网络独家

HIPAA与云
作者:克里斯·威特

如果您参与了HIT，您就会了解HIPAA以及它赋予组织保护患者信息的责任。在HIPAA的早期，只有一般的指导方针和要求的结果来帮助指导IT部门达到合规性。beplay最新备用网站事实上，大多数组织维护一个“封闭”的系统，这意味着他们有自己的数据中心，很少有数据暴露在组织外部，这使得遵从性相对简单。beplay最新备用网站我们最担心的是磁带媒体被轮转到我们最喜欢的异地存储设施。随着时间的推移，数据中心战略已经发展到包括并置和托管服务。虽然这增加了遵从HIPAA的复杂性，但您仍然确切地知道数据驻留的位置，并且很清楚谁可能从第三beplay最新备用网站方提供商访问它。现在云计算已经加入到服务选项的组合中。这增加了一些有趣的HIPAA遵从性挑战，因为不再保证对数据的绝对端beplay最新备用网站到端控制。

云中的挑战
出于讨论的目的，我们只关注公共云的概念。从您自己的数据中心提供服务的私有云并不比从传统的非基于云的服务器交付服务更令人担忧。对于HIPAA来说，数据隐私是一个关键组成部分。为了维护安全性，您需要知道数据驻留的位置，采取预防措施保护隐私，并采用审计访问的机制。在云中，服务器、网络和存储被设计为抽象的，这意味着您不知道物理上驻留在哪里。

从云端获取数据并不是很困难。今天，大多数组织使用各种加密方法(如虚拟专用网隧道和安全SSL Web通信)在公共网络(又名Internet)上安全地移动数据。一旦数据到达云端，它们就会变得有点问题。理想情况下，包括存储在内的所有数据都应从端到端进行加密。然而，很少有医疗保健应用程序供应商支持这一点。因此，在云中，您将有许多人可以访问您无法控制的物理服务器和存储。由于对数据和云计算的完全控制似乎存在冲突，因此需要采取某些预防措施。鉴于目前缺乏能够最终提供法律保护的行业认证，组织需要与云计算提供商协商一份强有力的合同，以保护其利益。还应该要求云供应商提供详细的报告，其中包括组织内任何人对服务器和存储的所有访问。合同应包括强有力的经济处罚，以帮助激励供应商，并在出现违规情况时赔偿医疗保健提供者。

HIPAA, HITECH和有意义的使用含义
让我们从不同的角度来看一下HIPAA和云问题。2009年，ARRA扩大了HIPAA，包括HITECH法案和有意义使用条款。为了获得联邦政府分配的奖励，各组织现在正在努力实现有意义的使用。几年后，胡萝卜变成了大棒，那些不符合有意义使用规定的人将面临报销风险。越来越多地使用技术解决方案提供有意义的临床护理，这给IT部门带来了额外的压力。大多数医疗保健组织无法提供符合基本最佳实践的基本数据中心服务，更不用说操作接近99.999%可用性的数据中心了。这意味着大多数组织都面临计划外中断的风险。在一个越来越依赖技术可用性的环境中，这正在成为一种生死攸关的局面。解决这个问题的成本很高，而且一般来说，医疗保健提供商不应该涉足数据中心业务——但这是另一回事。

云计算可以为需要获得一定级别可用性但又不想投入资金自行构建的组织提供经济有效的解决方案。与云供应商合作，您实际上是“租用”了服务器、虚拟化、网络、存储和安全专家，而不必自己雇佣他们。其中一些人需求量很大，雇佣成本也很高。

在讨论临床应用在实现有意义使用过程中的高可用性时，必须包括基础设施。如果要满足正常运行时间要求，就需要多个数据中心。自己承担基础设施工作将使您在数据中心基础设施上的总体资本投资翻倍。这是另一个乌云闪耀的领域。云的一个特性是快速供应和部署。您可以根据需求更改计算容量。在云中，服务器实例还可以快速移动到备用主机或集群，以便在发生故障时提供冗余。这是最简单和最便宜的方法，即使是最小的组织也可以实现历史上只有大型集成交付网络才能达到的目标。

HIPAA合beplay最新备用网站规性和云计算——底线
底线是云采用和实现HIPAA遵从性并不一定是冲突的。beplay最新备用网站对于任何不断发展的或新的技术解决方案，组织执行他们的尽职调查是至关重要的，这样他们不仅完全了解技术，而且还了解它如何影响他们的环境。IT必须发展必要的技能，或者从值得信赖的顾问那里获得帮助。他们不能因为不了解新技术就回避它。云计算将继续存在，并且可以为那些拥抱它的人提供经济优势。

——Chris Witt，首席执行官、总裁兼联合创始人TSI醒来他负责监管数据中心和基础设施架构的关系，这些关系涉及到一些全国最好的医院、医疗网络、支付方、大学教学和研究机构，以及商业、联邦和州商业部门的许多大型组织。