如何制作符合HIPAA标准的应用

通过
如何使应用程序hipaa兼容

在符合HIPAA标准的应用程序开发过程中,必须遵守与健康信息隐私或符合HIPAA标准有关的法律。

如果你违反了HIPAA的指导方针,你就会被直接推到民权办公室的门户网站上,你的医疗保健业务或组织的名字也会被永久地印在他们的耻辱墙上。

虽然名誉受损和负面新闻会产生负面影响,但这些违规行为对金钱的影响也是巨大的。

2019年10月,OCR对杰克逊卫生系统违反HIPAA的行为处以215万美元的民事罚款。

Touchstone医疗成像公司同意支付300万美元给美国卫生与公众服务部民权办公室,以解决医疗成像公司违反了HIPAA安全规则

这些处罚数字很吓人,但值得注意。

《健康保险可携性和责任法案》(HIPAA)是这项业务的监管者。1996年颁布的这项法律旨在限制那些“需要知道”的人获得可识别个人身份的医疗保健信息。

受HIPAA保护的健康信息称为“受保护健康信息”(PHI)。

不同的应用程序将要求不同程度的HIPAA合规,这取决于它们持有和共享的数据类型。不过,并不是所有的应用程序都必须符合HIPAA标准。

这四个问题将帮助你决定如何使应用程序HIPAA兼容

相关阅读:

1 .什么类型的应用需要遵守HIPAA ?

许多应用程序收集用户信息,但并不是所有的应用程序都与内部或外部共享这些信息。您应该知道您是在处理受保护的健康信息(PHI)还是消费者健康信息。

了解您是否需要遵守HIPAA的简单规则是区分收集信息和共享信息。

如果您的应用程序当前或将与任何实体(如医生)共享用户在应用程序中保存的个人健康数据,那么您正在处理受保护的健康信息,需要符合HIPAA的后端。

但是如果你的应用程序收集了用户的个人健康信息(PHI),并且没有在任何时间与任何人分享,那么你就不需要符合HIPAA。

PHI之下是什么?

受保护健康信息(PHI)的定义是“由受保护实体持有的与健康状态、医疗保健提供或医疗保健支付有关的可与个人链接的任何信息”。

HIPAA列出了18个属于PHI的个人识别码:

  • 的名字
  • 所有小于一个州的地理数据
  • 与个人直接相关的日期(年除外)
  • 电话号码
  • 传真号
  • 电子邮件地址
  • 社会安全号码
  • 医疗记录的数字
  • 健康保险计划受益人编号
  • 账号
  • 证书/许可证号码
  • 车辆识别码和包括车牌在内的序列号
  • 设备标识符和序列号
  • Web url
  • 互联网协议(IP)地址
  • 生物识别(如视网膜扫描、指纹等)
  • 全脸照片和可比图像
  • 任何唯一的识别号码、特征或代码

以医疗软件Arkenea为例发达-“我的乳腺癌之旅”app。这个app为癌症患者、他们的家人和朋友提供支持。

在此过程中,用户可以分享自己的病史和记录,这些病史和记录可以与患者的家人和朋友分享。

由于信息的收集和共享,应用程序必须遵守HIPAA法律。

#2应用在开发过程中是否需要遵守HIPAA ?

在开发阶段,您的应用程序需要遵从HIPAA。拖延这一过程可能会导致处罚、罚款和黑名单。不仅如此,为了遵守规则而重新编写应用程序的额外成本和时间安排可能会让你严重受挫。

两个重要的规则将帮助您进一步了解HIPAA遵从性:HIPAA的隐私规则和HIPAA的安全规则。

HIPAA的隐私规则关注的是个人控制其个人信息使用的权利。如果你的应用程序要求用户提供任何类型的健康相关信息,它也应该允许用户决定这些信息是否可以共享。

用户还被授权控制谁可以访问他们的信息,以及在什么情况下这些信息可以以所有格式(包括电子、纸张和口头)访问、使用和/或披露给第三方。

它需要由使用者(患者)决定是否要与任何人分享评估报告。此特性关注HIPAA遵从性的隐私规则。

HIPAA隐私规则适用于任何形式的PHI。这包括计算机和纸质文件、x光片、医生预约时间表、医疗账单、口述笔记、对话和进入患者门户的信息。

HIPAA的安全规则特别关注电子PHI (ePHI)。安全是控制访问和保护信息不被意外或有意泄露给未授权人员的能力。

任何人都可以向民权办公室提出投诉,如果他们认为HIPAA违反了。

3 .如何让应用符合HIPAA标准?

为了满足HIPAA合规软件要求,您的应用程序需要满足HIPAA法律的四个主要要求:

  1. 您必须采取措施保护患者的健康信息(PHI)。这些安全措施可以是管理的、技术的和物理的。这些安全措施可以是针对接触PHI、加密和解密、审计控制、紧急访问程序和用于数据安全的平台的员工的政策。
  2. 合理地将受保护健康信息的使用和共享限制到达到预期目的所需的最低限度。
  3. 与执行覆盖功能的服务提供者达成协议。这些协议称为业务伙伴协议(BAAs),确保服务提供者(业务伙伴)正确使用、保护和披露患者信息。
  4. 限制谁可以访问患者健康信息的过程,以及关于如何保护患者健康信息的培训计划。

4 .你的手机应用如何兼容HIPAA ?

HIPAA兼容的应用程序开发意味着存储PHI在HIPAA批准服务器.像应用程序登录和自动注销这样的标准保护措施可以使用托管服务器作为应用程序核心基础设施的一部分来构建。

但其他需要更多技术和物理保护的可以外包给符合HIPAA标准的云存储。Amazon AWS和Microsoft Azure是这一服务的两个流行平台。

需要设置授权程序,以防止未经授权访问受保护的患者信息。

在使用或披露不被HIPAA隐私规则允许的个人受保护的健康信息之前,必须获得个人的授权。

在开发符合HIPAA的移动应用程序时,医疗保健应用程序收集、存储和传输PHI的加密和去识别是绝对必须做的。

必须遵守HIPAA安全规则中概述的技术、物理和管理保障措施,以确保您的应用程序符合HIPAA指导方针。

但是,您不需要使用HIPAA遵从主机服务器构建所有应用程序功能。以《My Breast Cancer Journey》应用为例,我们只创建了应用内部消息功能、共享文件功能和使用HIPAA兼容服务器共享图像功能,因为所有这些功能都带有PHI。

在与Arkenea这样的医疗软件开发公司讨论整个项目概念时,一定要讨论合规性。yabo.com下载

免责声明:要充分理解应用程序的HIPAA遵从性,请咨询医疗保健律师。

滚动到顶部