私は、EMR内の患者データにアクセスするためのWebサービスを構築しています。RESTfulな設計原則に同意したいと思います。ただし、GETリクエストに患者のMRNを含めるという考えは、私を不安にさせます。 MRESをリクエストの本文に含めることができるように、「RESTfulesque」であり、POSTSのみに依存することを考えていました。
たとえばの代わりに
GET | http://OrganizationName.org/ServerName/.../REST/XML/MedicalHistory?PatientID={PatientID}&PatientIDType={PatientIDType}&UserID={UserID}&UserIDType={UserIDType}/
私は使うだろう
POST | http://OrganizationName.org/ServerName/GET/MedicalHistory POST | /ServerName/PUT/MedicalHistory
PatientID、Type、およびUserIDとTypeは、要求ヘッダープロパティになります。
ほとんどのEMRベンダーは従来のREST=動詞を使用し、URLでIDを公開しているようですが、これは間違っていると感じます。設計に過度に偏執的ですか?サービスを非常に開発者フレンドリーにする必要があります。だから私はREST設計原則を必要としない限り壊したくありません。
リクエストURL内で患者のMRNを公開することにより、HIPAA違反の危険がありますか?
それは多くの要因に依存します。
Medical Record Number(MRN)はProtected Healthcare Information(PHI)であるため、機密性、整合性、および可用性について責任を負い、そのセキュリティ(および整合性)に対して合理的に予想される脅威を特定し、合理的に予想される許容できないものに対して保護する責任があります。使用または開示。 HIPAAセキュリティルール
HTTPSは傍受からパラメータを保護しますが、GETリクエストのログエントリは、クライアントとサーバーの両方で暗号化されていない完全なURLを示します。これらは、少なくとも合理的に予想される開示(権限のない従業員など)を作成し、制御も必要です。
クライアントマシンとサーバーの間には、どのようなアクセス制御がありますか?承認されたユーザーを示すユーザーIDとパスワードを提供するマシンは接続できますか?または特定のユーザーと組み合わせた特定のマシンのみ?サーバー側の誰かが、患者データにアクセスしてはならないログファイルにアクセスできますか? (たとえば、患者の記録は暗号化されたデータベースにありますが、技術者はログを間違える可能性があります)クライアントのログファイルは暗号化されているか、すべてのブラウザでブラウザの履歴が無効にされていますか?
URL内のMRN(または患者ID)自体は問題ではありません。 athenahealthのRESTベースのAPIは、URLで患者IDを直接取得します。あなたよりも優れた弁護士がいると思います。
問題は、URL自体、または一般的なサービスの使用により、誰かが患者について何かを暗示できるかどうかです。たとえば、/history/{MRN}/suicide/definitely-at-risk
のようなURLがある場合、それはnotです。ただし、URLが無害な場合(誰もが「医療履歴」を持っている場合)、MRN(または患者ID)をURLに配置しても問題ありません。
私が読んだ §164.514保護された健康情報の使用と開示に関するその他の要件 (pdfの96ページ以上)はリクエスト、ログ、URLなどにヘルス情報がない場合は、医療記録番号であっても、一般化されたアクセッション番号を使用できます。言い換えると、一般的なプライバシーガイドラインを遵守し、HTTPSなどを使用し、健康情報を公開しない場合(クリストファーシュルツが示すとおり)、カルテ番号の使用は問題なく(監査などに)適切です。これを健康データと組み合わせると、具体的に除外されます。そのため、カルテ番号と残りの情報はPHIになります。これは、両方が個人と健康情報の間の接続を作成し、誰にとっても発生する可能性があるためです。接続したい。
実際、固有で追加の意味のあるデータがなく、URLで使用されている隔離番号では、たとえ医療記録を指し示していても、PHIではないようです。それらはレコードへのポインタです。そのレコードに含まれるデータが一意の番号と組み合わされると、その番号が何であるか(医療記録など)は関係ありません。PHIになり、このセクションの詳細が適用されます。一意の番号の性質に応じて、他の規則が適用される場合があります(社会保障番号など)。
これらのタイプの一意の番号(および他の識別の詳細)がヘルスデータから削除されると、匿名化されます。
実際、URLが記録されたログなどの情報が漏洩した場合、インシデントに健康情報が含まれていない限り、報告する必要はありません。したがって、このタイプのログを保持することは、健康情報が含まれていない限り、特別なHIPAA固有の合意または処理を必要としないようです。
MIT COUHES HIPAAガイダンス を読んだことは、このトピックを理解するのに非常に役立ちました。法律を読み、専門家に確認し、修正があれば共有してください。
本当の答えはHTTPSだと思います。リンクの両端で患者情報へのアクセスが許可されている場合は、送信中にリンクを保護するだけで済みます。 HTTPSの場合、GETパラメータは暗号化されたデータにカプセル化されます: SSLとGETおよびPOST
POSTを使用していたとしても、ネットワークパス全体を制御しない限り、転送中の情報を暗号化する必要があります。
(これは技術的な答えであり、法的な答えではありません。)