Руководство для предпринимателей о том, как разработать мобильное приложение, совместимое с HIPAA

Опубликовано: 2020-06-12

Если вы когда-либо взаимодействовали с индустрией здравоохранения, то наверняка слышали о приложениях, совместимых с HIPAA . Вы, должно быть, также слышали, что это необходимое условие для разработки приложений для здравоохранения. В этой статье мы дадим вам общее представление о процессе разработки приложения HIPAA, чтобы помочь вам начать цифровую трансформацию здравоохранения.

Эпоха, в которой мы сейчас живем, работает по одной простой формуле: данные — это золото. Когда мы изучаем любую отрасль, которая имеет дело с данными пользователей (конфиденциальными или нет), мы также обязательно увидим некоторые требования, направленные на то, чтобы сделать отрасль более защищенной.

Сектор здравоохранения также не остался в стороне от необходимости строгого соблюдения требований, чтобы защитить данные пользователей от неправомерного использования в эпоху мобильных устройств.

healthcare data breaches between 2009 ans 2019

Хотя требования варьируются от страны к стране, универсальным по многим причинам стал HIPAA — Закон о переносимости и подотчетности медицинского страхования.

Давайте рассмотрим процесс разработки приложений, совместимых с HIPAA, который гарантирует, что ваше приложение разработано в соответствии с требованиями соответствия.

Что такое закон HIPAA?

Закон HIPAA гарантирует отсутствие аномалий при обработке и хранении данных пациентов, особенно на программной платформе. Это также включает в себя обмен информацией, касающейся выставления счетов и медицинского страхования для пациентов.

Идея разработки мобильного приложения, отвечающего требованиям HIPAA, возникла в 1996 году для регулирования защиты данных пациентов, снижения затрат на здравоохранение и предоставления медицинского страхования людям, потерявшим или сменившим работу. Тем не менее, часть действия, в которой мы заинтересованы как разработчики, а вы как предприниматели приложений, — это требование обеспечения того, чтобы приложение защищало пользователей от мошенничества с данными.

Первая часть понимания и реализации соответствия нормативным требованиям HIPAA заключается в том, чтобы знать, с какими данными взаимодействует домен программного обеспечения для здравоохранения.

  • PHI (защищенная медицинская информация) — этот набор информации состоит из счетов от врачей, снимков МРТ, электронных писем, результатов анализов и другой медицинской информации. Кроме того, сведения о геолокации кого-либо на территории также считаются PHI.

list of PHI data

  • CHI (информация о здоровье потребителя) — эта информация состоит из данных, которые вы можете получить с помощью фитнес-трекера, например: количество сожженных калорий, показания частоты сердечных сокращений и количество шагов.

На пути к пониманию соответствия мобильных приложений HIPAA все еще существует много путаницы в отношении важности правил HIPAA. Ответим на следующее.

Что делает соблюдение требований HIPAA важным?

Регулирование HIPAA — это всеобъемлющий закон, который был принят для оказания помощи как учреждениям здравоохранения, так и пациентам. Таким образом, понимание того, почему это важно, необходимо обеим заинтересованным сторонам при создании программного обеспечения, совместимого с HIPAA .

Для пациентов:

  1. Ни одна организация не может передавать какую-либо информацию о пациентах без их согласия. В соответствии с требованиями HIPAA только медицинские работники могут делиться информацией о пациентах с заинтересованными сторонами. Кроме того, только те заинтересованные стороны, которые посещают медицинские операции, должны быть охвачены PHI, что, в свою очередь, обеспечивает высокий уровень конфиденциальности и конфиденциальности.
  2. Специалисты по выставлению счетов и поставщики рецептов не могут отправлять информацию о пациентах другим заинтересованным сторонам, как указано в предыдущем пункте, не разрешается отправлять информацию о пациентах.
  3. Организации должны уведомлять пациентов о нарушении — пациенты имеют полное право на свои медицинские данные. Это обеспечивает беспрепятственный обмен данными между несколькими медицинскими учреждениями.

Для больниц:

Важность соблюдения требований HIPAA для мобильных приложений для больниц заключается в понимании того, что произойдет, если они не будут соблюдаться. В случае несоблюдения требований, больницы несут ответственность за огромные штрафы. Штраф за индивидуальную утечку данных может составить от 100 до 50 000 долларов.

