Většinou souhlasíme s Lynn.

A přidat další - veřejné cloudy jsou cloudy pro obecné účely, a proto není plně implementováno soukromí. To je jádro požadavku HIPAA. Ale pokud existují cloudy, které jsou ekvivalentní HealthVaultu nebo čistě soukromým cloudům, je to velmi možné.

Chci říct - současné veřejné cloudy nejsou navrženy s ohledem na zdravotní péči. Ale aplikace pro všeobecné účely. A proto nejsou plně kompatibilní s HIPAA. Také lidé, kteří spravují cloudy, musí mít HIPAA nebo CITI nebo podobné certifikace, aby mohli být povoláni jako kvalifikovaný personál pro správu cloudu! Silně pochybuji, jestli existují nějaké veřejné cloudové nabídky, které splňují tato základní kritéria!

Toto je samozřejmě můj osobní postřeh poté, co jsem pracoval v tomto odvětví dlouho a bez závazků.

Pravidlo zabezpečení HIPAA hovoří o bezpečnostních kontrolách nutných k ochraně PHI. Existuje spousta věcí, které musíte vzít v úvahu - administrativní kontroly, fyzické zabezpečení, technické zabezpečení. Osobně jsem neviděl nic, co by zcela vyloučilo cloudové úložiště, ale neprovedl jsem rozsáhlý výzkum. Pro svou vlastní aplikaci byste museli pracovat ve všech směrech, abyste měli jistotu. A cloudové úložiště určitě představuje některé výzvy, mezi nimi:

• Fyzické zabezpečení - Musíte zajistit, aby k serverům mohly přistupovat pouze oprávněné osoby. Pokud je to váš cloud, pravděpodobně to není problém, ale pokud právě ukládáte data na nějaké sdílené cloudové úložné farmě, budete muset prozkoumat jejich bezpečnostní opatření a dospět k závěru, zda jsou vhodná.

• Zabezpečení přenosu - Zdá se mi, že by se data v cloudu dodávala více, což by představovalo další výzvy v oblasti zabezpečení přenosu. Ale není to nic, co byste nemohli překonat zabezpečenými datovými kanály.

Amazon nabízí bílou knihu o tomto tématu pro svoji webovou službu Amazon a upozorňuje na několik klientů, kteří postupovali kupředu.

Viz „Máte zájem o dodržování předpisů HIPAA?“ postranní panel zde a také tento dokument.

Aktualizace: Sledoval jsem odkaz poskytnutý níže Mikem Schenkem , a našel následující prohlášení:

Q. Nabízí AWS GovCloud lepší zabezpečení než ostatní regiony AWS?

AWS GovCloud nabízí stejně vysokou úroveň zabezpečení jako ostatní regiony AWS a podporuje stávající bezpečnostní kontroly a certifikace AWS, jako jsou FISMA, SAS-70 „ISO 27001, koncové body vyhovující FIPS 140-2 a úroveň PCI DSS 1. AWS také poskytuje prostředí, které agenturám umožňuje dodržovat předpisy HIPAA. Jediný rozdíl je v tom, že AWS přidala do oblasti AWS GovCloud vrstvu oprávnění, která omezuje přístup k těm na schváleném seznamu osob v USA.

Měl jsem příležitost se na to zeptat Marka Russinovicha z projektu Microsoft Azure. Řekl (parafrázoval), že zdravotnický průmysl a bankovnictví jsou pravděpodobně poslední skupinou, která přijala cloud computing právě z těchto důvodů.

Rovněž uvedl, že je odpovědností vlastníků cloudů (v tomto případě Microsoft), aby získali potřebné certifikace pro soulad s HIPAA. Zmínil, že byly certifikovány SAS / ISO a pravidelně kontrolovány třetími stranami.

Řekl bych, že mění otázku z „co váš tým dělá pro implementaci HIPAA“ na „je třetí strana implementující HIPAA“. Podle mého názoru není nutně jednodušší odpovědět na druhou otázku - záleží na vašich zdrojích a zdrojích třetí strany.

Toto jsou požadavky a doporučení z pohledu poskytovatele datového centra / hostingu, který je v souladu s HIPAA a který je auditován třetí stranou:

Požadováno:

• Antivirus
• Správa oprav OS
• Zálohování a zotavení po katastrofě
• Vysoká dostupnost, redundantní brány firewall
• Vysoká dostupnost, redundantní směrovače
• Vysoká dostupnost, redundantní poskytovatelé internetových služeb (ISP)
• vyškolený personál HIPAA a dokumentované zásady

doporučeno (nabízí vylepšené zabezpečení):

• dva faktorová autentizace
• certifikát SSL (pro webové aplikace)
• monitorování integrity souborů
• firewall webových aplikací
• šifrování

Ať už se jedná o soukromý cloud nebo spravované servery, jedná se o standard. Přečtěte si bílou knihu zde: http://www.onlinetech.com/resources/white-papers/hipaa-compliant-data-centers

Bohužel zákony budou vždy muset dohnat technologii.

Podíval jsem se na to dříve, než můj zaměstnavatel koupil nový server a stále jsem narazil na firehost http://www.firehost.com / secure-hosting / hipaa podívejte se na jejich informace o shodě s HIPAA. Další avenue, kterou jsem prohledal pro sdílení dokumentů, jsou dokumenty google, které se ukázaly, že NENÍ kompatibilní (alespoň když jsem to prozkoumal). Nezapomeňte vše zdokumentovat a pokud se budete držet dokumentovaných poskytovatelů HIPAA, značně snížíte riziko. Vím, že některé nemocnice si pronajímají místo pro své staré starší systémy (AS / 400) od seimens, protože je levnější platit jim za zabezpečení jejich aplikací a dat než za pronájem I.T. zaměstnanci, ale to je v podnikovém prostředí.

Amazon AWS podporuje hostování kompatibilní s HIPAA. Není to však levné: Budete muset použít vyhrazené instance nebo vyhrazeného hostitele. AWS s vámi podepíše dohodu o přidružení k podnikání (BAA) potvrzující jejich soulad s HIPAA. Více informací je k dispozici zde: https://aws.amazon.com/compliance/hipaa-compliance/

Mají zde technickou technickou dokumentaci: https: / /d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Poskytovatelé cloudu třetích stran (Google, Dropbox, ...) NENÍ kompatibilní s HIPAA. Nemusí být v souladu se zákonem a přečtení jejich Podmínek služby a Častých dotazů vám to řekne. Zde jsou některé z důvodů:

Tito poskytovatelé skenují všechna nahraná data do svého úložiště. Zaměstnanci (i mimo USA) jsou povoleni a čtou vaše data Tyto služby uvádějí, že i když NEVLASTNÍ vaše data, která je nahráno, musíte jim dát svolení, aby s vašimi údaji dělali, co chtějí, včetně úpravy a veřejného zobrazení vašich údajů. To zahrnuje také právo na poskytnutí vašich údajů třetím stranám.