【独家】云花费攀升 多法规避风险

　　【HC3i独家翻译】近期Gartner Group的一项研究结果显示，2014年全球与云有关的年度交易额将增至1500亿美元。虽然医疗保健行业拒绝卷入“云”中发生的技术爆炸，CDW2011年云计算跟踪调查结果显示，30%的医疗机构正在实施云解决方案或已经运作了这些解决方案。

　　除此之外，该调查预测，现有云用户到2016年在云资源和程序的花费将超过IT预算的三分之一。云解决方案较强的灵活性和便利性以及低廉的成本是造成持续增长的主要原因。然而，与此同时，这种增长也有很多不利因素，例如失去对关键IT系统和敏感数据的控制。医疗保健机构可以采取多种方法应对风险，从云中受益。

　　云的好处和风险

　　“云计算”一词一般是指“公共”云，第三方提供商可以根据用户的需要，通过网络向用户提供IT资源和数据。地方和区域医疗保健机构把软件的管理、维护和技术支持工作外包给云服务提供商后，很容易得到原先无法获得的安全可靠的、可扩展的技术解决方案。

　　医疗机构把IT系统和数据迁移到云后，可以获得巨大的收益。CDW的调查显示，云用户中88%的医疗机构将应用软件迁移至云中后，降低了软件的应用成本，每年的花费减少了20%。

　　虽然能明显地节省开支，医疗机构需要密切关注税收条例，因为各州已经着手实施云服务的征税工作。一些州已经出台了管理条例，规定对云服务征收本州销售税，而提供商一定会要求客户承担这部分税款。

　　云解决方案的其它好处还包括：

　　（1）与纸质文件相比，可以快速、便捷地访问患者数据；

　　（2）最佳的数据安全管理方法；

　　（3）根据对先进硬件和软件的访问情况制定交易价格。（云服务提供商为云用户管理软件和数据，提供网络访问服务、维护和技术支持服务，使程序能够运行。云用户需要缴纳月费或年费。）

　　一些独特的云解决方案也特别能使医疗保健机构受益，例如：

　　*使用加密的EMR和EHR；

　　*储存无法确认的患者数据，执行中央数据库的指导方针；

　　*患者家庭监控程序；

　　*使用加密或无法确认的患者数据，与专家进行实时合作。

　　然而，云解决方案要求医疗机构向提供商提交敏感信息，例如患者和客户的个人健康资料。如果发生敏感信息未经授权被揭露的情况，会给医疗机构造成极为严重的后果，例如付出高昂的代价恢复数据、通知信息被披露的个人。

　　风险管理和法规遵从

　　在向云提供商提供任何信息之前，医疗机构应该开展尽职调查，确保该实体具备保障信息安全的能力。除此之外，医疗机构还可以使用多种合同性的保护方法，确保数据的私密性和解决安全隐患问题，要求提供商在违约的情况下做出必要的响应。这些方法非常重要，它们不仅是良好的商业实践，而且可以提高人们遵守相关法律的意识，适用于医疗机构的法律有健康保险可携性及责任法案（HIPAA）、经济与临床医疗信息技术法案（HITECH Act）和其它法案。

　　任何涉及将个人信息转移到云提供商的合同中至少应该列有条款，明确要求提供商遵守所有相关法律，提供适当的保护避免信息遭到损失或破坏。合同中还应该要求云提供商承担赔偿侵害数据隐私权/安全性的费用，包括承担通知所有相关患者/客户的巨额费用。如果条约中没有清晰地论述这些问题，那么要求提供商支付这些费用可能会很困难。也可以使用定期检查的方法，监督云提供商是否妥善开展必要的安全措施保护敏感数据。一个常见的做法就是要求每个提供商对每家存储信息的机构每年进行数据安全管理的检查。

　　医疗机构还应该要求提供商采取适当的措施，立即解决审查报告中指出的问题。在今天这个数据时代，可靠的云提供商应该愿意并且能够对其数据中心进行审查，医疗机构应对那些未能审查的提供商提出质疑。

　　管理云有关的数据隐私和安全风险问题的另一种方法是投保。云服务的相关合同中应该要求提供商承担适当的保费，赔偿被保险人数据安全遭受侵害的损失，并且赔偿法律规定的第三方的违约费用。选择实施云解决方案的医疗机构还应该确保他们的投保项目提供抵御云相关的风险发生的适当的保护措施。

　　在达成云技术解决方案时，医疗机构基本上将IT的管理工作交给云提供商，包括自己改变技术的权限。如果提供商自己的软件和系统出现问题，或者它所依靠的第三方服务商遇到问题，医疗机构会发现他的整个网络都将受到影响。因此，很有必要和提供商磋商遇到突发事件的合同性权利。例如，合同中应该特别描述云中系统的选择/运行时间和其它适当的服务水平，例如最小的系统响应时间。也要特别描述如果提供商未能按照合同约定解决云的有关问题，应该进行相应的赔偿。在云提供商未能履行服务水平承诺时，应该要求抵免管理费、取消解除权或其他权利，这样可以激励云提供商提供约定的服务水平，确保在服务未达标时能够进行针对性的赔偿。

　　解除权

　　医疗机构把数据交给云提供商，一旦发生纠纷，可能面临他们最宝贵的资产——数据将完全受到提供商支配的风险。如果提供商终止服务或者拒绝医疗机构访问数据，医疗机构可能会立即无法为患者或客户提供服务。因此，医疗机构与任何提供商签订的协议中，应该涉及重要的保护措施，其中包括：

　　*解除权；

　　*在提供商终止或暂停服务之前，应该留有补救期，允许对违约采取补救措施；

　　*拥有任何时间访问和查询数据的权利；

　　*如果操作和数据需要转交给另一个提供商，应该提供终止援助。

　　深思熟虑

　　今天大多数医疗机构习惯将IT基础设施搭建在传统的软件认证平台上。因此，云解决方案的运用提出了新的商业和法律问题，在向“未知的国度”进军之前应该对这些问题慎重思考。需要记住的重要一点是没有人必须单独行动。了解云解决方案特点的律师和其他顾问提出的风险问题和降低风险的方法可以帮助医疗机构做出正确的决定，充分利用云计算所能给予的一切。