构建符合HIPAA标准的API
新常态将使基于健康科技的垂直API,在幕后简化和自动化传统的业务流程。
医疗保健占美国GDP的17%,在2020年约为4万亿美元。COVID已经使远程医疗的使用正常化,并加速了医疗保健从医生办公室和医院分散到智能手机和在线应用程序上提供的服务。
在这一巨变中,更多的病人记录被数字化,并以电子方式传输、存储和使用。API是在这个蓬勃发展的市场中迅速实现新服务的先锋。然而,随着这些电子记录的出现和从API中获取信息的便利性,现在比以往任何时候都更需要保护病人的数据。
HIPAA/HITECH法律和你的API
任何可用于识别病人的信息都被认为是受保护的健康信息,或电子受保护健康信息的ePHI,其使用受联邦法律HIPAA和HITECH的控制。
与金融科技领域的PCI标准不同,没有人可以证明你的应用程序符合HIPAA标准--民权办公室(OCR)(隶属于卫生与公众服务部)作为管理机构,不承认认证。相反,你作为API供应商,有责任定期进行技术和非技术评估,以确保安全政策和程序符合法律规定。
在过去,OCR对公司不遵守HIPAA的行为进行了严厉的判决,采用了民事和刑事处罚。
健康保险可携性和责任法案(HIPAA)是1996年的一项联邦法律,并在2009年被经济和临床健康信息技术法案(HITECH)大幅修订和扩展。HIPAA/HITECH的目的是通过规范和保护健康信息的交流,特别是在隐私、安全和电子数据交换方面,提高医疗系统的效率和效益。
涉及ePHI的API开发者需要遵守HIPAA和BAA的规定
在最简单的形式下,如果你的API接触到ePHI,那么你必须遵守HIPAA。
合规性还有一个转折点--如果你接触到ePHI,那么你还需要与该ePHI的上游供应商以及你可能与之分享该ePHI的下游合作伙伴签署法律协议,即商业伙伴协议(BAAs)。
最终的上游供应商是美国的医疗保健和健康保险供应商,他们产生了大部分的ePHI,被称为受保护实体。商业伙伴是代表受保护实体或其他商业伙伴,执行涉及使用该电子健康保险的工作或其他职能的公司。开发者和他们的供应商/合作伙伴之间的BAA必须在交换ePHI之前到位,否则交换就会违反HIPAA。
在大多数情况下,API产品将在受保护实体本身之外开发,因此本博文将专门关注业务伙伴,即那些使用受保护实体和/或其他业务伙伴的ePHI创建程序/应用程序的API开发公司。
让我们看看上面的说明性例子。一家API公司想建立一个安排医生预约的产品。该API公司需要向医疗机构索取信息,如姓名、就诊性质、医生的专业等。在ePHI被发布之前,病人信息的持有者(医疗机构本身或电子医疗记录提供者)需要与API公司签署一份BAA。如果日程安排公司想利用另一个供应商的产品,如显示医生办公室位置的API地图服务 ,那么他们需要与该下游合作伙伴签署另一份BAA。原来的API公司及其合作伙伴现在在法律上必须遵守HIPAA的要求和BAA中列出的那些规定。
什么时候不遵守HIPAA是安全的?
