За последние несколько лет, когда на рынке появилось большое количество мобильных медицинских приложений, защита информации о пациентах стала более важной, чем когда-либо прежде. Закон о мобильности и подотчетности медицинского страхования или HIPAA , как его общеизвестно, был принят Конгрессом в 1996 году с целью защиты и сохранения конфиденциальности медицинских карт и личной медицинской информации отдельных лиц.
Закон распространяется на защищенную медицинскую информацию или ЗМИ (любую медицинскую информацию, которая может быть индивидуально идентифицирована или может быть связана с человеком), а также способ ее хранения и передачи с использованием технологии, включая мобильные приложения. Несоблюдение HIPAA может привести к огромным штрафам.
Природа мобильных устройств делает защиту PHI сложной задачей, тем более что эти устройства могут быть потеряны или украдены и часто сталкиваются с угрозой вирусных атак. Кроме того, устройства могут совместно использоваться или использоваться в незащищенных сетях Wi-Fi, что создает риск случайного обмена или передачи конфиденциальных данных по электронной почте или в социальных сетях. Это делает необходимым включение в приложение определенных функций для защиты от несанкционированного доступа к ЗМИ. Конечно, многое зависит от характера информации, которая собирается от пользователя.
Хотя приложение основного потребителя, связанное с фитнесом или потерей веса, может не соответствовать стандартам, обычно большинство приложений, используемых медицинскими работниками или поставщиками медицинских услуг, должны соответствовать требованиям HIPAA. Это непростая задача, поскольку в законе есть несколько двусмысленностей, которые легко может расшифровать только разработчик мобильных приложений с опытом работы в этом сегменте. Основываясь на нашем опыте разработки приложений для сектора здравоохранения, сегодня мы хотели бы поделиться некоторыми ключевыми факторами, которые должны быть включены в приложение для обеспечения безопасности личной медицинской информации.
Хотя большинство мобильных устройств защищены паролем, часто пользователи не используют надежные пароли. Следовательно, в случае утери или кражи доступ к информации, хранящейся в приложении, можно легко получить, если только не существует уровня защиты, который требует от пользователя аутентификации его учетных данных, такого как ввод уникального идентификатора входа и пароля.
После того, как данные собраны на устройстве, важно обеспечить их безопасность как на устройстве, так и во время передачи по сети. Этого можно добиться, включив приложение с функцией автоматического шифрования данных. Шифрование должно быть создано на двух уровнях. Первое, когда оно временно сохраняется на устройстве, и следующее, когда оно отправляется по сети для сохранения на сервере.
Автоматический выход из системы
Часто пользователи забывают выйти из приложения, которое обеспечивает легкий доступ к PHI, хранящейся на устройстве, в случае потери или кражи. Это также увеличивает риск случайного доступа к личной информации или ее неправомерного использования кем-либо еще, когда устройство используется совместно.
Удаленное стирание
Хотя существуют сторонние приложения, которые позволяют удаленно контролировать и управлять мобильным устройством для защиты личной информации пользователя, они не всегда могут быть доступны. Лучший вариант - встроить в приложение функцию удаленной очистки, которая позволяет элементам управления администратора получать доступ и удалять PHI до того, как она будет использована не по назначению.
Все мобильные устройства сталкиваются с угрозой вирусных атак, особенно когда они подключаются к незащищенным сетям. Одним из способов предотвратить это является предоставление пользователю частых обновлений и предупреждений, чтобы он мог загрузить обновление, чтобы иметь последнюю версию приложения с большинством текущих исправлений ошибок и сетевых угроз.
Ведение аудита
Журналы необходимы для мониторинга активности в любой сети. Активация этой функции в приложении помогает проводить аудит такой информации, как время входа пользователя в систему, изменения, внесенные в данные, детали доступа к файлам, добавление нового пользователя и другая важная информация, которая помогает контролировать использование и доступ PHI.
Как только данные сохранены на мобильном устройстве, они должны быть переданы на сервер, где они могут храниться в безопасности. Пользователь может не всегда иметь доступ к защищенной сети Wi-Fi, чтобы это произошло немедленно. В таких случаях в приложении должны быть предусмотрены средства автоматической синхронизации и резервного копирования данных, как только устройство попадет в зону безопасности безопасной сети.
Ключевым принципом при разработке мобильных приложений для здоровья является то, что личная информация всегда должна быть защищена, тем более что последствия несоблюдения HIPAA влекут за собой огромные штрафы. Желательно работать с разработчиком, который имеет опыт в разработке приложений, которые соответствуют национальным стандартам, установленным законом.