دليل رائد أعمال حول كيفية تطوير تطبيق جوّال متوافق مع HIPAA

نشرت: 2020-06-12

إذا كنت قد تفاعلت من قبل مع صناعة الرعاية الصحية ، فهناك فرص كبيرة لأنك لا بد أنك سمعت عن التطبيقات المتوافقة مع HIPAA . يجب أن تكون قد سمعت أيضًا كيف أنه شرط أساسي لتطوير تطبيقات الرعاية الصحية. في هذه المقالة ، سنقدم لك نظرة ثاقبة أساسية في عملية تطوير إنشاء تطبيق HIPAA بهدف المساعدة في بدء رحلة التحول الرقمي للرعاية الصحية.

العصر الذي نعيش فيه حاليًا يعمل وفقًا لصيغة واحدة بسيطة - البيانات هي الذهب. عندما ننظر في أي صناعة تتعامل مع بيانات المستخدمين (حساسة أو غير حساسة) ، فإننا ملزمون أيضًا برؤية بعض التوافق في مكانه بهدف جعل الصناعة أكثر حماية.

قطاع الرعاية الصحية أيضًا ، ليس بمنأى عن الحاجة إلى امتثال صارم لحفظ بيانات المستخدمين من إساءة استخدامها في عصر الهاتف المحمول الأول.

healthcare data breaches between 2009 ans 2019

على الرغم من أن الامتثال يختلف من دولة إلى أخرى ، فإن الشيء الذي أصبح عالميًا لأسباب عديدة هو HIPAA - قانون نقل التأمين الصحي والمساءلة.

دعونا ننظر في عملية تطوير التطبيقات المتوافقة مع HIPAA والتي تضمن تطوير تطبيقك لاجتياز متطلبات الامتثال.

ما هو قانون HIPAA؟

يضمن قانون HIPAA عدم وجود أي شذوذ عند التعامل مع بيانات المريض وتخزينها ، خاصة على منصة برمجية. ويشمل أيضًا مشاركة المعلومات المتعلقة بالفواتير والتغطية التأمينية للرعاية الصحية للمرضى الطبيين.

تم إطلاق فكرة تطوير تطبيق HIPAA لتطبيق الهاتف المحمول في عام 1996 لتنظيم حماية بيانات المرضى ، وخفض تكلفة الرعاية الصحية ، وتوفير تغطية التأمين الصحي للأشخاص الذين فقدوا وظائفهم أو غيروا وظائفهم. ومع ذلك ، فإن الجزء من العمل الذي نهتم به كمطورين وستكون بمثابة رواد أعمال تطبيقات هو مطلب ضمان أن التطبيق يحمي المستخدمين من الاحتيال على البيانات.

يتمثل الجزء الأول من فهم الامتثال للوائح HIPAA وتنفيذها في معرفة نوع البيانات التي يتفاعل معها مجال برنامج الرعاية الصحية.

  • PHI (المعلومات الصحية المحمية) - تتكون هذه المجموعة من المعلومات من فواتير الطبيب وعمليات التصوير بالرنين المغناطيسي ورسائل البريد الإلكتروني ونتائج الاختبارات والمعلومات الطبية الأخرى. أيضًا ، يتم أيضًا احتساب تفاصيل تحديد الموقع الجغرافي لشخص ما داخل إقليم ما على أنها معلومات صحية محمية.

list of PHI data

  • CHI (معلومات صحة المستهلك) - تتكون هذه المعلومات من البيانات التي يمكنك جمعها من متتبع اللياقة البدنية ، على سبيل المثال: عدد السعرات الحرارية المحروقة وقراءات معدل ضربات القلب وعدد الخطوات.

عندما تكون على طريق فهم الامتثال لقانون HIPAA لتطبيق الهاتف المحمول ، لا يزال هناك الكثير من الالتباس حول سبب أهمية قواعد HIPAA. دعونا نجيب التالي.

