Розробка програмного забезпечення тісно пов'язана з дотриманням законодавства конкретної країни. Недотримання закону може призвести до серйозних наслідків, включаючи штрафи та заборону на використання програмного забезпечення. Охорона здоров'я — це галузь, де використання програмного забезпечення регулюється на національному рівні. Кожна країна має свої регуляторні документи для розробки медичних цифрових рішень. Це, наприклад, HIPAA у США, GDPR в Європі, PIPEDA в Канаді тощо. Дотримання цих стандартів є важливим для успішної імплементації та обігу програмного забезпечення.
У цій статті ми проаналізуємо Закон США про переносимість і підзвітність медичного страхування (HIPAA) та вимоги до програмного забезпечення для відповідності HIPAA. Стаття буде корисною для розробників медичного програмного забезпечення для ринку США. Ми обговоримо:
— яку інформацію потрібно захищати відповідно до HIPAA;
— як саме HIPAA регулює захист даних;
— яке це має відношення до ІТ-компаній;
— які наслідки порушення HIPAA;
— як відповідати вимогам до програмного забезпечення для відповідності HIPAA;
— на які підводні камені слід звернути увагу при розробці рішень, що відповідають HIPAA;
— як вимоги безпеки програмного забезпечення HIPAA корелюють з європейським законодавством.
Ми також надамо вам список перевірки відповідності HIPAA для компаній у сфері інформаційних технологій.
Що таке HIPAA?
Закон про переносимість і підзвітність медичного страхування (HIPAA) вперше набрав чинності в 1996 році. Його завданням було модернізувати обіг медичних даних та захистити їх від шахрайства і крадіжок. Відтоді Закон зазнав низки змін. Закон HITECH, прийнятий у 2009 році, розширив регулювання HIPAA у сфері використання технологій.
Регулювання відповідності HIPAA складає набір регуляторних стандартів, які визначають законне використання захищеної медичної інформації (часто скорочено PHI). Компанії, які працюють з такою інформацією, повинні забезпечити, щоб чутливі дані пацієнтів не використовувалися неналежним чином. Вони повинні впроваджувати адміністративні, фізичні та технічні заходи безпеки, специфічні технічні політики та мережеву безпеку.
Адміністративні заходи безпеки — це адміністративні політики та процедури, пов'язані з процесом управління безпекою. Вони включають аналіз і управління ризиками, безпеку працівників, управління доступом до інформації та обізнаність про безпеку та навчання.
Фізичні заходи безпеки означають фізичні дії, які забезпечують обмеження доступу до приміщення. Таке обмеження встановлюється на передачу, утилізацію, видалення та повторне використання електронної захищеної медичної інформації (ePHI).
Технічні заходи безпеки включають найкращі практики для захисту даних і систем за допомогою технологій. Вони контролюють доступ до ePHI, так що лише авторизовані користувачі можуть працювати з чутливими даними пацієнтів. Технічні заходи безпеки включають шифрування мережі, контроль доступу, контроль аудитів активності, цілісність, аутентифікацію особи або суб'єкта та безпеку передачі.
Технічні політики включають контроль цілісності, відновлення після катастроф в ІТ та процедури резервного копіювання поза місцем знаходження. Вони забезпечують швидке усунення помилок або збоїв електронних носіїв та точне відновлення даних пацієнтів.
Безпека мережі стосується різних методів передачі даних через Інтернет або приватні мережі.
Яка інформація про здоров'я потребує захисту?
Захищена інформація про здоров'я (PHI) — це будь-яка демографічна інформація, яка може бути використана для ідентифікації особи. Вона включає будь-які структуровані та неструктуровані дані, такі як імена, адреси, електронні листи, номери телефонів, медичні записи, банківські рахунки, платіжна інформація, інформація про страхування, відео, аудіо чати, фотографії, скани тощо.
Оскільки сьогодні більшість операцій з даними пацієнтів комп'ютеризовані, використовується новий термін — електронна захищена інформація про здоров'я (ePHI). Загальні приклади застосування ePHI включають комп'ютеризовані системи введення замовлень лікарів (CPOE), електронні медичні записи (EHR), терапевтичні додатки та різні рішення телемедицини. Компанії включають ePHI, пов'язану з їхньою діяльністю, до своїх контрольних списків вимог дотримання HIPAA.
