与他人分享你的iPhone照片是一回事。但是,通过新的适用于iOS 8的HealthKit框架来共享医疗信息,则完全是另一回事。
在某些情况下,与HealthKit合作的iOS开发人员可能会发现,他们不得不应对联邦健康保险便携性和问责法案(HIPAA)中严格的隐私保护、数据保护和安全违规规定。
有一个问题仍然没有得到解答,那就是苹果和iTunes应用程序商店在发布归入HIPAA范围的应用程序方面扮演了什么角色(如果有的话)。在这篇文章发布的时候,苹果的公关部门还没有回复a足球竞猜app软件电子邮件查询有关此主题。
+也在网络世界:“iOS 8:对你的世界更加开放”+
本周,苹果发布了iOS 8的测试版。一个关键的主题是一个更加开放的移动平台,它可以轻松安全地连接到终端用户周围的世界。(参见我们的幻灯片,“iOS 8:对你的世界更加开放这款新的健康应用程序旨在充当一个“仪表盘”,可以收集、总结和显示来自其他车载应用程序以及第三方蓝牙健身或健康设备(如血压或葡萄糖监测器或各种健身追踪器)的各种健身和健康数据。
iOS 8健康应用程序在一个地方收集医疗数据。但这可能意味着,一些开发商将需要遵守联邦数据保护规定。
HealthKit是软件框架,与生应用程序,并相互允许应用程序的健康和健身共享他们的数据。据苹果公司,在为数不多的HealthKit细节显然,在公共领域,iOS用户“决定哪些数据应该与您的应用程序共享”。通过HealthKit,应用程序可以访问用户的健康相关信息,并提供用户的信息,而无需知道具体的、不同的第三方设备的细节。开发者可以对这些交互进行广泛的控制。苹果公司引用的一个例子是:“你可以要求在用户测量血压时通知你的应用程序,或者只有在测量结果显示用户的血压过高时才通知你。”
移动设备和应用程序正在医学和医疗保健的各个层面得到应用。HIPAA规则处理这些实体的特定子集以及它们共享的特定类型的数据。专门为医务人员和医疗机构开发应用程序的开发人员已经熟悉HIPAA的安全、隐私和数据保护规定。而且在很多情况下,iOS开发者开发只为终端用户使用的与健康相关的应用程序时,不必担心HIPAA。
该公司联合创始人兼首席执行长王建中(Jason Wang)说,如果这些数据仅仅存在于你的手机中,那么它仍是你的个人数据,不在HIPAA的权限之内TrueVault这家位于旧金山的初创公司提供符合hipaa的数据存储服务和应用开发平台。但如果任何数据都可以归类为“受保护的健康信息”(或φ),那么它可能属于HIPAA传播时从你的iPhone或者iPad HIPAA称之为“覆盖实体”——你的初级保健医生,医院或健康计划——或者他们的“生意伙伴”——任何组织处理φ代表一个实体,如药房福利管理器操作一个健康计划的处方中获益。
开发人员将需要问和回答两个问题,for的卫生信息实践联合主席Adam Greene说Davis Wright TremaineLLP是一家总部设在华盛顿特区的全国性律师事务所,专门从事商业和诉讼法律。首先,谁将使用应用程序,其次,应用程序上将包含哪些信息?