ما الذي يجعل الامتثال لقانون HIPAA مهمًا؟

قانون HIPAA هو قانون شامل تم سنه لمساعدة كل من مؤسسات الرعاية الصحية والمرضى. وبالتالي ، فإن فهم سبب أهميتها ضروري لكل من أصحاب المصلحة عند بناء برنامج متوافق مع HIPAA .

للمرضى:

  1. لا يمكن لأي كيان إعادة توجيه أي معلومات عن المريض دون موافقته - بموجب امتثال HIPAA ، يمكن فقط لمتخصصي الرعاية الصحية مشاركة معلومات المرضى مع أصحاب المصلحة. أيضًا ، سيتم تغطية أصحاب المصلحة الذين يحضرون عمليات الرعاية الصحية فقط بموجب معلومات الصحة العامة ، وهذا بدوره يضمن مستويات عالية من السرية والخصوصية.
  2. لا يمكن لمتخصصي الفواتير وبائعي الوصفات الطبية إرسال معلومات المرضى إلى الأمام - لا يُسمح لأصحاب المصلحة الآخرين ، كما هو مذكور في النقطة أعلاه ، بإرسال معلومات المرضى إلى الأمام.
  3. يجب على الكيانات إخطار المرضى بالخرق - للمرضى الحق الكامل في بياناتهم الطبية. يسمح هذا بالتدفق السلس لمشاركة البيانات بين مؤسسات الرعاية الصحية المتعددة.

بالنسبة للمستشفيات:

تكمن أهمية اتباع امتثال HIPAA لتطبيق الهاتف المحمول للمستشفيات في فهم ما يمكن أن يحدث إذا لم يتم اتباعها. في حالة عدم الامتثال ، تتحمل المستشفيات مسؤولية دفع غرامات ضخمة. يمكن أن تصل الغرامة في حالة انتهاك البيانات الفردية إلى 100 دولار إلى 50000 دولار.

هناك العديد من الأمثلة الحية على التكلفة التي يمكن أن تحصل عليها المستشفيات عندما تنتهك الامتثال لقانون HIPAA - لأسباب مالية وصورة. على سبيل المثال ، في عام 2015 ، اضطر أحد مستشفيات ماساتشوستس إلى دفع غرامة قدرها 218000 دولار أمريكي لتعريض بيانات أكثر من 500 مريض للخطر لمجرد أن تطبيق مشاركة الملفات الخاص بهم لا يفي بمتطلبات أمان HIPAA.

كيفية جعل تطبيقات الهاتف المحمول المتوافقة مع HIPAA ؟

يمكن أن يشكل تطوير تطبيقات الرعاية الصحية المتوافقة مع HIPAA في بعض الأحيان تحديًا لمطوري تطبيقات الرعاية الصحية خاصةً لأنه يطلب عددًا من التعديلات على كل من الميزات وجبهة التصميم.

ساعدتنا تجربتنا في تطوير أكثر من 70+ من حلول الصحة المحمولة ، في إنشاء قائمة مراجعة امتثال HIPAA لتطوير البرامج . إليك نظرة خاطفة عليه -

إجراء مكالمات هاتفية متوافقة مع HIPAA لاتباع أربع قواعد أساسية:

  • خصوصية
  • حماية
  • إجباري
  • يخرق

أثناء كونك رائد أعمال تطبيق ، سيتعين عليك النظر في جميع القواعد الأربعة ، وهي القواعد التي تعمل عليها شركة تطوير تطبيقات الرعاية الصحية مثلنا بشكل أساسي عند الإجابة على كيفية جعل البرنامج متوافقًا مع HIPAA هي قواعد الخصوصية والأمان HIPAA . تتكون بشكل رئيسي من الضمانات المادية والتقنية .

الضمانات المادية

يتضمن حماية الواجهة الخلفية وشبكة نقل البيانات والأجهزة التي تعمل بنظام Android أو iOS - مما يضمن عدم إمكانية اختراقها أو فقدها أو سرقتها. لضمان أمان التطبيقات ، يجب عليك فرض المصادقة بينما تجعل من المستحيل الوصول إلى التطبيقات بدون مصادقة - وهو أمر يمكن تحقيقه من خلال نظام مصادقة متعدد العوامل.

