HIPAA安全规则涉及到了安全传输和加密的使用。尽管该规则并不要求使用加密技术,但是这是作为一个“可寻址的”执行规范包含在内的。换句话说,卫生保健组织在HIPAA下可以有三个选择:按照规则执行规范;执行与规范相关的另外一种规则;或者提供文件证明为何规范不适用,进而不可以执行。
考虑到今天加密技术的实用性和可负担性,在传输PHI时,卫生组织很难确定不可以使用一些形式的加密技术。许多经销商提供了大量价格合理的加密软件和加密硬件,以及外包产品。现在,我们将更为详细地探讨一下这些产品。
电子邮件加密
大量的经销商提供了可以对电子邮件信息进行加密的产品,易于使用,并且具有安全发送私人数据,包括电子邮件附件在内的性能。收件人可以使用相同的加密方法回复。许多这些产品都是以网络为基础的。它们通过发送到收件人的连接进行工作,收件人然后点击、登录到安全的电子邮件服务器。这些服务器要么是组织所有的,要么是组织外包给合适的经销商。收件人然后可以安全地阅读电子邮件和任何附件,并且安全地发送回复,如果需要的话也可以安全地发送附件。
也有一些技术不是以网络为基础的,允许个人或组织之间传送安全的信息,这些技术中最常见的是公共密钥基础结构(PKI)。公共密钥基础结构要求交换密钥,这个密钥是用于对加密文件进行解密的。比如,Bob想要给Sue发送一封安全的电子邮件,这样的话,他需要给Sue一份公共密钥的副本,用来打开他的加密信息。Bob保留了他用来加密信息或文件的私人密钥,这个密钥他也可以使用,尤其是采用数字签名来证明他自己是发送者。数字签名是一个小的电子文件,因每个发送者而不同,尤其可以证明他或她的身份。在许多国家,也使用数字签名,并且在合同或者其它法律文件中,要求与原始签名一样强制实行。
截至现在还没有任何大型的PKI配置,主要是由于配置很繁琐,并且难于执行和管理密码。然而,PKI具有小型的配置,因此较为成功,通常用来在诸如健康计划和医疗保健交流中心之类的组织之间发送大型文件。
安全数据传输的方法之一通常将PKI的加密和认证大型数据文件结合起来,即安全的文件传输协议(FTP)。然而,这并不能用于个人之间的数据传输。该技术很容易便可获得,并使组织之间可以传输大量的数据,比如通过交流中心进行的索赔交易信息和电子汇款通知。
网站加密
使用网络来收集并向客户或者其它组织传输敏感信息的组织需要确保其网站的安全。一般标准是使用安全套接层协议(SSL),该协议通过网站对所传输的数据进行加密。打开一个因特网浏览器,网站的右下角会出现打开锁定或者关闭锁定。如果该锁定关闭了,这就意味着该网站的数据传输是安全的,一般是由SSL传输的,这就允许私人数据在该网站中传输和收集,而不用担心黑客访问它。有了安全性,而没有风险,虽然这样的事是不存在的,但是在数据传输过程中使用SSL和安全的网站可以显著地减少数据被不适当地截获的风险。使用内部网络分析员/程序员,或者与在创建有吸引力和安全的网站方面有专长的经销商进行合作,就可以建立安全的网站。
应用层加密
一些组织在应用层之间传输数据,比如电子医疗健康记录。查看这些传输是明智的做法,如果数据在组织外部传输,就如任何发送到因特网上的信息,意味着会遭到截获,并且除非合理进行保护,否则会导致误用。当在应用层之间传输敏感数据时,合理和良好的安全措施是评估应用层的加密能力,并且预先执行加密解决方案。一些经销商生产应用程序,自定义编程产品可以在从一个端点传向另一个端点时传输时保护数据,组织可以从这些经销商或者产品中获得这个技术。
远程用户通信
远程用户会带来额外的安全风险,这是由于他们常常在家里和组织之间通信。这就意味着他们不仅仅需要了解安全数据传输的要求,也要了解其它与远程访问机密信息有关的安全风险信息。为了确保远程用户通信的安全,可以安装一个虚拟专用网(VPN),这可以对用户之间发送的所有数据加密。这项技术在市场上就可以很容易获得,此外,拥有远程用户的组织安装这个技术是可取的做法。如果没有建立虚拟专用网,而且没有使用调制解调器(一般而言,这不是访问公司网络的有效方法),那么所有在因特网上传输的数据很容易被截获,还会导致不适当的使用。
笔记本和个人数字助理(PDA)
这些便携式设备及容易丢失或者被偷盗。因此,使用这些设备来传输机密信息并对存储在这些设备中的数据加密,对组织而言是明智之举。这可以保护组织,如果便携式设备丢失或者被盗后,以防数据泄露。加密程序在便携式设备上是可以实现的,并且这种软件的花费是合理的,可以负担得起,即使是规模较小的组织也可以负担得起。
无线网络
无线威胁正日趋严重,不安全的无线网络是突出的易受攻击点,此外开放的组织更容易受到黑客的访问。因此,防止任何人未经授权就访问网络,正变得日趋重要。此外,对在无线设备至阿金传输的所有数据进行加密,以防止不适当地泄露机密信息。连接到无线网络的笔记本正日益普及,尤其是在收集了医疗和健康保险信息的医院急救室里。这些笔记本与组织的无线服务器通信,并且更新应用程序、健康记录等等。这类数据一般来说都是敏感的,加密技术需要对其提供额外的保护层。
【编辑推荐】