有四种情况下,你不必遵守HIPAA的规定。
1.不要传输、储存或处理ePHI
保护你的公司不受HIPAA影响的方法之一是不传送、储存或处理任何电子健康保险。为了让你高枕无忧,以下是HIPAA规定与健康信息一起使用时成为ePHI的18种独特标识符(个人可识别信息)。
- 姓名
- 地址
- 与个人有关的日期,如生日或访问日期
- 电话/传真号码
- 电子邮件
- SSN
- 医疗记录/健康计划/账户号码
- 证书或执照号码
- 汽车VIN码/车牌号
- 设备ID
- 网站URL
- IP地址
- 指纹或声纹
- 亲属的名字
- 病人的照片
- 任何其他可以唯一识别个人的特征
2.学校或就业记录
居住在就业或学校记录中的健康信息不被视为电子健康保险。
3.自行收集的健康数据
用户收集的、未与医生共享的数据不被视为属于HIPAA的管辖范围。
- FitBit上计算的步数
- 卡路里计数器
- 血糖读数
- 心率读数
4.去掉标识符的电子健康保险
剥离了上述标识符的健康数据,也称为去识别化或匿名化数据,不能用于识别个人,因此不必遵守HIPAA。
有许多数据供应商可以将医疗保健数据匿名化,并提供对一般人口趋势和基于价值的护理计划的洞察力。
如果你的API只使用非识别的医疗数据,那么它就不必遵守HIPAA。
API开发者的主要HIPAA法规
为了遵守HIPAA,API开发者需要采取管理、物理和技术保障措施来保护电子健康保险的隐私和安全。这不仅仅停留在对静止的、运输中的和使用中的数据进行加密,它还指如何分配加密密钥,你的团队成员在讨论时如何引用PHI,以及对你的系统建立定期的内部审计。每个处理健康信息的人都需要充分了解他们在HIPAA下的责任,以保护电子健康保险,避免责任和保护你的公司。
HIPAA有3个主要条例。
- 隐私规则。规定了保护、使用和披露以任何形式(包括电子和口头)持有或传输的电子健康保险的标准和要求。
- 安全规则。规定了电子健康保险在静止或传输过程中的安全标准。
- 泄露通知规则。规定了泄露电子健康保险的通知内容和方式。
HIPAA的隐私规则意味着要保持详细的API日志
隐私规则定义和限制了你的公司可以使用和披露电子健康保险的情况,它规定了个人对电子健康保险的权利,并要求你采取行政、物理和技术保障措施来保护电子健康保险的隐私。基本上,如果你实施了隐私的最佳实践,那么你就能遵守HIPAA的隐私要求。
作为一个商业伙伴,你必须授予个人与HIPAA规定的受保护实体相同的权利。你只允许使用或披露与你的受保护实体签订的服务协议和BAA中规定的电子健康保险,或在你与适用个人签订的协议中允许使用或披露。
在开始时,你必须向个人提供一份隐私惯例通知(该文件通常来自于或与你的受保护实体合作开发),其中概述了电子健康保险可以和不可以如何使用,以及个人对其电子健康保险有哪些权利和义务。此后,你需要制定协议来尊重以下权利。
要求隐私保护的权利
如果个人提出要求,你必须
- 限制使用或披露电子健康保险(有一些例外)。
- 以安全和保密的方式向他们提供电子健康保险
- 使用其他方式向他们传递电子健康保险
- 如果个人已经为服务付费,则不向健康计划披露电子健康保险。
获得ePHI披露日志的权利
记录API交易对于满足HIPAA关于个人要求说明其电子健康保险披露情况的要求至关重要。如果个人提出要求,你必须提供每个电子健康保险披露的说明,包括: 1:
- 披露的日期
- 收到电子健康保险的实体或个人名称
- 披露的电子健康保险的简要描述
- 简要说明披露的目的
访问和修改电子健康保险的权利
这类似于GPDR 和CCPA中定义的访问/修改/删除的权利。
| 要求 | 要提供的内容 |
|---|---|
| 获取权 | 他们的电子健康保险的副本或特定格式的表格 |
| 修改的权利 | 修改电子健康保险的能力 |
| 发送的权利 | 将电子健康保险的副本传送给另一个人 |