الضمانات الفنية

يركزون على التشفير الكامل للبيانات التي يمكن نقلها أو تخزينها على الخوادم والأجهزة. تتضمن بعض ممارسات الإجراءات الوقائية الفنية ما يلي:

  • عملية الوصول في حالات الطوارئ
  • تعريف المستخدم الفريد
  • تسجيل الخروج التلقائي

يمكن أن تتمثل أفضل الممارسات الأخرى في هذا الصدد في اتباع الحد الأدنى من متطلبات الضرورة: لا تجمع بيانات أكثر مما قد تحتاجه ولا تخزن البيانات لفترة أطول مما هو مطلوب بالفعل للعمل. بالإضافة إلى ذلك ، تجنب إرسال بيانات المعلومات الصحية المحمية في إشعارات الدفع أو تسريب المعلومات في السجلات والنسخ الاحتياطية.

خطوات إنشاء تطبيقات متوافقة مع HIPAA

فيما يلي الخطوات الرئيسية لإنشاء تطبيقات متوافقة مع HIPAA للجوال:

  1. الحصول على المساعدة من الخبراء: العملية الكاملة لتطوير التطبيقات المتوافقة مع HIPAA معقدة. لذلك ، لا تحاول تلبية جميع متطلبات HIPAA دون توجيه إذا لم تكن لديك الخبرة الكافية. من الأفضل الاتصال بشركة تطوير برمجيات متوافقة مع HIPAA . الحصول على المساعدة من مطوري تطبيقات الرعاية الصحية ذوي الخبرة لتطوير التطبيقات المتوافقة سيجعل المهمة سهلة بالنسبة لك ويساعدك على الاستعداد بشكل أفضل. يعد تعيين خبير مفيدًا لكل من الشركات الناشئة وشركات الرعاية الصحية الكبرى.
  2. تقييم بيانات المريض: ستتمتع أي مؤسسة رعاية صحية بإمكانية الوصول إلى بيانات المريض السرية. يمكن تخزين هذه البيانات ومشاركتها وصيانتها عبر تطبيق جوال. أنت بحاجة إلى تحليل وتحديد ما يقع ضمن اختصاص PHI. بمجرد القيام بذلك ، تعرف على بيانات PHI التي يمكنك تجنب تخزينها أو نقلها من خلال تطبيق الهاتف المحمول الخاص بك.
  3. البحث عن حلول الجهات الخارجية المتوافقة مع HIPAA: يعد توفير متوافق مع HIPAA لتطبيق ما مكلفًا للغاية. في مثل هذه الحالات ، يُنصح باستخدام البنية التحتية والحلول المتوافقة بالفعل مع HIPAA بدلاً من تطوير تطبيقات الأجهزة المحمولة المتوافقة مع HIPAA من البداية. وهذا ما يسمى IaaS - البنية التحتية كخدمة. على سبيل المثال ، تتوافق Amazon Web Services و TrueVault مع HIPAA وهي مسؤولة عن أمان البيانات.

إذا كنت تستخدم موفر حلولًا تابعًا لجهة خارجية لتخزين بيانات المعلومات الصحية المحمية وإدارتها ، فستحتاج إلى توقيع اتفاقية شراكة أعمال مع شركات خارجية والتأكد من موثوقيتها.

  1. حماية البيانات الحساسة: استخدم أفضل التدابير الأمنية لحماية البيانات الحساسة لمرضاك. استخدم عدة مستويات من التشفير وتأكد من عدم وجود انتهاكات أمنية.
  2. الحفاظ على أمان تطبيقك واختباره: يعد اختبار تطبيقك أمرًا مهمًا حقًا. افعل ذلك بعد كل تحديث. إذا كانت هناك أي مشكلة في تطبيقك ، فيمكن إصلاحها على الفور.

الصيانة عملية مستمرة تحتاج إلى اتباعها للحفاظ على تطبيقك آمنًا. بعد إنشاء تطبيق متوافق مع HIPAA ، ستحتاج إلى التأكد من تحديثه بانتظام ؛ خلاف ذلك ، يمكن أن يحدث خرق أمني.

