台选择存储选项时，第一步是检查HIPAA保护措施，并将它们集成到架构中。

技术支持

从技术角度来看，HIPAA合规性始于安全架构。根据官方文件和最佳实践，遵循领先的医疗机构，我们可以将这些标准汇总到HIPAA合规性数据库列表中。

安全传输:符合HIPAA的系统必须确保在组织内的多个用户之间安全、方便地传输患者记录。该系统应防止恶意访问数据的企图，并确保每个人都本着诚信行事。

受控访问:在医疗保健平台中，需要严格的数据可用性管理机制。所有用户必须知道他们的访问权限，如果这些权限被破坏，他们必须更改指定的权限。

系统完整性:每个符合HIPAA的系统都应该有一个系统来禁止篡改数据的企图。提供者应该有一个编辑和删除任何患者和员工记录的政策，并通过技术机制强制执行。

技术支持描述了软件系统的标准。软件架构师、开发人员和安全工程师应该预测可能的威胁，并开发最有可能的用例。对于HIPAA合规性，重要的是避免对用户行为和见解做出草率的假设-如果有的话，最好是谨慎的。这就是为什么需要大量的分析、研究和竞争对手分析来实现这些保护措施。

实物保护

除了保证软件的安全性，控制硬件同样重要。通过直接控制设备，网络罪犯可以访问数字平台，并使用硬盘存储患者数据。即使你依赖云进行ePHI存储，保护硬件仍然是重中之重。

设备保护:整个机构的工作站组织要符合HIPAA，接受网络安全专家的监管。存放服务器和电脑的房间应该有自己特定的访问规则。如果保护被破坏，团队应该启动应急计划。

访问设施:数据中心只能由授权人员使用。

行政担保

数据管理通常是HIPAA合规性的薄弱环节。当您考虑存储时，您应该检查该平台提供了哪些管理功能。因此，我们编制了一份关键预防措施清单。

评估:符合HIPAA的云托管提供商应该对符合HIPAA的存储开放。供应商应该参与协商，帮助你制定管理计划。

员工管理和培训:供应商应该为你提供他们的知识库。如果他们之前与医疗保健提供商合作过，他们很可能已经在HIPAA条款中解释了云功能。这就是我们鼓励客户使用具有悠久HIPAA合规传统的成熟存储的原因。

数据访问管理:每个组织都有单独的数据访问和质量管理计划。供应商可以帮助您开始使用官方教程和文档，但最终，您的团队应该独立设置工作流。与软件开发人员和网络安全人员会面，讨论系统的潜在漏洞是一个很好的起点。没有一个卫生保健系统是完美的——重要的是要知道可能存在的弱点——并为这些弱点设计保护机制。

预测危机和损害。该团队应与云提供商合作，检查常见的威胁，并针对每种威胁制定详细的工作流程。

满足HIPAA保护措施的过程是双重的。一方面，供应商团队负责为您的团队提供专门适用于其基础设施的官方文档、教程和最佳实践。另一方面，团队必须使这些材料适应他们的架构和工作流程。

HIPAA数据可以存储在云端吗？

根据HIPAA官方指南，医疗机构可以使用符合HIPAA的云存储进行ePHI处理。只要你保证你选择的供应商符合HIPAA，就不会有法律问题。

与云提供商合作的要求

云服务提供商(CSP)应提供进行风险分析和建立独立风险管理政策的可能性。换句话说，它应该对安全审计和协作开放，尤其是信息交换。

两个参与者保证对创建和存储的ePHI的完整性和安全性负责。这些条件通常在具体的协议中签署。如果没有这样的文档，云提供商可能会选择拒绝承担数据完整性的责任——这种做法将在安全危机期间危及公司。

符合HIPAA的服务水平协议应规定确保系统可用性的条件、数据备份实践、合作后向客户返回数据的方式、信息传输方法以及维护安全的责任主体。

即使云公司只存储加密文件，不收取解密费用，他们仍然有责任遵守HIPAA。如果出现安全漏洞，团队将与医疗机构一起承担责任。

根据HIPAA，加密本身并不被认为是一种稳定的保护措施。一方面，它不能确保数据的完整性——即使加密的文件也可能被恶意软件破坏或被未经授权的个人使用。

医疗保健机构和云提供商之间的所有合作都应该被忽略——提供商无法洞察健康记录。

然而，即使组织选择了云提供商，团队也不能转移数据安全的责任。大多数合同协议包含双重保证——供应商和机构应遵守严格的安全惯例。如果医疗机构没有做到这一点，违规的责任将全部分配给团队。

最佳HIPAA兼容云提供商

云供应商没有HIPAA合规认证。证明供应商可靠性的唯一方法是核实评论、科学出版物和参考供应商的官方资源。作为一个企业开发团队，我们经常将客户与可靠的云供应商联系起来——所以这是我们对最可靠供应商的看法。

AWS云

AWS官方文件保证该服务完全符合HIPAA和其他医疗保健数据安全法规。要实现HIPAA所需的设置，用户可以部署快速启动—一种部署安全、HIPAA兼容环境的功能。

您可以获得提供数据结构并解释信息管理过程的体系结构图。

快速入门有CloudFor***tion模板，可以为所有AWS资源提供结构化框架。

AWS基础设施受严格的安全标准监管，客户可以实时更新安全控制。

Dropbox

Dropbox Business满足HIPAA要求，并提供法律文档来扩展云安全。美国客户可以签署商业合作协议，以确保符合HIPAA的合作条款，并延长担保。

Dropbox符合HIPAA标准吗？是的，Dropbox业务功能允许医疗机构:

配置权限:功能包括严格的访问过滤和灵活的权限控制系统。

永久删除:Dropbox提供了无限期删除所有健康记录的可能性。

监控帐户活动:企业获得关于其安全控制的实时更新。

安全的第三方集成:如果医疗机构希望集成其他服务(如SaaS)，Dropbox将提供验证其安全合规性的工具。

谷歌云

谷歌云与HIPAA协议高度兼容——供应商提供丰富的附加功能来管理电子健康记录，并为建立安全最佳实践提供详细的指导。具体来说，可用服务列表包括访问管理功能、人工智能平台、自然语言处理和翻译功能、云任务、视频目录等。

要签署业务合作伙伴协议，医疗保健组织应表明其愿意实施推荐的安全实践:

IAM安全性:医疗团队完全负责查看和管理数据。供应商不与健康记录互动。

设置:如果业务合作伙伴已经在他们周围设置了加密系统，那么谷歌云假设他们应该合作。为了避免加密的危险，与大多数云提供商一样，谷歌云不会对其侧的数据进行加密。

检查审计日志。GCP将为团队提供安全日志，您的团队应该定期检查这些日志。在条款和条件中规定。

元数据管理实践:文件的描述和标题不应包含来自记录本身的任何个人数据。

微软网盘同步工具

Microsoft One Drive与HIPAA法规兼容，并允许其所有HIPAA客户签署业务合作协议。但是，合同不会个性化。医疗保健公司为保护数据而创建的内部文档，因为微软在所有情况下都使用标准协议格式。

整个OneDrive符合HIPAA标准；但是，供应商没有为创建日益安全的基础设施提供设计良好的模板。用户存储微软云服务只是为了存储数据，并对其安全性和完整性负全责。

Microsoft通过提供详细的官方指南来帮助实现HIPAA合规性。

Azure、Dynamics和Office 365 HIPAA合规性实施指南。本指南详细介绍了在微软生态系统中建立安全数据架构并确保HIPAA合规性的分步流程。

使用Azure设计医疗保健系统的实用指南。如果您正在构建一个医疗保健解决方案，在设计信息架构之前，您可能需要参考本文档。本文件为在系统开发和使用过程中处理医疗保健信息提供了实用指南。

Microsoft Cloud中的HIPAA安全和隐私要求:Office 365 HIPAA合规性和满足这些要求的最佳实践的完整概述。

碳质***

云平台强调高效的数据备份和数据丢失保护，是符合HIPAA标准的最实惠的云解决方案之一。该平台通常由小型医疗保健企业和平台使用。这种符合HIPAA的云备份生态系统不像亚马逊、谷歌或微软的云那样通用，因此非常适合小型企业。

建立安全工作流程的责任在于医疗机构，然而，Carbonite团队提供了额外的工具和保证:

备份和灾难恢复:高效的应急计划和数据恢复系统是HIPAA合规性的基石。Carbonite有一个简单的算法，可以在病毒攻击、服务器故障、删除或灾难后自动备份数据和恢复记录。

所有备份文件都是加密的。要访问Carbonite网站上的加密，用户应该升级他们的计划，以备份Pro和安全服务器备份功能。

与其他严格的数据法规兼容。与HIPAA一起，该软件也与马萨诸塞州数据安全合规性兼容–这是最严格的数据隐私法之一。

现在怎么办:按照HIPAA开始合作

与供应商签署商业伙伴协议。协议要求云服务对违规行为负责。

确定云提供商的访问权限。最好选择不出现的协作，把管理工作全部交给你的团队。这也意味着您必须投入更多的工作来保护基础架构，但从长远来看，这将带来独立性。

评估自我供应商的合规性。研究哪些医疗机构正在与您选择的供应商合作，以研究风险和过去的违规行为。

与业务合作伙伴的安全专家交流。您的供应商应该乐于提出建议，帮助您建立符合HIPAA的做法。

确保供应商为您提供了使用符合HIPAA的数据库的详细指南和政策。他们的安全愿景不应与您组织的实践相冲突。

检查他们的HIPAA训练。他们的团队如何根据HIPAA法规接受工作培训？团队中谁负责管理医疗保健公司？

验证供应商的安全保护措施。他们的服务器应该位于一个受到良好保护的国家，并受到持续监控。物理服务器和硬件应符合最新的安全标准。

检查他们的应急计划。供应商需要为您提供针对每种安全威胁的详细行动计划。

确保你的供应商财务稳定，没有停电和信息删除的历史。

每个协议必须有一个条款，描述终止合作和检索您的数据的条件。

结论

将云存储用于医疗保健数据有许多优势。主要是，它允许团队转移云服务提供商的责任。实际上，该组织只负责几台设备，而不必维护自己的服务器空机房。因此，责任范围缩小了，潜在风险和随后的声誉损害也减少了。

但是，选择合适的供应商是一项长期投资，它决定了你组织的安全性。不幸的是，并不是所有的提供商对他们的HIPAA合规实践都同样透明。同样，并非所有提供商都为其HIPAA数据存储提供个性化的入职流程。您将管理自己的数据创建和管理——即使在获得一个昂贵的计划之后。

为了最大限度地降低成本，增加收入，我们建议仔细研究云提供商。对于一些机构来说。完整的基础设施如AWS或谷歌云将是最佳选择，但对于小企业来说，财务承诺可能难以承受。因此，您需要评估您组织的需求和预算，并找到报价符合这些要求的供应商。