Hur du gör din app för hälso- och sjukvård HIPAA-kompatibel

HIPAA skyddar bland annat patienternas hälsoinformation.

Anthem, USA:s största försäkringsbolag, lärde sig detta på det hårda sättet.

Det som började med ett enkelt phishing-e-postmeddelande ledde till historiens största dataintrång inom sjukvården. Hackarna stal uppgifter om 79 miljoner patienter. Informationen omfattade deras namn, personnummer och medicinska ID:n.

De upprörda patienterna stämde Anthem och fick en förlikning på 115 miljoner dollar. Även om företaget undvek tillsynsmyndighetens böter skulle det behöva spendera upp till 260 miljoner dollar för att förbättra sin säkerhet.

HHS Office for Civil Rights (OCR) övervakar efterlevnaden av HIPAA. Bara under 2017 har det bötfällt amerikanska vårdgivare med nästan 20 miljoner dollar.

Även om du är en liten organisation kan försummelse av HIPAA-kraven leda till allvarliga problem.

Under 2013 hade Fresenius Medical Care North America fem dataintrång. Tillsammans har de exponerat uppgifter om bara 525 patienter. Men företaget fick betala ett monstruöst bötesbelopp på 3,5 miljoner dollar eftersom det inte analyserade säkerhetsriskerna ordentligt.

Enligt graden av försummelse finns det fyra däck för HIPAA-böter:

HIPAA-ordlista

Du bör förstå de här tre nyckelbegreppen innan du tar dig an HIPAA-kraven.

• Skyddad hälsoinformation (PHI) – alla uppgifter som kan användas för att identifiera en patient.

PHI består av två delar: hälsoinformation och personliga identifierare. De sistnämnda omfattar patientens namn, adress, födelsedatum, personnummer, medicinska journaler, foton osv. Det faktum att en person har fått medicinska tjänster är en PHI i sig.

Vad betraktas som PHI? Den fullständiga listan.

• Täckta enheter – organisationer och personer som erbjuder hälso- och sjukvårdstjänster/verksamhet eller tar emot betalning för dem.

De omfattar alla vårdgivare (t.ex. sjukhus, läkare, tandläkare, psykologer), hälsoplaner (t.ex. försäkringsbolag, HMO:s, statliga program som Medicare och Medicaid) och clearinghus (de organisationer som fungerar som mellanhänder mellan vårdgivare och försäkringsbolag).

• Affärsbiträden – de tredje parter som hanterar PHI för täckta enheters räkning.

Denna kategori omfattar utvecklare av hälso- och sjukvårdsappar, leverantörer av hosting/datalagringsutrymmen, e-posttjänster etc.

Enligt HIPAA måste du underteckna ett avtal om affärsbiträde (Business Associate Agreement, BAA) med varje part som har tillgång till dina PHI. Att besluta att inte underteckna ett BAA befriar dig inte från HIPAA-kraven.

Det kan finnas många oavsiktliga sätt på vilka de känsliga uppgifterna kan komma in i ditt system.

Tag till exempel en tjänst som gör det möjligt för läkare att diagnostisera hudtillstånd baserat på anonyma foton. Appen hanterar inte PHI eftersom du inte kan identifiera dess användare. Men så snart du lägger till personens namn eller adress till bilderna blir de PHI.

Om din applikation samlar in, lagrar eller överför PHI till de berörda enheterna måste du följa HIPAA.

Hur man blir HIPAA-kompatibel?

För att bli HIPAA-kompatibel måste du göra regelbundna tekniska och icke-tekniska utvärderingar av dina insatser för att skydda hälsoinformation och dokumentera dem noggrant. Tillsynsmyndigheten har publicerat ett exempel på ett revisionsprotokoll som kan hjälpa dig att bedöma din HIPAA-överensstämmelse.

Du kan anlita en oberoende revisor för att göra bedömningen åt dig. Det finns många organisationer, till exempel HITRUST, som specialiserar sig på sådant. Kom bara ihåg att OCR inte erkänner några certifikat från tredje part.

Tekniska skyddsåtgärder. Säkerhetsåtgärder som inloggning, kryptering, nödåtkomst, aktivitetsloggar osv. Lagen anger inte vilken teknik du ska använda för att skydda PHI.

Fysiska skyddsåtgärder syftar till att säkra de anläggningar och enheter som lagrar PHI (servrar, datacenter, datorer, bärbara datorer etc.).

Med moderna molnbaserade lösningar gäller den här regeln främst HIPAA-kompatibla webbhotell.

Lagen är tillämplig på ett stort antal medicinska programvaror. Ett sjukhushanteringssystem (HMS) skiljer sig radikalt från appar för fjärrdiagnostik. Men det finns vissa funktioner som är viktiga för alla HIPAA-kompatibla appar.

