遵守新的《健康保险携带和责任法案》(HIPAA)综合法规的截止日期已经过去。截至9月23日，与医疗保健提供商合作使用涉及访问患者数据的云服务时，要求IT供应商签署业务伙伴协议。

戴尔软件公司高级产品经理蒂姆·塞德拉克(Tim Sedlack)表示，尽管对于大型IT公司而言，最后期限并不算平，但要满足中小型IT供应商的要求可能更具挑战性。Sedlack在给eWEEK的电子邮件中建议，大型IT公司可能已经合规，但由于员工分散和缺乏合规官，中小型公司可能无法遵守规则。

戴尔服务医疗保健和生命科学部门的HIPAA合规官马丁·爱德华兹(Martin Edwards)表示，对于戴尔本身，该公司设有指定的医疗保健和生命科学合规官，以确保公司符合HIPAA覆盖实体的数据安全要求。 。他在电子邮件中告诉eWEEK，该公司还对基础设施进行风险评估，该基础设施以电子方式托管，存储和处理所涵盖实体或医疗保健提供者的患者健康信息。

Sedlack指出，新的安全性和合规性要求会影响存储供应商和云服务提供商，它们被分类为业务伙伴和分包商。

最终的综合法规于3月26日生效，但涵盖的实体(如健康保险组织)和业务伙伴(如IT公司)必须在9月23日之前遵守。

根据新的HIPAA规则，EHR和计费软件以及备份服务将必须签署业务关联协议。新的HIPAA规则还对高达150万美元的数据泄露处以更高的罚款。

根据HIPAA的旧规定，涵盖实体(由医生，医院和健康计划组成)必须遵守隐私规则。在更新之前，医疗保健提供商将负责确保第三方(例如IT供应商)遵守安全和隐私法规。现在，“业务伙伴”或IT供应商也必须遵守。

在线备份公司SpiderOak的首席执行官Ethan Oberman说，将数据作为加密的数据块而不是可能暴露患者记录的纯文本来处理，有助于使IT公司保持合规性。

该公司将该技术称为“零知识”，其中永远不会以纯文本形式提供服务器上的数据。Oberman告诉eWEEK： “如果'业务伙伴'实际上无法查看纯文本数据，则意味着默认情况下[它]符合HIPAA的规定，因为[该公司]从未查看过纯文本数据记录。。“我们什至不知道我们要存储什么—音乐，癌症记录，高中档案?”

根据Oberman的说法，由于其存储客户“加密数据块”的策略，SpiderOak无需进行调整即可符合HIPAA Omnibus规则。他解释说：“由于我们的存储方法，我们一直遵守法规。” “我们想说我们符合HIPAA。在处理患者记录时必须遵循某些准则。我们不处理患者记录;我们正在处理加密的数据块。”

Oberman补充说：“如果您不知道要存储的内容，则合规性会变得容易得多。”

HIPAA综合总线规则给医疗保健云提供商带来了更多的责任，因为他们将需要直接向政府报告数据泄露，而不是由提供商报告。

提供数据风险评估和保护程序的IDT911 Consulting首席执行官Deena Coffman说：“现在受这些规则约束的云提供商要承担与传输和存储受保护信息的方式有关的责任。” 科夫曼说：“他们的法律部门可能会加班，以与受保护实体的客户以及他们可能使用的存储和维护受保护数据的任何服务提供商签订正式协议。”

云中间件提供商Point.io的首席执行官罗恩·罗克(Ron Rock)表示，随着HIPAA Omnibus规则的生效，供应商和医疗保健提供商将需要维护包括移动设备在内的“每个联系源和合规级别”的数据隐私。

洛克在电子邮件中告诉eWEEK： “通过引入云和移动应用程序技术，对关键信息的更高的可访问性促进了改善患者护理，这是HIPAA标准的关键目标。”