Як HIPAA регулює захист даних?
На даний момент HIPAA складається з набору правил, таких як Правило конфіденційності, Правило безпеки, Правило повідомлення про порушення, Загальне правило, Правило виконання, Правило мінімально необхідного доступу, Контроль доступу тощо. На основі цих правил постачальники формують свій контрольний список аудиту дотримання HIPAA, про який повинні знати розробники ІТ-рішень.
Правило конфіденційності HIPAA
Відоме також як «Стандарти конфіденційності індивідуально ідентифікованої інформації про здоров'я», це правило встановлює стандарти для прав пацієнтів щодо PHI. Вони включають право на доступ до PHI, право на отримання повідомлення про практики конфіденційності тощо. Ці стандарти також надають рекомендації щодо навчання з конфіденційності та запобігання корупції.
Правило безпеки HIPAA
Також відоме як «Стандарти безпеки для захисту електронної захищеної інформації про здоров'я», це правило встановлює стандарти для безпечного зберігання, передачі та обробки ePHI. Воно окреслює адміністративні, фізичні та технічні заходи безпеки, яким повинен відповідати будь-який постачальник медичних послуг. Правило безпеки HIPAA, особливо технічні заходи безпеки, зазначені в цьому правилі, мають велике значення для розробників програмного забезпечення.
Правило повідомлення про порушення HIPAA
Воно описує кроки, які компанії повинні виконати у разі порушення даних. Воно окреслює процес повідомлення та описує необхідні елементи повідомлення про порушення.
Загальне правило HIPAA
Воно окреслює правила для угод з бізнес-партнерами, контракти, які повинні бути укладені перед передачею даних.
Правило виконання HIPAA
Це правило регулює розслідування після порушення PHI та штрафи, накладені за порушення процедур безпеки.
Правило мінімально необхідного доступу
Це правило стверджує, що співробітники повинні мати доступ лише до мінімальної PHI, необхідної для виконання своїх службових обов'язків.
Що таке HIPAA і як це стосується ІТ-компаній?
Вимоги до безпеки даних HIPAA стосуються двох категорій організацій: покритих суб'єктів (до яких входять постачальники медичних послуг тощо) та ділових партнерів (організації або особи, які виступають у ролі постачальників або підрядників і в цій ролі мають доступ до PHI). Друга група складається з компаній, що займаються обробкою даних і зберіганням даних, постачальників передачі даних тощо. Якщо ваша компанія надає ІТ-послуги або розробляє програмне забезпечення, яке так чи інакше стосується PHI, вона також належить до групи ділових партнерів. Постачальник медичних послуг повинен укласти контракт «Діловий партнер» з вами, і ви також стаєте відповідальними за виконання вимог безпеки програмного забезпечення HIPAA.
Наслідки порушення HIPAA
Виконання вимог HIPAA є обов'язковим для всіх постачальників медичних послуг на території США. Будь-яке порушення норм HIPAA підлягає штрафам. Правило виконання HIPAA описує чотири рівні порушення норм, від ненавмисного порушення до навмисної недбалості, що не усунена протягом 30 днів. Штрафи варіюються від 100 до 50 000 доларів. Окрім грошових санкцій, порушення норм виконання HIPAA може мати значний негативний вплив на репутацію постачальника. Компанії, які порушують HIPAA, можуть зіткнутися з санкціями з боку професійних рад та кримінальними звинуваченнями, включаючи ув'язнення. Найпоширеніші порушення в сфері програмного забезпечення включають відсутність захисту записів пацієнтів, неможливість доступу до записів пацієнтів, неналежне використання та несанкціоноване розкриття PHI. Ви також можете скористатися звітом про відповідність HIPAA як орієнтиром.