行政要求
最佳实践要求采用各种行政问题 来确保合规。
- 指定一名隐私官员
- 培训员工
- 实施保障措施,以防止故意和意外的披露行为
- 建立一个投诉系统
- 对违反HIPAA政策和程序的员工进行制裁
HIPAA的安全规则意味着加密和更多内容
业务伙伴必须确保电子健康保险在运输、休息和使用中的保密性,防止电子健康保险的安全受到合理预期的威胁或危害,并防止隐私规则所不允许的使用或披露。
从根本上说,作为一个API开发者,安全分为三个方面:管理、物理和技术保障。
其中许多是通用的安全最佳做法,如:保存评估/更改内容的审计日志,选择适当的应用程序/计算机密码,不共享密码,以及对包含电子健康保险的便携式设备进行加密。
但也有一些是专门针对HeathTech的,例如:在使用后签署含有ePHI的应用程序,避免在口头交流、电子聊天或未加密的电子邮件中使用个人的姓名、医疗记录号码或账户号码,及时报告任何ePHI的丢失或被盗,并告知隐私官ePHI的不当使用。
HIPAA安全的技术保障措施
技术保障措施是API开发人员在构建符合要求的应用程序时将花费大部分时间的地方。为了确保ePHI在运输、休息和使用中的保密性,ePHI应该被加密,并且应该特别注意密钥的分配。关于什么是适当的加密有很多讨论,HIPAA只是要求有一个机制来加密和解密电子PHI,但采用NIST 的最新建议将是一个安全的选择。
| 保障措施 | 需要什么 | 如何在API环境中实施 |
|---|---|---|
| 访问控制 | 只允许经授权访问电子健康保险的政策 | 认证用户 |
| 为每个用户分配唯一的ID | ||
| 制定访问控制规则 | ||
| 实施自动注销 | ||
| 支持对ePHI的紧急访问 | ||
| 审计控制 | 记录和检查对含有ePHI的系统的访问的正式程序 | 保存所有访问的API日志 |
| 定期进行风险评估,以检查适当的功能。 | ||
| 完整性控制 | 确保ePHI不被不适当地改变或破坏的政策 | 追踪对ePHI的任何修改 |
| 传输安全 | 技术安全措施应防止在传输过程中对ePHI进行未经授权的访问 | 在可能的情况下使用客户端加密 |
| 验证是否使用HTTPS |
作为一个可以支持ePHI的完全安全的API部署的例子,下面的架构显示了一个安全代理,通过企业内部的客户端加密和自带钥匙(BYOK)实现零知识安全。获得了企业内部安装的隐私优势,而没有建立和扩展自己的数据基础设施的复杂性。主加密密钥从不存储在供应商的服务器上,相反,安全代理支持流行的密钥存储,并自动处理密钥旋转。数据在运输、休息和使用时都会被加密。
HIPAA的违规通知规则使所有违规事件公开化
违规行为被定义为以HIPAA隐私规则不允许的方式获取、访问、使用或披露电子健康保险,从而损害了电子健康保险的安全或隐私。除非你能证明根据你的风险评估,ePHI被泄露的可能性很低,否则将被推定为泄露。
作为一个商业伙伴,在发生泄露事件时,你必须在60天内通知受保护实体和他们的客户。
对不遵守规定的处罚
2018年,有超过6.3万起个人电子健康信息泄露事件,包括302起影响500人以上的事件,导致OCR的罚款总额达到2700万美元。
HIPAA/HITECH定义了一个分层的处罚结构,根据违法行为的性质和情况,包括知情和故意,进行可升级的处罚。违规行为会被公开,商业伙伴可能会受到民事和刑事处罚。
民事处罚的范围是每项违规行为100-50,000美元,取决于与违规行为相关的知识水平或意图。商业伙伴的雇员如果违反HIPAA的规定,故意披露电子健康保险,可被处以最高25万美元的罚款,并根据披露背后的意图程度,被监禁10年。
医疗保健是成熟的颠覆,API是中心舞台
COVID已经成为现有趋势的加速器,其中最深刻的错位可能是在医疗保健方面。新常态将使卫生保健技术垂直的API,在幕后简化传统的业务流程并使之自动化。