الميزات العامة للتطبيقات المتوافقة مع HIPAA

HIPAA compliant app features

بينما مثل قطاعات تطبيقات الأجهزة المحمولة الأخرى ، لا يوجد تطبيقان للرعاية الصحية متماثلان أيضًا. ومع ذلك ، هناك بعض الميزات الشائعة في جميع عمليات تطوير تطبيقات الرعاية الصحية المتوافقة مع HIPAA ، كما تناولناها أيضًا في دليل تطوير تطبيقات الصحة المحمولة .

تعريف المستخدم: لمصادقة المستخدمين ، أفضل شيء هو أن تطلب منهم رقم التعريف الشخصي أو كلمة المرور. يمكنك أيضًا رفع مستوى الميزة من خلال تنفيذ التعريف البيومتري والبطاقات الذكية.

الوصول في وقت الطوارئ: في حالة الطوارئ الطبيعية ، قد تواجه ظروف الشبكة والخدمات الأساسية اضطرابًا. في حين أن الترتيب لهذه الحالات ليس مطلبًا مباشرًا ، إلا أنه سيكون قرارًا جيدًا ، بوعي أن يكون لديك حكم يعالج هذه القضايا.

التشفير: يجب تشفير البيانات التي يتم تخزينها أو إرسالها. عندما تستخدم خدمات مثل Google Cloud أو AWS التي تشغل Transport Layer Security 1.2 ، فإنك تحصل تلقائيًا على التشفير التام بين الطرفين. على الرغم من أن TLS يمكن أن يكون كافيًا ، إلا أنه يمكن أن يكون خطوة جيدة لتعزيزه بشكل أكبر بتشفير AES.

ما هي تطبيقات الرعاية الصحية التي يجب أن تمتثل لقواعد HIPAA؟

عندما نقيس تطبيقًا مقابل الحاجة إلى الامتثال لقاعدة خصوصية HIPAA ، فإننا نأخذ في الاعتبار بشكل أساسي ثلاثة معايير لتحديد أي منها متوافق مع HIPAA:

شخصية

عندما يتم استخدام تطبيق من قبل كيان مشمول مثل مستشفى أو طبيب أو مزود تأمين رعاية صحية ، فمن المرجح أن يمتثلوا لمتطلبات تطوير البرامج المتوافقة مع HIPAA.

على سبيل المثال ، إذا كنت تخطط لتصميم تطبيق يسهل التفاعل بين المريض والطبيب ، فسيتعين عليه الامتثال لقواعد HIPAA لأن المستشفيات والأطباء كيانات مشمولة. من ناحية أخرى ، التطبيق الذي يساعد الشخص فقط في اتباع جدول الأدوية ، لن يضطر بالضرورة إلى اتباع قواعد خصوصية HIPAA نظرًا لعدم وجود كيانات مشمولة.

عندما نتحدث عن الكيانات ، من المهم النظر في قاعدة الخصوصية. تتناول القاعدة البيانات الصحية المحمية مع تحديد المسؤول عن ضمان عدم الكشف عن تفاصيل PI.

وفقًا لقاعدة الخصوصية ، هناك نوعان من المنظمات التي تخضع للامتثال لقانون HIPAA:

  • شريك العمل: هي الكيانات التي تجمع المعلومات الصحية المحمية وتخزنها وتعالجها ثم تنقلها نيابة عن الكيانات المشمولة.
  • الجهات المشمولة: هي مؤسسات الرعاية الصحية ، ومقدمو الخدمات ، وغرف المقاصة ، إلخ ، الذين يقومون ببعض المعاملات الإدارية والمالية إلكترونياً. تتضمن بعض هذه المعاملات تحويل الأموال والفوترة الإلكترونية وما إلى ذلك.