Есть много живых примеров того, насколько дорого это может обойтись больницам, когда они нарушают соответствие HIPAA — как с финансовой, так и с имиджевой точки зрения. Например, в 2015 году больница в Массачусетсе была вынуждена заплатить штраф в размере 218 000 долларов за то, что подвергла риску данные более 500 пациентов просто потому, что их приложение для обмена файлами не соответствовало требованиям безопасности HIPAA.

Как сделать мобильные приложения совместимыми с HIPAA ?

Разработка медицинских приложений, совместимых с HIPAA , иногда может представлять собой проблему для разработчиков медицинских приложений, особенно потому, что она требует ряда изменений как в отношении функций, так и в плане дизайна.

Наш опыт разработки более 70 решений для мобильного здравоохранения помог нам создать контрольный список соответствия HIPAA для разработки программного обеспечения . Вот загляните в него -

Создание телефонного приложения, совместимого с HIPAA, требует соблюдения четырех основных правил:

  • Конфиденциальность
  • Безопасность
  • Правоприменение
  • Нарушение

В то время как как предприниматель приложений, вы должны были бы изучить все четыре правила, которые компания по разработке приложений для здравоохранения, такая как мы, в первую очередь обходит, отвечая на вопрос , как сделать программное обеспечение совместимым с HIPAA, — это правила конфиденциальности и безопасности HIPAA . Они в основном состоят из физических и технических средств защиты.

Физические гарантии

Он включает в себя защиту серверной части, сети для передачи данных и устройств на базе Android или iOS, гарантируя, что они не будут скомпрометированы, потеряны или украдены. Чтобы обеспечить безопасность приложений, вы должны применять аутентификацию, делая невозможным доступ к приложениям без аутентификации, чего можно добиться с помощью системы многофакторной аутентификации.

Технические гарантии

Они сосредоточены на полном шифровании данных, которые могут быть переданы или сохранены на серверах и устройствах. Некоторые из методов технической защиты включают в себя:

  • Процесс аварийного доступа
  • Уникальная идентификация пользователя
  • Автоматический выход

Другой передовой практикой в ​​этом отношении может быть соблюдение требований минимальной необходимости: не собирайте больше данных, чем вам нужно, и не храните данные дольше, чем это действительно необходимо для работы. Кроме того, избегайте передачи данных PHI в push-уведомлениях или утечки информации в журналах и резервных копиях.

Шаги по созданию приложений, совместимых с HIPAA

Вот основные шаги по созданию мобильных приложений, совместимых с HIPAA:

  1. Получите помощь от экспертов: весь процесс разработки приложений, совместимых с HIPAA, сложен. Поэтому не пытайтесь выполнить все требования HIPAA без руководства, если у вас недостаточно опыта. Лучше обратиться в известную компанию-разработчика программного обеспечения, отвечающую требованиям HIPAA . Если вы обратитесь за помощью к опытным разработчикам медицинских приложений для разработки совместимых приложений, это облегчит вам задачу и поможет лучше подготовиться. Нанимать эксперта выгодно как стартапам, так и крупным медицинским компаниям.
  2. Оценивайте данные пациентов: любое медицинское учреждение будет иметь доступ к конфиденциальным данным пациентов. Эти данные можно хранить, передавать и поддерживать через мобильное приложение. Вам необходимо проанализировать и определить, что входит в компетенцию PHI. Как только вы это сделаете, посмотрите, какие данные PHI вы можете избежать хранения или передачи через мобильное приложение.
  3. Найдите сторонние решения, совместимые с HIPAA: обеспечить соответствие HIPAA для приложения очень дорого. В таких ситуациях рекомендуется использовать инфраструктуру и решения, которые уже соответствуют HIPAA, а не разрабатывать мобильные приложения, соответствующие HIPAA, с нуля. Это называется IaaS — инфраструктура как услуга. Например, Amazon Web Services и TrueVault соответствуют HIPAA и отвечают за безопасность данных.

Если вы используете стороннего поставщика решений для хранения и управления данными PHI, вам необходимо подписать соглашение о деловом партнерстве со сторонними компаниями и убедиться в их надежности.

  1. Защитите конфиденциальные данные: используйте лучшие меры безопасности для защиты конфиденциальных данных ваших пациентов. Используйте несколько уровней шифрования и убедитесь, что нет нарушений безопасности.
  2. Поддерживайте и тестируйте свое приложение для обеспечения безопасности. Тестирование вашего приложения действительно важно. Делайте это после каждого обновления. Если есть какие-либо проблемы с вашим приложением, они могут быть немедленно устранены.

