على الرغم من أن قانون نقل التأمين الصحي والمساءلة قد تم إنشاؤه في عام 1996 ، إلا أنه لم يكن يهدف دائمًا إلى تأمين خصوصية السجلات الصحية الإلكترونية. في الأصل تم إنشاء HIPAA لخصوصية السجل الصحي الورقي ، قبل HIPAA لم يكن هناك معيار أمان مطبق لحماية خصوصية المريض. مع مرور الوقت ، تتقدم التكنولوجيا ، وفي العقد الماضي ، خلقت التطورات الحديثة في تكنولوجيا صناعة الرعاية الصحية الحاجة إلى طريقة أكثر أمانًا للتعامل مع السجلات الطبية.
اللوائح الحكومية
مع توفر السجلات الصحية الإلكترونية بسهولة وبأسعار فعالة من حيث التكلفة ، انتقلت مرافق الرعاية الصحية إلى هذه الأنواع من المستندات. أيضًا مع اللوائح الحكومية التي تلزم السجلات الصحية الإلكترونية ، تم إنشاء وتنفيذ المعايير الأمنية لحماية المعلومات الصحية المحمية إلكترونيًا والمعروفة أيضًا باسم “القاعدة الأمنية“. تم إنشاء هذه المجموعة الجديدة من اللوائح لضمان خصوصية المعلومات الطبية للمريض أثناء تخزينها أو نقلها في شكلها الإلكتروني.
تحديد هوية المستخدم
المصادقة ذات العاملين ، وهي العملية التي يتم فيها استخدام عاملين منفصلين للمصادقة لتحديد هوية المستخدم ، لم تكن في الأصل جزءًا ضروريًا من عملية الأمان المنصوص عليها في قاعدة أمان HIPAA. على مر السنين ، نما هذا الشكل من المصادقة ليصبح جزءًا مطلوبًا من الامتثال لقانون HIPAA.
معايير والتكنولوجيا
ورد ذكره في أكتوبر 2003 في ملف PDF أصدره المعهد الوطني للمعايير والتكنولوجيا حيث تم ذكر المصادقة متعددة العوامل. الوثيقة التي تحمل عنوان “دليل اختيار منتجات أمن تكنولوجيا المعلومات” ذكرت ماهية المصادقة ولكنها لا تتطلب بالضرورة تنفيذ هذا النوع من الأمان. من الواضح أنه نظرًا لكون السجلات الطبية الإلكترونية جديدة جدًا ولم يتم استخدامها في جميع المرافق ، لم يتم إنشاء أو فرض الحاجة إلى مصادقة محددة.
سجلات الصحية الإلكترونية
ثم في أبريل 2006 ، تم إصدار مستند جديد من قبل المعهد القومي للمعايير والتقنية (NIST) بعنوان “دليل المصادقة الإلكترونية” والذي نص على 4 مستويات للأمان تطلب بعضها عملية مصادقة قوية. تم ذكر استخدام المصادقة الثنائية في المستوى الثالث الذي ينص على الحاجة إلى رمز مميز. يمكن أن يكون هذا الرمز المميز إما رمزًا ناعمًا / صلبًا أو كلمة مرور لمرة واحدة. مع قبول المزيد من المستشفيات للسجلات الصحية الإلكترونية ، نشأت الحاجة إلى إرشادات أمنية أقوى.
ضوابط أمن تكنولوجيا
على الرغم من وجود لوائح في الوقت الحالي تنص على شرط المصادقة الثنائية ، إلا أنها لم تكن واضحة ولم تذكر الحاجة إلى ضوابط محددة لأمن تكنولوجيا المعلومات. بعد مراجعة قام بها مكتب المفتش العام وجدت الحاجة إلى ضوابط أمن تكنولوجيا المعلومات هذه ، تمت مراجعة وثيقة NIST القديمة. “دليل المصادقة الإلكترونية” الذي تمت صياغته في يونيو 2018 هو مراجعة للمنشور الذي ينص بشكل أوضح على الحاجة إلى مصادقة ثنائية محددة بما في ذلك أنواع الرموز المقبولة.
صناعة الرعاية الصحية
يمكننا أن نرى الحاجة المتزايدة للأمن في صناعة الرعاية الصحية على الرغم من أن الحاجة إلى تنظيم الامتثال
لم تكن ضرورية دائمًا ، ولكن مع تغير كل شيء وتفويضات الحكومة تم وضع إرشادات الامتثال في مكانها
الصحيح. لا يبدو أن الأمر انتهى أيضًا ، في مسودة حديثة أعدتها NIST في مايو 2011 بعنوان “توصيات
الحوسبة السحابية” والتي تتحدث بشكل فضفاض عن المصادقة متعددة العوامل للوصول إلى السحابة.
يظهر هذا مع تقدم التكنولوجيا إلى الأمام ويتم إنشاء المزيد من طرق تخزين / الوصول إلى البيانات ، تنشأ
الحاجة إلى التنظيم. هذا صحيح بشكل خاص عندما تقبل مرافق الرعاية الصحية هذه التكنولوجيا الجديدة وتستخدمها أكثر فأكثر.