Så här är en minimilista över nödvändiga funktioner för HIPAA-kompatibel programvara:

1. Åtkomstkontroll

Alla system som lagrar PHI bör begränsa vem som kan se eller ändra de känsliga uppgifterna. Enligt HIPAA Privacy Rule får ingen se mer patientinformation än vad som krävs för att utföra sitt arbete. Regeln specificerar också avidentifiering, patientens rätt att se sina egna uppgifter och deras möjlighet att ge eller begränsa tillgången till sina PHI.

Ett sätt att åstadkomma detta är att tilldela varje användare ett unikt ID. På så sätt kan du identifiera och spåra aktiviteten hos de personer som har tillgång till ditt system.

Nästan måste du ge varje användare en lista över privilegier som gör det möjligt för dem att visa eller ändra viss information. Du kan reglera åtkomsten till enskilda databasentiteter och URL:er.

I sin enklaste form består användarbaserad åtkomstkontroll av två databastabeller. Den ena tabellen innehåller en lista över alla privilegier och deras ID:n. Den andra tabellen tilldelar dessa privilegier till enskilda användare.

I det här exemplet kan läkaren (användar-ID 1) skapa, visa och ändra journalerna, medan radiologen (användar-ID 2) endast kan uppdatera dem.
En rollbaserad åtkomstkontroll är ett annat sätt att genomföra detta krav. Med den kan du tilldela olika grupper av användare privilegier beroende på deras position (t.ex. läkare, laboratorietekniker, administratörer).

2. Autentisering av person eller enhet

När du har tilldelat privilegier ska ditt system kunna verifiera att den person som försöker få åtkomst till PHI är den som han/hon påstår sig vara. Lagen erbjuder flera allmänna sätt på vilka du kan genomföra denna skyddsåtgärd:

Ett lösenord är en av de enklaste autentiseringsmetoderna. Tyvärr är det också en av de enklaste att knäcka. Enligt Verizon sker 63 % av dataintrång på grund av svaga eller stulna lösenord. Enligt en annan rapport har en femtedel av företagsanvändarna lösenord som lätt kan äventyras.

Ett verkligt säkert lösenord:

• Består av minst 8-12 tecken som inkluderar stora bokstäver, siffror och specialtecken;
• Utesluter de vanligaste kombinationerna (t.ex. ”password”, ”123456”, ”qwerty” och av någon oförklarlig anledning ”monkey”) och vokabulärord;
• Det omöjliggör alla variationer av användarnamnet;
• Förhindrar återanvändning av lösenordet.

Alternativt skulle det kunna vara en sträng av slumpmässiga ord som slås ihop som en isglass av betong.

Ditt program kan kontrollera dessa krav på inloggningsskärmen och neka användare med svaga lösenord tillträde.

Det finns inget som heter för mycket säkerhet. Källa: mailbox.org

Vissa organisationer tvingar sina anställda att byta lösenord ungefär var 90:e dag. Att göra detta för ofta kan faktiskt skada dina säkerhetsinsatser. När människor tvingas byta lösenord kommer de ofta på ooriginella kombinationer (t.ex. password ⇒ pa$$$word).

För övrigt kan hackare knäcka ett dåligt lösenord på några sekunder och använda det omedelbart.

Det är därför du bör överväga att använda en tvåfaktorsautentisering. Sådana system kombinerar ett säkert lösenord med en andra verifieringsmetod. Det kan vara allt från en biometrisk skanner till en säkerhetskod för engångsbruk som tas emot via SMS.

Tanken är enkel: även om hackare på något sätt skulle få tag på ditt lösenord måste de stjäla din enhet eller dina fingeravtryck för att komma åt PHI.

Men säker autentisering är inte tillräckligt. Vissa angripare kan komma in mellan användarens enhet och dina servrar. På så sätt kan hackarna få tillgång till PHI utan att äventyra kontot. Detta kallas sessionskapning, ett slags man-in-the-middle-attacker.

Ett av de möjliga sätten att kapa en session. Källa: Heimdal Security

En digital signatur är ett sätt att försvara sig mot sådana attacker. Att skriva in lösenordet på nytt när man signerar ett dokument skulle bevisa användarens identitet.

När rollerna i ditt system blir mer komplexa kan HIPAA-auktorisationen komma i vägen för att hjälpa patienterna. Det är klokt att införa nödåtkomst. Sådana förfaranden gör det möjligt för auktoriserade användare att se alla data de behöver när situationen kräver det.

En läkare kan till exempel få tillgång till PHI för vilken patient som helst i en nödsituation. Samtidigt skulle systemet automatiskt meddela flera andra personer och inleda ett granskningsförfarande.

3. Överföringssäkerhet

Du bör skydda den PHI som du skickar över nätverket och mellan de olika nivåerna i ditt system.