问题在于,这款应用是否正在被医生或其他医疗服务提供商使用。例如,是在平板电脑上还是在智能手机上?”格林说。如果患者使用该应用程序,即使是与医生分享信息,一般也不会归入HIPAA。如果该应用程序是代表医疗服务提供商或医疗计划使用的,它通常属于HIPAA。”
格林指出,“受保护的健康信息”指的是“确定个人身份,并与个人的身心健康、对个人的医疗服务或此类医疗服务的支付有关的信息”写。“就业记录和教育机构的记录有例外。”
除了其他功能外,PHI还可以包括发送给患者的移动电子邮件、文本或语音信息,以提醒他们即将进行的预约或测试。
根据Greene的说法,为最终用户设计的应用程序不受HIPAA的约束。他写道:“一个人的智能手机上的帮助用户遵守药物计划的应用程序不会被纳入HIPAA,因为它没有涉及到承保实体。”“即使应用程序允许用户向她的医生发送信息,该应用程序也不受HIPAA的约束,尽管一旦接受HIPAA的医生收到信息,这些信息就会受到HIPAA的约束。”
(参见格林的在线版本)HIPAA要求和移动应用程序”赠一年前在一年一度的‘保护健康信息:通过HIPAA安全’会议,大楼保证共同主办由联邦政府HHS民权办公室(OCR)和标准与技术研究所(NIST)]
TrueVault的数据库在亚马逊网络服务托管的冗余和高可用性。定期,然后再对它们进行加密,根据CEO王 - 它加密进入“对象” - 在这种情况下PHI数据。开发人员可以简单地设计和建造自己的应用程序,因为他们通常做,TrueVault的后端数据保护等功能,使基于TrueVault-应用HIPAA安全,据王。
为了了解HIPAA的覆盖面有多广,让我们来看看一款针对医生的手机应用:DocbookMD这是一个适用于Android和iOS设备的hipaa安全消息应用程序,通过网络,也适用于Microsoft Windows pc和OS X mac。它创建了一个医生的“安全社区”,允许他们共享病人信息并与同事合作。
除其他事项外,DocbookMD竭尽全力来验证邮件收件人。和应用程序并不是简单地显示在屏幕上,在那里任何人可以看到它的信息:反而,医生/用户得到一个警告,一个新的消息已到达。根据供应商的网站 - “永不休息的设备上,一旦DocbookMD应用程序打开(你可以选择使用密码保护您的手机和应用程序本身),你可以阅读邮件”。
这里有一个总结,对于一些表征这个HIPAA安全应用程序的其他功能DocbookMD网站:
- 256位加密,超过当前HIPAA的合规要求。
- 所有DocbookMD用户都需要在激活前签署HIPAA业务协议。
- 敏感内容,如病人的详细信息和照片,驻留在DocbookMD服务器上,而不是用户的设备上。
- 远程禁用设备,如果它丢失或被盗。
- 按照《2009年促进经济和临床健康的卫生信息技术》(高科技的)的行为。
即使受保护实体(如医院的医生和护士)使用的应用程序,如果他们没有使用受保护的健康信息,也可能不受HIPAA规则的约束。格林举了一个例子:HIPAA不包括一个为护士提供医院流感患者趋势汇总统计数据的移动应用程序,因为这些统计数据已经被“去识别”了。如果该应用程序允许护士添加病人的具体信息,那么病人的信息就会被纳入HIPAA的规定。
编写符合HIPAA的健康应用程序的IOS开发者也必须跟上HIPAA以及HITECH等相关行业的变化。就在一年前,美国卫生与公众服务部(HHS)宣布了对HIPAA的一系列重大修改。根据这家总部位于亚特兰大的律师事务所的医疗保健实务小组的总结,这些关键变化包括米勒和马丁:
+不当使用或披露PHI现在被推定为违约,除非受保护实体或商业伙伴“证明受保护的健康信息被泄露的可能性很低”。
+ HIPAA下的“业务关联”的定义现在适用于一组全新的实体,这些实体都需要遵守法规,例如,任何处理PHI的业务关联的分包商。
+某些HIPAA隐私,安全,以及实施细则,现在直接向商业伙伴:任何违反这些手段的商业伙伴的“受HIPAA下的所有刑事和民事处罚,这是HITECH下显著上升。”
Apple HealthKit承诺将iOS用户与更广泛的专业、高度个性化的数据以及能够以新的方式使用这些数据的新应用程序相互连接。但这也意味着iOS开发者必须了解旨在保护这些数据的新的隐私和安全规则。