Вимоги до відповідності HIPAA та розробка програмного забезпечення
Як ми вже зазначили, для ІТ-компаній, що спеціалізуються на розробці медичних цифрових рішень, відповідність HIPAA є критично важливою. Проте на початку може бути складно зрозуміти, як усі вищезгадані норми стосуються розробки програмного забезпечення. Отже, давайте «перекладемо» їх на програмні функції, які є обов'язковими для контрольного списку безпеки HIPAA.
Режим обробки документації
Документування кожного кроку є невід'ємною рутинною справою для медичних працівників. Ефективне програмне забезпечення спрощує обробку документації та забезпечує зберігання даних.
Використані аудити
Регулярні аудити є невід'ємною частиною роботи постачальників медичних послуг. Таким чином, медичні компанії потребують використаних аудитів, які допомагають аналізувати ризики та помилки в обробці даних. Регулювання HIPAA не визначає, які саме дані слід аудитувати або як часто має проводитися контроль аудиту. Тому покладайтеся на специфіку бізнесу клієнта як орієнтир.
План відновлення
Згідно з вимогами до відповідності HIPAA, кожен бізнес, що має справу з PHI, повинен мати план відновлення на випадок, якщо щось трапиться з даними пацієнтів. Він повинен охоплювати основні завдання щодо забезпечення даних, план запобігання ризикам безпеки та документацію про виконані та заплановані процедури безпеки.
Виконання вимог Omnibus Rule
У разі, якщо постачальник медичних послуг має підрядників, які управляють ePHI, програмне забезпечення компанії повинно бути здатним контролювати угоди, пов'язані з довіренням даних клієнтів діловим партнерам.
Безпека
Добре розроблене програмне забезпечення повинно запобігати витокам даних і створювати автоматизовані звіти у випадку небажаного втручання. Ключовим елементом безпечного управління медичними даними є шифрування даних. Для медичних рішень шифрування даних «в процесі передачі» і «в спокої» є хорошим варіантом, хоча деякі компанії розділяють дані на PHI та непоодинокі системи і застосовують вищі стандарти безпеки до перших.
Процедура екстреного доступу
Слід використовувати засоби для інформування персоналу та пацієнтів у разі загроз і надзвичайних ситуацій. Унікальна аутентифікація користувачів. Для програмного забезпечення, що відповідає вимогам HIPAA, настійно рекомендується багатофакторна аутентифікація (принаймні двофакторна). Краще, якщо система усуває можливість доступу до облікового запису з кількох місць або пристроїв одночасно.
Контроль доступу на основі ролей
Хоча спосіб виконання стандарту контролю доступу HIPAA не вказаний у документації, найпростіше відповідати вимогам безпеки даних HIPAA через контроль на основі ролей. Згідно з цим методом, роль кожного користувача дозволяє доступ лише до такої кількості даних, яка необхідна для виконання відповідних службових обов'язків.
Автоматичний вихід
Екран повинен автоматично виходити з системи, якщо він залишений без нагляду на певний період, щоб запобігти несанкціонованому доступу до даних. Краще, якщо ця функція реалізована в налаштуваннях конфігурації.
Комплексність рішення
Медичні рішення повинні бути комплексними і зручними для медичного персоналу. Це запобігатиме ненавмисним порушенням процедур безпеки та витокам даних.
Недоліки в розробці програмного забезпечення, що відповідає вимогам HIPAA
Виконання всіх вищезгаданих вимог до програмного забезпечення HIPAA є важливим кроком до розробки якісного програмного забезпечення. Проте, ви повинні зрозуміти, що просте впровадження цих функцій не обов'язково захистить вас і вашого клієнта від порушення HIPAA. Вам потрібно чітко пояснити клієнту, що при неналежному використанні в клінічних умовах рішення може не забезпечити дотримання регуляцій HIPAA, навіть якщо воно містить усі необхідні функції. Медичний персонал має бути проінструктований і навчений користуватися клінічним програмним забезпеченням. Також настійно рекомендується надійна та тривала технічна підтримка. Деякі експерти також попереджають про загрози безпеці, які можуть виникнути у випадку масштабування цифрових медичних рішень. Важливо враховувати вимоги HIPAA до серверів для зберігання інформації.