Обслуживание — это постоянный процесс, которому вы должны следовать, чтобы ваше приложение было безопасным и безопасным. После того, как вы создадите приложение, совместимое с HIPAA, вам необходимо регулярно его обновлять; в противном случае может произойти нарушение безопасности.

Общие характеристики приложений, совместимых с HIPAA

HIPAA compliant app features

Хотя, как и в других секторах мобильных приложений, нет двух одинаковых приложений для здравоохранения. Однако есть некоторые функции, которые являются общими для всех процессов разработки приложений для здравоохранения, соответствующих требованиям HIPAA , о чем мы также рассказали в нашем руководстве по разработке приложений mHealth .

Идентификация пользователя: для аутентификации пользователей лучше всего запросить у них PIN-код или пароль. Вы также можете улучшить эту функцию, внедрив биометрическую идентификацию и смарт-карты.

Доступ во время чрезвычайной ситуации: в случае стихийных бедствий условия сети и основные услуги могут быть нарушены. Хотя организация этих случаев не является прямым требованием, было бы хорошим решением сознательно принять положение, касающееся этих вопросов.

Шифрование: данные, которые хранятся или передаются, должны быть зашифрованы. Когда вы используете такие сервисы, как Google Cloud или AWS, на которых работает Transport Layer Security 1.2, вы автоматически получаете сквозное шифрование. Хотя TLS может быть достаточно, было бы неплохо дополнительно укрепить его с помощью шифрования AES.

Какие медицинские приложения должны соответствовать правилам HIPAA?

Когда мы сравниваем приложение с необходимостью соблюдения правила конфиденциальности HIPAA, мы в основном учитываем три критерия, чтобы определить, какие из них являются приложениями, совместимыми с HIPAA:

Организация

Когда приложение используется какой-либо застрахованной организацией, такой как больница, врач или страховая компания, они, скорее всего, будут соответствовать требованиям HIPAA к разработке программного обеспечения.

Например, если вы планируете разработать приложение, облегчающее взаимодействие между пациентом и врачом, оно должно соответствовать правилам HIPAA, поскольку и больницы, и врачи покрываются юридическими лицами. С другой стороны, приложение, которое исключительно помогает человеку следовать графику приема лекарств, не обязательно должно следовать правилам конфиденциальности HIPAA, поскольку в нем нет вовлеченных субъектов.

Когда мы говорим о сущностях, важно изучить правило конфиденциальности. Правило определяет, что такое защищенные данные о состоянии здоровья, и определяет, кто несет ответственность за то, чтобы детали PI не были раскрыты.

Согласно правилу конфиденциальности, существует два типа организаций, на которые распространяется действие закона HIPAA:

  • Деловой партнер: это лица, которые собирают, хранят, обрабатывают и затем передают PHI от имени застрахованных лиц.
  • Охватываемые организации: это организации здравоохранения, поставщики услуг, расчетные палаты и т. д., которые выполняют некоторые административные и финансовые операции в электронном виде. Некоторые из этих транзакций включают перевод средств, электронный биллинг и т. д.

Данные

Соответствие HIPAA мобильного приложения в основном сосредоточено на защищенной медицинской информации — любой медицинской информации, которая может быть использована для идентификации человека, а также данных, которые были созданы, использованы или раскрыты в то время, когда медицинские организации управляли такими услугами, как диагностика или лечение. .

PHI состоит из двух разделов: личная информация и медицинские данные. Здесь важно отметить, что только тогда, когда информация, позволяющая установить личность, связана с медицинскими данными, эта информация становится PHI.

Например, приложение, которое помогает врачам диагностировать кожные заболевания, изучая анонимные фотографии, не взаимодействует ни с какой PHI. Однако если вы укажете имя или адрес пациента, это станет PHI.

Подводя итог: если информация, передаваемая или хранящаяся в приложении, может быть индивидуально идентифицирована, она должна соответствовать требованиям закона HIPAA . То же правило применяется, когда конфиденциальные данные хранятся на стороннем сервере.

Безопасность программного обеспечения

Последний фактор, который помогает определить, подпадает ли разработка медицинских приложений под правила HIPAA, связан с используемой технологией и состоит из нескольких стандартов, применяемых для защиты и контроля доступа к электронной защищенной медицинской информации (ePHI).

Эти стандарты в основном состоят из целостности, аудита и контроля доступа.

Шаги, которым следует Appinventiv для создания приложения, совместимого с HIPAA

В Appinventiv мы всегда уделяем особое внимание подходу к разработке мобильных приложений , ориентированному на безопасность . Независимо от того, разрабатываем ли мы приложение Fintech или программное обеспечение по запросу, приоритет всегда заключается в обеспечении защиты данных пользователей при любых условиях.