Det är därför du bör tvinga fram HTTPS för all din kommunikation (eller åtminstone för inloggningsskärmarna, alla sidor som innehåller PHI och auktoriseringscookies). Detta säkra kommunikationsprotokoll krypterar data med SSL/TLS. Med hjälp av en särskild algoritm förvandlas PHI till en teckensträng som är meningslös utan dekrypteringsnycklar.

En fil som kallas SSL-certifikat binder nyckeln till din digitala identitet.

När du upprättar en HTTP-anslutning med ditt program begär webbläsaren ditt certifikat. Klienten kontrollerar sedan dess trovärdighet och inleder det så kallade SSL-handslaget. Resultatet är en krypterad kommunikationskanal mellan användaren och din app.

För att aktivera HTTPS för din app skaffar du ett SSL-certifikat från en av de betrodda leverantörerna och installerar det korrekt.

Se också till att använda ett säkert SSH- eller FTPS-protokoll för att skicka filerna som innehåller PHI istället för vanlig FTP.

SSL handshake; source: the SSL store

E-post är inte ett säkert sätt att skicka PHI.

Populära tjänster som Gmail ger inte det nödvändiga skyddet. Om du skickar e-post som innehåller PHI utanför din brandväggsskyddade server bör du kryptera dem. Det finns många tjänster och webbläsartillägg som kan göra detta åt dig. Alternativt kan du använda en HIPAA-kompatibel e-posttjänst som Paubox.

Du bör också införa riktlinjer som begränsar vilken information som kan delas via e-post.

4. Kryptering/avkryptering

Kryptering är det bästa sättet att säkerställa PHI-integriteten. Även om hackare skulle lyckas stjäla dina uppgifter skulle de se ut som ett rappakalja utan dekrypteringsnycklarna.

Okrypterade bärbara datorer och andra bärbara enheter är en vanlig källa till HIPAA-överträdelser. För att vara på den säkra sidan bör du kryptera hårddiskarna på alla enheter som innehåller PHI. Du kan göra detta med kostnadsfria krypteringsverktyg som BitLocker för Windows eller FileVault för Mac OS.

5. Bortskaffande av PHI

Du bör permanent förstöra PHI när de inte längre behövs. Så länge som dess kopia finns kvar i en av dina säkerhetskopior anses uppgifterna inte vara ”bortskaffade”.

Under 2010 lämnade Affinity Health Plan tillbaka sina kopiatorer till leasingföretaget. Det raderade dock inte deras hårddiskar. Det resulterande intrånget exponerade personuppgifter för mer än 344 000 patienter.

Affinity fick betala 1,2 miljoner dollar för denna incident.

PHI kan gömma sig på många oväntade ställen: kopieringsmaskiner, skannrar, biomedicinsk utrustning (t.ex. MRT- eller ultraljudsmaskiner), bärbara enheter (t.ex.bärbara datorer), gamla disketter, USB-flash-enheter, DVD/CD-skivor, minneskort, flashminne i moderkort och nätverkskort, ROM/RAM-minne etc.

Förutom att radera data bör du också förstöra de medier som innehåller PHI på ett korrekt sätt innan du kastar eller ger bort dem. Beroende på situationen kan du antingen radera dem magnetiskt (t.ex. med hjälp av en degausser), skriva över data med hjälp av programvara som DBAN eller förstöra enheten fysiskt (t.ex. slå sönder den med en hammare).

I flashbaserade minnesenheter (t.ex. USB-minnen) sprids data över hela mediet för att förhindra slitage. På grund av detta är det svårt att helt radera den känsliga informationen med vanlig programvara för datadestruktion. Du kan dock använda tillverkarens verktyg som Samsung Magician Software för att göra dig av med dina flash-enheter (eller bara använda en hammare).

6. Säkerhetskopiering och lagring av data

Säkerhetskopior är viktiga för dataintegriteten. En databaskorruption eller en serverkrasch kan lätt skada din PHI. Det gör även en brand i ett datacenter eller en jordbävning.

Det är därför det är viktigt att ha flera kopior av din PHI lagrade på flera olika platser.

Din backup-plan för PHI bör fastställa sannolikheten för att data äventyras. All information med hög och medelhög risk bör säkerhetskopieras dagligen och lagras på en säker plats. Du bör också underteckna ett BAA med dina backupleverantörer.

En backup är värdelös om du inte kan återställa den.

I augusti 2016 drabbades Martin Medical Practice Concepts av en ransomware-attack. Företaget betalade hackare för att dekryptera PHI. Men på grund av ett backupfel förlorade de lokala sjukhusen information om 5 000 patienter.

Testa ditt system regelbundet för att förhindra återställningsfel. Du bör också logga systemets driftstopp och eventuella misslyckanden med att säkerhetskopiera PHI.

Och kom ihåg att själva säkerhetskopiorna bör uppfylla HIPAA-säkerhetsstandarderna.