البيانات

يركز تطبيق HIPAA لتطبيق الهاتف المحمول بشكل أساسي على المعلومات الصحية المحمية - أي معلومات طبية يمكن استخدامها لتحديد هوية الفرد إلى جانب البيانات التي تم إنشاؤها أو استخدامها أو الكشف عنها في الوقت الذي تدير فيه مؤسسات الرعاية الصحية خدمات مثل التشخيص أو العلاج. .

تتكون المعلومات الصحية المحمية من قسمين: معلومات التعريف الشخصية والبيانات الطبية. الشيء المهم الذي يجب ملاحظته هنا هو أنه فقط عندما يتم ربط معلومات التعريف الشخصية بالبيانات الطبية ، تصبح المعلومات PHI.

على سبيل المثال ، التطبيق الذي يساعد الأطباء في تشخيص الأمراض الجلدية من خلال دراسة الصور المجهولة لا يتفاعل مع أي PHI. ومع ذلك ، عندما تذكر اسم المريض أو عنوانه ، سيصبح معلومات صحية محمية.

للتلخيص: عندما يمكن التعرف على المعلومات التي يتم مشاركتها أو تخزينها في تطبيق ما بشكل فردي ، يجب أن تمتثل لقانون HIPAA . تنطبق نفس القاعدة عند تخزين البيانات الحساسة على خادم تابع لجهة خارجية.

أمن البرمجيات

العامل الأخير الذي يساعد في تحديد ما إذا كان تطوير تطبيق الرعاية الصحية يندرج في قواعد HIPAA مرتبط بالتكنولوجيا المستخدمة ويتكون من معايير متعددة مطبقة للحماية والتحكم في الوصول إلى المعلومات الصحية المحمية الإلكترونية (ePHI).

تتكون هذه المعايير بشكل أساسي من النزاهة والتدقيق وضوابط الوصول.

الخطوات التي يتبعها Appinventiv لتقديم طلب متوافق مع HIPAA

في Appinventiv ، ينصب تركيزنا دائمًا على نهج تطوير تطبيقات الأجهزة المحمولة الذي يراعي السلامة أولاً . سواء كنا نعمل على تطوير تطبيق Fintech أو برنامج حسب الطلب ، تكمن الأولوية دائمًا في ضمان حماية بيانات المستخدمين في كل حالة.

عندما نجعل تطبيقات الهاتف المحمول متوافقة مع HIPAA ، هناك العديد من المتطلبات التي نلتزم بها في دورنا كشركة تطوير برامج رعاية صحية مخصصة. دعونا نلقي نظرة عليهم.

1. تشفير النقل

عند إنشاء برنامج متوافق مع HIPAA ، من الضروري الحفاظ على تشفير البيانات الصحية في عمليات الإرسال. الخطوة الأولى التي نتبعها لتحقيق ذلك هي استخدام بروتوكولات HTTP و SSL. في حالة نقل البيانات بين الخادم والعميل ، عندما يتعين نقل البيانات في نص طلبات POST ، نقوم أولاً بتشفيرها على واجهة المرسل ثم فك تشفيرها من جانب المتلقي. هذا يساعد في منع هجمات man-in-the-middle. بالإضافة إلى ذلك ، نقوم بنقل كلمات المرور وتخزينها في قيم التجزئة لحماية البيانات من اختراقها.

SSL pinning to safeguard applications

2. النسخ الاحتياطي

يقدم مقدمو الاستضافة الذين نتشارك معهم خدمات الاسترداد والنسخ الاحتياطي ، وهذا يضمن عدم فقدان البيانات في حالة الطوارئ أو الحوادث. على سبيل المثال ، إذا أرسل برنامج الويب البيانات إلى مكان آخر ، فسيتم نسخ الرسائل احتياطيًا وتخزينها بشكل آمن وإتاحتها للموظفين المعتمدين.

