构建符合HIPAA的健康应用程序的完整指南

在开发医疗移动应用程序时,必须遵守与健康信息隐私相关的法律(符合HIPAA)。

如果违反了HIPAA的规定,你就会直接进入公民权利办公室的门户网站,你的医疗机构或组织的名字就会永久地印在他们的耻辱墙上。虽然名誉的败坏和负面新闻有负面影响,但这些违规行为的金钱影响也很大。

2019年10月,OCR对杰克逊健康系统(Jackson Health system)违反HIPAA规定处以215万美元的民事罚款

试金石医学影像公司同意向美国卫生与公众服务部的民权办公室支付300万美元,以解决该医疗影像供应商违反《美国卫生与公众服务部条例》的指控HIPAA安全规则

这些处罚数字很吓人,但值得注意。

健康保险可携性和问责法案(HIPAA)是这项业务的监管者。1996年颁布的这项法律旨在将可识别个人身份的医疗信息的获取限制在“需要知道”的人。由HIPAA保护的健康信息称为“受保护的健康信息”(PHI)。请随时关注最新的指南医疗技术发展趋势

不同的应用程序需要不同程度的HIPAA合规,这取决于它们持有和共享的数据类型。尽管如此,并不是所有的应用程序都需要符合HIPAA。

这4个问题将帮助你知道HIPAA是否适用于你的应用程序。

#1谁需要遵守HIPAA ?

许多应用程序收集用户信息,但并不是所有应用程序都与内部和外部共享这些信息。您应该知道您是在处理受保护的健康信息(PHI)还是消费者健康信息。

要知道您是否需要遵守HIPAA,一个简单的规则是区分收集信息和共享信息。

如果您的应用程序目前或将要与任何实体(如医生)共享应用程序中保存的用户个人健康数据,那么您正在处理受保护的健康信息,并且需要符合HIPAA的后端。

但如果你的应用程序收集了用户的个人健康信息(PHI),并且在任何时候都不与任何人共享,那么你就不需要遵守HIPAA。

下面是什么?

受保护健康信息(PHI)定义为“被涵盖实体持有的与健康状况、医疗保健的提供或医疗保健的支付有关的可与个人挂钩的任何信息”。

HIPAA列出了18个属于PHI的个人标识符:

  • 的名字
  • 所有地理数据小于一个州
  • 与个人直接相关的日期(年份除外)
  • 电话号码
  • 传真号
  • 电子邮件地址
  • 社会安全号码
  • 医疗记录的数字
  • 健康保险计划受益人号码
  • 账号
  • 证书/许可证号码
  • 车辆标识和序列号,包括车牌
  • 设备标识符和序列号
  • Web url
  • 互联网协议(IP)地址
  • 生物识别(如视网膜扫描、指纹等)
  • 全脸照片和类似的照片
  • 任何唯一的标识数字、特征或代码

以我的乳腺癌之旅app为例,这款app为癌症患者及其家人和朋友提供了一个支持系统。在这个过程中,用户可以分享自己的病历和记录,这些记录可以分享给患者的家人和朋友。

由于信息被收集和共享,该应用程序必须遵守HIPAA法律。

#2你什么时候需要遵守HIPAA ?

当您的应用程序处于开发阶段时,您需要符合HIPAA。拖延这一过程可能导致处罚、罚款和黑名单。不仅如此,为了符合要求而重做应用程序的额外成本和时间限制会让你大大受挫。

两个重要的规则将帮助您进一步理解HIPAA的遵从性:HIPAA的隐私规则和HIPAA的安全规则。

HIPPA的隐私规则侧重于个人控制其个人信息使用的权利。如果您的应用程序要求用户提供任何与健康相关的信息,它还应该赋予用户决定是否可以共享这些信息的权力。

用户还被授权控制谁可以访问他们的信息,以及在什么情况下这些信息可能被访问、使用和/或以电子、书面和口头的所有格式披露给第三方。

它需要由用户(患者)决定他们是否想要与任何人分享评估报告。该特性负责遵守HIPAA的隐私规则。

HIPAA隐私规则适用于任何形式的PHI。这包括计算机和纸质文件、x光、医生预约表、医疗账单、口述记录、对话和进入患者门户的信息。

HIPAA的安全规则特别关注于电子PHI (ePHI)。安全性是控制访问和保护信息不被意外或故意泄露给未授权人员的能力。任何人都可以向公民权利办公室投诉,如果他们认为HIPAA违反了规定。

HIPAA法律的要求是什么?

为了满足符合HIPAA的软件要求,你需要满足HIPAA法律的四个主要要求:

  1. 你必须采取措施保护病人的健康信息(PHI)。这些安全措施可以是行政的、技术的和物理的。安全措施可以是针对接触PHI的员工的政策,加密和解密,审计控制,紧急访问程序,以及用于数据安全的平台。
  2. 合理地将受保护的健康信息的使用和共享限制到达到预期目的所需的最低限度。
  3. 与执行覆盖功能的服务提供商达成协议。这些协议称为业务合作协议(BAAs),确保服务提供商(业务合作伙伴)正确使用、保护和披露患者信息。
  4. 限制谁可以访问患者健康信息的程序,以及关于如何保护患者健康信息的培训项目。

#4你如何变得符合HIPAA ?

成为一个符合HIPAA的应用程序意味着将PHI存储在一个经过HIPAA批准的服务器中。应用程序登录和自动注销等标准安全措施可以使用托管服务器作为应用程序核心基础设施的一部分来构建。

但其他需要更多技术和物理保护的可以外包给符合HIPAA的云存储。亚马逊的AWS和微软的Azure是这一服务的两个流行平台。

需要有适当的授权程序,以防止未经授权访问受保护的患者信息。在HIPAA隐私规则不允许使用或披露个人受保护的健康信息之前,必须获得个人的授权。

在构建符合HIPAA的移动应用程序时,对医疗保健应用程序收集、存储和传输的PHI进行加密和识别是绝对必须的。需要遵守HIPAA安全规则下概述的技术、物理和管理安全措施,以确保您的应用程序与HIPAA指导方针保持一致。

但是,您不需要使用符合HIPAA的托管服务器构建所有应用程序特性。在我的乳腺癌之旅应用程序中,我们只构建了应用程序内的消息传递功能、共享文档的功能,以及使用符合HIPAA的服务器共享图片的功能,因为所有这些功能都带有PHI。

确保在与a讨论整个项目概念时讨论遵从性医疗保健软件开发公司雷电竞官网app公司喜欢Arkenea。

免责声明:要完全理解您的应用程序是否符合HIPAA,请咨询医疗保健律师。

    拉胡尔Varshneya

    拉胡尔VarshneyaArkenea为快速增长的企业提供定制软件开发咨询公司,按需提供工程人才和MVP开发服务。