Ho letto informazioni in conflitto sul fatto che PHI possa essere immagazzinata e consegnata su un cloud in modo conforme a HIPAA. Ho sentito molte persone dire che non puoi condividere l'infrastruttura ed essere compatibile con HIPAA.
Che cosa bisogna tenere in considerazione quando si memorizza PHI su un cloud?
Molto d'accordo con Lynn.
E per aggiungere altro - i cloud pubblici sono nuvole di uso generale e quindi la privacy non è completamente implementata. Questo è il nucleo del requisito HIPAA. Ma se ci sono nuvole equivalenti a HealthVault o cloud puramente private, è molto possibile.
Il mio punto è: le attuali nuvole pubbliche non sono pensate per l'assistenza sanitaria. Ma uno scopo generale ha connesso le applicazioni. E quindi non sono completamente compatibili con HIPAA. Anche le persone che gestiscono le nuvole devono avere HIPAA o CITI o certificazioni simili per essere chiamate come personale qualificato per gestire il cloud! Dubito strongmente che ci siano offerte di cloud pubblico che soddisfino questi criteri di base!
Ovviamente questa è la mia osservazione personale dopo aver lavorato in questo settore per lungo tempo senza obblighi.
La regola di sicurezza di HIPAA parla dei controlli di sicurezza richiesti per proteggere PHI. Ci sono molte cose che devi prendere in considerazione: controlli amministrativi, sicurezza fisica, sicurezza tecnica. Non ho visto nulla di personale che escludesse completamente il cloud storage, ma non ho fatto ricerche approfondite. Dovresti lavorare su tutti gli angoli per la tua applicazione per essere sicuro. E il cloud storage presenta sicuramente alcune sfide, tra cui:
Sicurezza fisica: è necessario garantire che solo le persone autorizzate possano accedere ai server stessi. Se è il tuo cloud, presumibilmente questo non è un problema, ma se stai semplicemente memorizzando i dati in qualche storage cloud condiviso, dovrai investigare le loro misure di sicurezza e concludere se sono appropriate.
Sicurezza della trasmissione - Mi sembra che i dati nel cloud vengano spediti di più, presentando ulteriori sfide in merito alla sicurezza della trasmissione. Ma non è niente che non si possa superare con i canali dati sicuri.
Amazon offre un white paper su questo argomento per il loro Amazon Web Service e sollecita numerosi clienti che hanno proseguito.
Vedi "Interessato alla conformità HIPAA?" sidebar qui , così come questo whitepaper .
Aggiornamento: Ho seguito il link fornito di seguito da Mike Schenk e ho trovato il seguente dichiarazione :
Q. Does AWS GovCloud offer better security than other AWS Regions?
AWS GovCloud offers the same high level of security as other AWS Regions and supports existing AWS security controls and certifications such as FISMA, SAS-70, ISO 27001, FIPS 140-2 compliant end points, and PCI DSS Level 1. AWS also provides an environment that enables agencies to comply with HIPAA regulations. The only difference is that AWS has added a layer of permissions to the AWS GovCloud Region that restricts access to those on an approved list of US Persons.
Ho avuto la possibilità di chiedere a Mark Russinovich del progetto Microsoft Azure su questo. Ha detto (parafrasando) che le industrie della salute e il settore bancario sono probabilmente l'ultimo gruppo ad abbracciare il cloud computing proprio per questo motivo.
Ha anche affermato che è responsabilità dei proprietari di cloud (Microsoft, in questo caso) ottenere le certificazioni necessarie per la conformità HIPAA. Ha detto che erano certificati SAS / ISO e regolarmente controllati da terze parti.
Direi che cambia la domanda da "cosa sta facendo il tuo team per implementare HIPAA" a "è la terza parte che implementa HIPAA". Secondo me, una domanda non è necessariamente più facile da rispondere rispetto all'altra - dipende dalle risorse e dalle risorse della terza parte.
Questi sono requisiti e raccomandazioni dal punto di vista di un centro dati / fornitore di hosting conforme HIPAA certificato di terze parti:
richiesto:
Consigliato (offre maggiore sicurezza):
Che si tratti di un cloud privato o di server gestiti, questi sono standard. Leggi il white paper qui: link
Purtroppo le leggi dovranno sempre raggiungere la tecnologia.
Ho esaminato questo aspetto prima che il mio datore di lavoro acquistasse un nuovo server e ho continuato a imbattersi in link alle loro informazioni sulla conformità HIPAA. Un'altra strada che ho cercato per la condivisione dei documenti è google doc che risulta NON conforme (almeno quando l'ho ricercata). Basta essere sicuri di documentare tutto e si ridurrà notevolmente il rischio se si rimane con i fornitori documentati HIPAA. So che alcuni ospedali noleggiano spazi per i loro vecchi sistemi legacy (AS / 400) da campioni, poiché è più economico pagarli per proteggere le loro applicazioni e dati piuttosto che assumere I.T. personale, ma è in un ambiente aziendale.
Amazon AWS supporta l'hosting conforme HIPAA. Tuttavia, non è economico: dovrai utilizzare istanze dedicate o un host dedicato. AWS firmerà un accordo di Business Associate (BAA) con la convalida della conformità HIPAA. Ulteriori informazioni sono disponibili qui: link
Hanno un white paper tecnico qui: link
I fornitori di servizi cloud di terze parti (Google, Dropbox, ...) NON sono conformi HIPAA. Non devono essere conformi alla legge e una lettura dei loro Termini di servizio e le domande frequenti vi diranno questo. Ecco alcuni dei motivi:
Questi provider analizzano tutti i caricamenti nella loro memoria. I dipendenti (anche non statunitensi) sono ammessi e leggono i tuoi dati Questi servizi affermano che, mentre non possiedono i tuoi dati che vengono caricati, ti viene richiesto di dare loro il permesso di fare ciò che vogliono con i tuoi dati, compresa la modifica e la visualizzazione pubblica dei tuoi dati. Ciò include anche il diritto di cedere i tuoi dati a terzi.
Leggi altre domande sui tag cloud-computing hipaa