Considérations ePHI pour le cloud computing dans les soins de santé

Les données sur les soins de santé sont de plus en plus stockées et utilisées dans le cloud public en tant qu'informations de santé protégées électroniquement ou ePHI. L'une des préoccupations des organisations de santé avec le cloud computing est le manque de contrôle sur leurs données PHI. Ce billet de blog décrit le cloud, les informations de santé protégées et les considérations de conformité pour réussir.

Le cloud

Le cloud computing est le terme utilisé pour décrire la fourniture de services informatiques sur Internet. Avec le cloud computing, les ressources qui étaient généralement locales pour une organisation – ordinateurs, logiciels et données – sont désormais hébergées par des fournisseurs tiers ou des fournisseurs de services cloud (CSP). Le cloud computing, c'est payer au fur et à mesure; le coût initial de la mise en place de serveurs et de bases de données sur site est remplacé par une approche mesurée où le coût est déterminé en fonction des ressources cloud utilisées.

Les services cloud peuvent facilement et automatiquement augmenter et réduire la taille et la capacité selon les besoins. Le cloud peut réduire les coûts d'infrastructure par rapport à une solution sur site. Les mises à jour logicielles, la maintenance matérielle, etc. sont effectuées par le fournisseur de services cloud avec une intervention minimale de l'organisation des soins de santé.

Informations de santé protégées

L'une des préoccupations des soins de santé que les organisations peuvent avoir avec le cloud computing est manque de contrôle sur leurs données PHI. La Loi sur la transférabilité et la responsabilité en matière d'assurance maladie ( HIPAA ) couvre les informations médicales protégées (PHI) qui pourraient être utilisées pour identifier les membres du régime de santé ou les patients et précise les sanctions si ces données sont divulguées. Les exemples de PHI sont le sexe, le numéro de téléphone, les dates de naissance des adresses e-mail et physiques, le sexe, l'origine ethnique, etc. Les PHI se rapportent aux enregistrements physiques, tandis que la loi HIPAA définit l'ePHI comme, «tout PHI créé, stocké, transmis, ou reçu par voie électronique " par une entité ou un associé commercial couvert par la HIPAA.

La conformité assure le succès

La HIPAA considère les organisations de soins de santé, comme les fournisseurs ou les payeurs, comme des entités couvertes tandis que les fournisseurs de services cloud (CSP) sont considérés comme des entreprises. associés. Pour être conforme à la HIPPA, l'organisation de soins de santé et le CSP doivent conclure un accord d'association commerciale HIPAA (BAA) avec les deux parties étant responsables de respecter les termes de la BAA. Le BAA est un contrat qui spécifie les utilisations et les divulgations autorisées de PHI par le fournisseur de services cloud en fonction des activités que le CSP effectue pour l'organisation de soins de santé.

Un CSP ne peut divulguer ou accéder à des informations de santé protégées que dans la mesure permise par l'organisation de soins de santé. et autorisé par la loi. Tant qu'un accord de partenariat commercial n'est pas en place et qu'une évaluation des risques n'a pas été effectuée, l'ePHI ne peut pas être déplacé vers le cloud. Une évaluation des risques est effectuée afin d'identifier les risques et les zones potentielles d'exploitation dans les environnements et de suggérer des mesures appropriées pour minimiser les menaces à la sécurité et à l'intégrité de l'ePHI. L'analyse des risques doit être effectuée à la fois par l'organisation de soins de santé et le fournisseur de services cloud.

Une fois l'analyse des risques terminée et un accord avec les partenaires commerciaux en place, le fournisseur de services de santé et l'organisation de santé peuvent également conclure un accord de niveau de service (SLA). Cela décrit des problèmes tels que la façon dont les données seront renvoyées à l'organisme de soins de santé une fois qu'il cessera d'utiliser le CSP, la sauvegarde et la récupération des données, et toute restriction sur l'utilisation et la conservation des données.