3. الإذن

يقوم فريقنا المكون من خبراء تطبيق mHealth ببناء وترقية تطبيقك الطبي بطريقة تحمي التفويض بشكل جيد. بعض الطرق التي نقوم بها هي: تدقيق التحكم في الوصول ، وتأمين عمليات تسجيل الدخول التي تضمن أنه لا يمكن الوصول إلى البيانات إلا من قبل الموظفين المصرح لهم.

blockchain technology in healthcare industry

4. النزاهة

عند تطوير تطبيقات الأجهزة المحمولة المتوافقة مع HIPAA ، من المهم إعداد بنية تحتية تضمن أن جمع المعلومات وتخزينها ونقلها آمن ولا يمكن تغييرها بأي شكل من الأشكال ، سواء عن قصد أو عن طريق الخطأ.

تتمثل الخطوة الأولى في هذا الصدد في التأكد من أن النظام يمكنه اكتشاف التلاعب غير المصرح به بالبيانات والإبلاغ عنه ، حتى عند تغيير أصغر جزء من المعلومات. إجراءات مثل التشفير والنسخ الاحتياطي المنتظم وترخيص الوصول جنبًا إلى جنب مع دور وامتياز المستخدمين المحددين بشكل صحيح بالإضافة إلى تقييد الوصول المادي إلى البنية التحتية تصبح عناصر ضرورية عند إنشاء تطبيقات متوافقة مع HIPAA.

5. تشفير التخزين

قاعدة التعامل مع المعلومات الصحية المحمية هو أنه يجب أن يكون متاحًا فقط للأفراد المصرح لهم. نحن نغطي جميع البيانات المخزنة في نظام البرنامج - النسخ الاحتياطية وقواعد البيانات والسجلات - في هذه القاعدة. يطبق خبراؤنا التشفير المدعوم بالصناعة بمساعدة خوارزميات RSA و AES بمفاتيح قوية. حتى أننا نستخدم قواعد البيانات المشفرة مثل SQLCipher لتخزين البيانات على الواجهة الخلفية بأمان.

6. التخلص

من الأهمية بمكان التخلص من البيانات المؤرشفة والنسخ الاحتياطي التي انتهت صلاحيتها بشكل دائم. نتخذ تدابير للتخلص من جميع البيانات غير المستخدمة بطريقة آمنة وغير قابلة للاسترداد.

كيف ندير جمع المعلومات الصحية المحمية ونقلها وتخزينها

عند التخطيط لعملية إدارة المعلومات الصحية المحمية لدينا ، فإننا ننظر في ثلاث حالات:

  1. عندما تكون المعلومات قيد النقل - بين الجهاز والخادم - فإننا نستفيد من مجموعات التشفير الحديثة و TLS لإدارة البيانات أثناء التنقل. في الحالات التي تعمل فيها الأجهزة في شبكات غير موثوق بها مثل شبكات wi-fi العامة ، فإننا نستفيد من عملية تثبيت الشهادة
  2. عندما تكون المعلومات على جانب الخادم - بمجرد دخول البيانات إلى وحدة تخزين الخادم ، فإننا نضع أحكامًا حول تدوير المفتاح وإدارة المفاتيح والنسخ الاحتياطي المشفر وتسجيل التدقيق وما إلى ذلك.
  3. عندما تكون المعلومات في وضع السكون على الجهاز - يميل iOS و Android عمومًا إلى تخزين تلك البيانات على الأقراص عندما تكون الشبكة غير متصلة بالإنترنت. وهذا بدوره يمكن أن يؤدي إلى عقوبات وغرامات باهظة. وبالتالي ، من المهم أن تكون البيانات مشفرة جيدًا.

استنتاج

مدفوعًا بتأثير وباء الفيروس التاجي على قطاع الرعاية الصحية ، ندخل قريبًا المرحلة التي سيكون فيها التحول الرقمي للرعاية الصحية هو المعيار الجديد. وهذا يعني أنه سيكون هناك تحول حاد في المستقبل القريب نحو التركيز على الالتزام بالامتثال. سيشهد المحوّلون الرقميون في مجال الرعاية الصحية الذين ينتهي بهم الأمر بفهم الفروق الدقيقة في التوافق وتنفيذها في برامجهم الطبية اليوم أكبر قدر من النجاح.

[اقرأ أيضًا: دليل الجيب للامتثال للرعاية الصحية]