医疗保健软件HIPAA开发指南

HIPAA，即《健康保险流通与责任法案》，是美国 1996 年颁布的联邦法律。
其主要目的是保护敏感的患者健康信息，确保个人医疗记录和个人健康信息 (PHI) 的隐私和安全，并防止数据泄露。

如果您的医疗保健应用在美国处理、存储或传输 受保护的健康信息，您可能需要遵守 HIPAA 要求。 
HIPAA 法规适用于“涵盖实体”（例如医疗保健提供者、健康计划和医疗保健信息交换所）及其“业务伙伴”（代表涵盖实体处理 PHI 的第三方实体）。

例子
您是美国一家私立健康医院的所有者，正在寻找医疗保健软件开发人员来帮助您构建一个应用程序来管理患者数据。在这种情况下，您是所涵盖的实体，与您合作的外包软件开发团队将是您的业务伙伴。该应用程序需要符合 HIPAA 要求。

受保护的健康信息 (PHI) 是由涵盖的实体或业务伙伴创建、接收、传输或维护的任何可单独识别的医疗数据。
受保护的健康信息的示例可能包括：

• 姓名、地址和其他联系信息以及健康相关数据，
• 医疗记录编号或患者标识符，
• 出生日期，
• 社会安全号码，
• 健康保险保单号码，
• 医学图像和诊断结果，
• 可用于在个人健康和医疗保健服务中识别个人身份的任何其他信息。

如果您处理美国人的个人健康信息，您将需要遵守 HIPAA - 仅此而已。让我们从几个角度来审视这个主题，以更好地理解它的样子。
HIPAA 合规性适用于以下情况：

1. PHI 的处理： 如果您的应用收集、存储、处理或传输任何形式的 PHI，例如医疗记录、治疗信息或健康相关数据。
2. 业务伙伴关系： 如果您的应用程序与医疗保健组织、健康计划或其他涵盖的实体合作，并且您有权访问 PHI。
3. 使用案例： 如果您的应用程序涉及远程医疗、远程患者监护、电子健康记录 (EHR) 集成等功能，或涉及 PHI 的与医疗保健相关的任何其他活动。
4. 用户数据： 如果您的应用程序从美国用户收集个人健康信息并且旨在用于医疗保健目的。

并非所有医疗软件都必须符合 HIPAA。同样，这一切都取决于数据使用情况，但这里有一些应用程序的示例，这些应用程序很可能是不必要的，因为它们不会处理个人健康信息。

• 健康应用程序，
• 营养和饮食应用程序，
• 医疗保健教育应用程序。

HIPAA 隐私规则
隐私规则概述了保护个人可识别健康信息的国家标准。
它适用于三种类型的涵盖实体：健康计划、医疗保健票据交换所和进行标准电子医疗保健交易的医疗保健提供者。
HIPAA 隐私规则保护个人的健康信息并限制其未经授权的使用和披露。

HIPAA 安全规则
HIPAA 安全规则制定了保护电子受保护健康信息 (ePHI) 的国家标准。
它确保您的电子健康信息得到安全存储和传输， 通过管理、物理和技术保障措施防止未经授权的访问或数据泄露。

• 行政保障：管理保障涉及在组织内建立安全管理流程。此类措施的示例包括风险评估、员工培训、分配安全责任以及建立安全事件响应计划。
• 物理保障：这些包括对电子系统、设备以及存储或访问受保护的电子健康信息 (ePHI) 的设施的物理保护。示例包括访问控制、设施安全计划、工作站策略和设备加密。
• 技术保障：技术保障侧重于为提供数据安全而实施的基于技术的措施。

此类措施的示例包括个人健康记录的数据备份、数据加密、传输安全、访问控制、身份验证机制以及防火墙和入侵检测系统等网络安全措施。

HIPAA 执行规则
执行规则提供了执行所有行政简化规则（包括隐私和安全规则）的指南和标准。
该规则概述了不遵守 HIPAA 法规的程序、调查和处罚。它确保所涵盖的实体遵守 HIPAA 规定的隐私和安全标准。

HIPAA 违规通知规则
违规通知规则要求所涵盖的实体和商业伙伴在发生不安全的受保护健康信息泄露的情况下通知受影响的个人、卫生与公众服务部长 (HHS)，有时还通知媒体。
该条款概述了发生违规行为时必须采取的步骤。它有助于确保受影响的个人及时了解其健康信息的潜在风险。

综合规则
综合规则由 HHS 颁布，旨在实施《经济和临床健康健康信息技术 (HITECH) 法案》的多项条款。
它加强了根据 HIPAA 建立的健康信息的隐私和安全保护，并最终确定了违规通知规则。