Когда мы делаем мобильные приложения , совместимые с HIPAA, мы соблюдаем несколько требований в качестве компании-разработчика программного обеспечения для здравоохранения. Давайте посмотрим на них.

1. Транспортное шифрование

При создании программного обеспечения, совместимого с HIPAA, обязательно хранить данные о работоспособности в зашифрованном виде при передаче. Первый шаг, который мы делаем для достижения этой цели, — это использование протоколов HTTP и SSL. В случае передачи данных клиент-сервер, когда данные должны передаваться в теле POST-запросов, мы сначала шифруем их на стороне отправителя, а затем расшифровываем на стороне получателя. Это помогает предотвратить атаки «человек посередине». Кроме того, мы передаем и храним пароли в хеш-значениях, чтобы защитить данные от компрометации.

SSL pinning to safeguard applications

2. Резервное копирование

Хостинг-провайдеры, с которыми мы сотрудничаем, предлагают услуги восстановления и резервного копирования, что гарантирует, что данные не будут потеряны в случае чрезвычайной ситуации или аварии. Например, если веб-программа отправляет данные в другое место, сообщения резервируются, надежно сохраняются и становятся доступными для уполномоченного персонала.

3. Авторизация

Наша команда экспертов по приложениям мобильного здравоохранения создает и обновляет ваше медицинское приложение таким образом, чтобы авторизация была надежно защищена. Вот некоторые из способов, которыми мы это делаем: аудит контроля доступа, защита входа в систему, что гарантирует, что доступ к данным может быть получен только уполномоченным персоналом.

blockchain technology in healthcare industry

4. Честность

При разработке мобильных приложений, совместимых с HIPAA , важно создать инфраструктуру, которая обеспечит безопасность сбора, хранения и передачи информации и ее невозможность каким-либо образом изменить, преднамеренно или по ошибке.

Первый шаг в этом отношении — убедиться, что система может обнаруживать и сообщать о несанкционированном изменении данных, даже при изменении мельчайшей части информации. Такие меры, как шифрование, регулярное резервное копирование, авторизация доступа, а также правильно определенные роли и привилегии пользователей в дополнение к ограничению физического доступа к инфраструктуре, становятся обязательными элементами при создании приложений, совместимых с HIPAA.

5. Шифрование хранилища

Правило работы с PHI заключается в том, что она должна быть доступна только уполномоченному персоналу. Мы охватываем все данные, которые хранятся в программной системе — резервные копии, базы данных и журналы — в этом правиле. Наши специалисты применяют отраслевое шифрование с помощью алгоритмов RSA и AES с надежными ключами. Мы даже используем зашифрованные базы данных, такие как SQLCipher, для безопасного хранения данных на сервере.

6. Утилизация

Крайне важно, чтобы архивные и резервные данные, срок действия которых истек, удалялись навсегда. Мы принимаем меры для безопасного и необратимого удаления всех неиспользуемых данных.

Как мы управляем сбором, передачей и хранением PHI

При планировании процесса управления PHI мы рассматриваем три ситуации:

  1. Когда информация находится в пути — между устройством и сервером — мы используем современные наборы шифров и TLS для управления данными в пути. В случаях, когда устройства работают в ненадежных сетях, таких как общедоступный Wi-Fi, мы используем процесс закрепления сертификата.
  2. Когда информация находится на стороне сервера — после того, как данные поступили в хранилище сервера, мы принимаем меры по ротации ключей, управлению ключами, зашифрованному резервному копированию, ведению журнала аудита и т. д.
  3. Когда информация хранится на устройстве — iOS и Android обычно сохраняют эти данные на дисках, когда сеть отключена. Это, в свою очередь, может повлечь за собой большие штрафы и штрафы. Таким образом, важно, чтобы данные были хорошо зашифрованы.

Вывод

Из-за воздействия пандемии коронавируса на сектор здравоохранения мы скоро вступаем в фазу, когда цифровая трансформация здравоохранения станет новой нормой. Это означает, что в будущем произойдет резкое смещение акцента на соблюдение режима. Наибольшего успеха добьются специалисты по цифровым преобразованиям в сфере здравоохранения, которые в конечном итоге поймут нюансы соответствия и реализуют их в своем медицинском программном обеспечении.

[Также читайте: Карманный справочник по соблюдению требований здравоохранения]