Наш досвід у дотриманні вимог безпеки програмного забезпечення HIPAA
Найбільшою проблемою для ІТ-компаній, що спеціалізуються на розробці програмного забезпечення для ринку США, є те, що немає сертифікації HIPAA від третьої сторони. Отже, на вас лежить відповідальність за перевірку, чи відповідають ваші продукти всім вимогам до програмного забезпечення HIPAA. Вивчивши регуляторні документи та досвід інших компаній, ми створили контрольний список для наших розробників з усіма необхідними функціями, які повинні містити медичні продукти. Ви знайдете його в кінці цієї статті. Проте не всі наші клієнти з США. Stfalcon.com медичні додатки та інші цифрові рішення також для Європи. Тому ми заглибилися в питання, щоб перевірити, чи є якісь суттєві відмінності в вимогах до захисту даних для медичного програмного забезпечення в США та Європі.
Регулювання програмного забезпечення в охороні здоров'я: HIPAA та європейські норми
Як ми вже згадували раніше, ви повинні враховувати регулювання HIPAA лише у випадку розробки цифрових рішень для США. Щоб покращити ясність, давайте подивимося, як це відповідає європейським стандартам. У Європейському Союзі захист даних забезпечується Загальним регламентом захисту даних (GDPR). GDPR охоплює всі дані, за якими можна ідентифікувати особу, безпосередньо чи опосередковано. Таким чином, GDPR охоплює більшу кількість даних у порівнянні з вимогами безпеки даних HIPAA, включаючи етнічне походження, релігійні переконання, сексуальну орієнтацію тощо. Що стосується медичних даних, GDPR та HIPAA є подібними, хоча HIPAA в основному зосереджена на організаціях, які обробляють PHI у США, GDPR має набагато ширший обсяг охоплення та захищає особисті дані громадян Європи не лише на території ЄС, а й в інших місцях. Це, до речі, важливе поняття для американських медичних організацій, які обробляють інформацію пацієнтів з ЄС. Чи накладає це додаткові вимоги на розробку програмного забезпечення в Європі в порівнянні зі США? Дійсно, так. Розгляньте, наприклад, такі цікаві обов'язкові функції, як псевдонімізація за замовчуванням або право на забуття. Але це вже хороша тема для іншої статті. Поки що буде достатньо зрозуміти, що в різних країнах існують різні законодавства, що перетинаються з розробкою програмного забезпечення.
Отримайте цінні знання про критично важливі сфери захисту даних, прочитавши наш блог, Порівняльний аналіз регуляцій GDPR та HIPAA, де ми розглядаємо ці два важливі регуляторні рамки.
Список перевірки відповідності HIPAA для розробників
Отже, ось список перевірки безпеки даних HIPAA, який ми використовуємо у нашій практиці. Він містить такі функції:
- Чи застосовується унікальна аутентифікація користувачів для відстеження активності користувачів з PHI?
- Чи обмежує режим контролю доступу доступ користувачів до PHI, який їм не потрібен для виконання їхніх службових обов'язків?
- Чи є план відновлення і чи передбачає він можливі інциденти?
- Чи забезпечує режим екстреного доступу відповідний доступ до ePHI у випадку надзвичайної ситуації?
- Чи функціонують журнали активності та аудиторські контролі належним чином і відповідають специфіці робочого процесу клієнта?
- Чи має рішення функцію автоматичного виходу?
- Чи забезпечується цілісність даних?
- Які механізми шифрування та дешифрування даних застосовуються? Чи є вони актуальними?
- Чи можна легко відновити дані? Як організовано резервне копіювання даних?
Підсумок
Розробка надійних рішень у сфері охорони здоров'я, що відповідають національним регуляціям, є непростим завданням. Необхідно враховувати різні вимоги та особливості. Використовуйте наш список перевірки безпеки даних HIPAA, щоб переконатися, що ваше рішення містить усі необхідні елементи для відповідності HIPAA.Зв'яжіться зі спеціалістами Stfalcon.com, щоб отримати більше інформації про те, як створити надійне та прибуткове програмне забезпечення в охороні здоров'я. Ми готові сприяти розробці вашого наступного медичного цифрового рішення, що відповідає HIPAA.