7. Revisionskontroller

Frånvaron av revisionskontroller kan leda till högre böter.

Du bör övervaka vad som görs med den PHI som lagras i ditt system. Registrera varje gång en användare loggar in och ut ur ditt system. Du bör veta vem, när och var de känsliga uppgifterna har nåtts, uppdaterats, ändrats eller raderats.

Övervakning kan göras med hjälp av mjukvara, hårdvara eller förfaranden. En enkel lösning är att använda en tabell i en databas eller en loggfil för att registrera alla interaktioner med patientinformationen.

En sådan tabell bör bestå av fem kolumner:

• user_id. Den unika identifieraren för den användare som interagerat med PHI;
• entity_name. Den enhet som användaren har interagerat med (en enhet är en representation av ett verkligt koncept i din databas, t.ex. en patientjournal);
• record_id. Enhetens identifierare;
• action_type. Interaktionens karaktär (skapa, läsa, uppdatera eller radera);
• action_time. Den exakta tidpunkten för interaktionen.

I detta exempel har en läkare (user_id 1) skapat en patientjournal, en radiolog har tittat på den och senare har samma läkare ändrat journalen.

Du måste regelbundet granska aktivitetsloggarna för att upptäcka om vissa användare missbrukar sina privilegier för att få tillgång till PHI.

8. Automatisk avstängning

Ett system med PHI bör automatiskt avsluta alla sessioner efter en bestämd period av inaktivitet. För att fortsätta måste användaren ange sitt lösenord på nytt eller auktorisera sig på annat sätt.

Detta skulle skydda PHI om någon förlorar sin enhet medan han/hon är inloggad i din app.

Den exakta perioden av inaktivitet som utlöser utloggningen bör bero på systemets särdrag.

Med en säker arbetsstation i en mycket skyddad miljö kan du ställa in timern på 10-15 minuter. För webbaserade lösningar bör den här perioden inte överstiga 10 minuter. Och för en mobilapp kan du ställa in timeouten på 2-3 minuter.

Olika programmeringsspråk implementerar automatisk avstängning på olika sätt.

Källa: MailChimp

9. Extra säkerhet för mobilappar

Mobilapparater innebär många ytterligare risker. En smartphone kan lätt stjälas eller förloras i ett område med mycket trafik och därmed äventyra känslig information.

För att förhindra detta kan du använda:

• Skärmlås (Android/iOS);
• Kryptering av hela enheten (Android/iOS);
• Fjärrdatautplåning (Android/iOs).

Du kan inte tvinga på användarna dessa funktioner, men du kan uppmuntra dem att använda dem. Du kan inkludera instruktionerna i din onboarding eller skicka e-postmeddelanden som beskriver hur man aktiverar dem.

Tip: Du kan lagra PHI i en säker behållare separat från personuppgifterna. På så sätt kan du radera hälsoinformationen på distans utan att påverka något annat.

Många läkare använder personliga smartphones för att skicka hälsoinformation. Du kan neutralisera det här hotet med säkra meddelandeplattformar.

Dessa tillämpningar är värd för de känsliga uppgifterna i en säker databas. För att få tillgång till PHI måste användarna ladda ner budbäraren och logga in på sina konton.

En annan lösning är krypterade lösenordsskyddade hälsoportaler där patienterna kan läsa meddelanden från sina läkare. Sådana portaler skickar meddelanden utan PHI i dem (t.ex. ”Dear User, you’ve got a new message from ”).

Håll dig i minnet att push-notiser inte är säkra som standard. De kan visas på skärmen även om den är låst. Så se till att du inte skickar någon PHI via push-notiser. Samma sak gäller för SMS och alla automatiska meddelanden.

Källa: En annan sak att tänka på är att FDA kan klassificera vissa mHealth-appar som medicintekniska produkter (programvara som påverkar vårdpersonalens beslutsprocess).

Tänk därför på att kontrollera om din app måste följa andra hälsovårdsföreskrifter innan du påbörjar utvecklingen. Du kan kolla det här testet från Federal Trade Commission för att få ett snabbt svar.

Avsluta

Nu har du en minimilista över funktioner för HIPAA-kompatibel programvara.

Enbart garanterar de inte dess säkerhet. De kommer inte att skydda dig mot nätfiske eller social ingenjörskonst.

Men att ha dessa funktioner bör övertyga en revisor om att du har gjort tillräckligt för att skydda dina kunduppgifter.

För att göra revisioner mindre smärtsamma bör du dokumentera alla dina ansträngningar för att följa HIPAA. För varje version av din app ska du tillhandahålla de skriftliga specifikationerna, planerna för att testa säkerheten och resultaten. Och glöm inte att kontrollera om du behöver följa andra bestämmelser innan du börjar utvecklingen.