FedRAMP järgitavus tervishoiusektoris: elektrooniline allkiri

USA pilveteenus raamistike ja Euroopa tervisandmeturvalisuse standardite kokkupuutumine määratleb digitaalsete tööriistade valiku kriteeriumeid meditsiinisektoris. Organisatsioonidele, kes opereerivad USA föderaalse ja Euroopa turuarea ristumiskohas — haiglad, farmaatsiaettevõtted, rahvusvahelisel tasandil tervishoiuteenuseid osutavad pakkujad — on FedRAMP järgitavus tervishoiusektoris elektrooniline allkirjaga muutunud strateegiliseks imperatiivist, mitte enam vaid lihtsaks ruuduks.

Käesolev artikkel selgitab FedRAMP programmi alused, selle seotus Prantsuse HDS (Tervisandmete Hoidja) sertifikaadi puhul ja turvaliselt elektrooniline allkiri sisestub sellesse kaheseks regulatoorsel raamistikul. See on suunatud IT juhid, andmekaitsejuhid, meditsiini tegevusjuhid ja järgitavuse eest vastutajad, kes peavad tegema tehnoloogilisi valikuid, millel on suured õiguslikud ja operatsioonilised tagajärjed.

FedRAMP programmi ja selle nõuete mõistmine tervishoiusektoris

Mis on FedRAMP?

Federal Risk and Authorization Management Program (FedRAMP) on USA valitsuse programm, mis loodi 2011. aastal Office of Management and Budget (OMB) võimu all. See standardiseerib turvalisuse hindamise, USA föderaalsetele agentuuridele mõeldud pilveteenus poolt nõutavate autoriseeringute ja pideva järelevalve. 2023. aastal allkirjastati FedRAMP Authorization Act, mis määrustas programmi lõplikult föderaalses seadusandluses (44 U.S.C. § 3607).

FedRAMP autoriseerimise saamiseks peab pilveteenus pakkuja (CSP) demonstreerima oma vastavust NIST SP 800-53 määratletud turvakontrollimise nõuetega. Kolm mõju taset on olemas: Madal, Keskmine ja Kõrge. Föderaalse tervishoiusektori puhul — mis hõlmab eriti Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — on tase Kõrge sageli nõutav, kuna HIPAA seadusega kaetud tundlike PHI (Protected Health Information) andmete tõttu.

HIPAA, FedRAMP ja dokumentide vastavusele kuulumise ahel

HIPAA (Health Insurance Portability and Accountability Act 1996) ja FedRAMP vaheline seotus tekitab pilveteenus elektrooniliste allkirjade lahenduste jaoks kahekordseks piirangule föderaalse tervishoiu kontekstis. HIPAA kehtestab ranged reeglid PHI privaatsusele (Privacy Rule) ja turvalisusele (Security Rule), samas kui FedRAMP sertifitseerib, et pilveteenus infrastruktuur, millel lahendus põhineb, järgib revisjonistatavaid ja pidevaid turvalisuse standardeid.

Praktikas pea pakkuja pakkuda elektroonilist allkirja lahendusi tervishoius USA föderaalsetele asutustele:

• Hankida või tugineda ATO (Authority to Operate) FedRAMP, mille andis sponsoorraagimisteagentuur või Joint Authorization Board (JAB) ;
• Allkirjastada HIPAA Business Associate Agreement (BAA) klientasutustega ;
• Tagada auditi logimine igast allkirja tegevusest, dokumentide terviklikkuse nõuete kohaselt ;
• Garanteerida andmete geograafiline residentsus heakskiidetud piirkondades.

FedRAMP tasemed ja nende mõju elektrooniline allkirjale

FedRAMP taseme valik otseselt määrab allkirja lahenduse tehnilise arhitektuuri. Kõrge tasemel sisaldavad nõudmised muu hulgas:

• AES-256 korraldatud ja TLS 1.2+ andmete transituseks ;
• Mitmeteguriline autentimine (MFA) kõik administraatori juurdepääsude kohustuslikuks ;
• Muutumatud auditilogid ja minimaalne säilitamine 3 aastat ;
• Haavatavuse skanneerimine kuus korda kuus ja tunglemisteeste iga aasta akrediteeritud kolmandate poolt (3PAO — Third-Party Assessment Organization) ;
• Pideva turvaüritus haldamise ja teate Ameerika USA-CERT 1 tunni jooksul.

Need tehnilised nõudmised loovad dokumentaalse turvalisuse standardi, mis sageli ületab veel üksnes Euroopa raamistikus nõutu, muutes kahekordsed FedRAMP/HDS järgimise eriti nõudlikuks.

HDS ja FedRAMP: kahekordne järgitavus rahvusvaheliste osaliste jaoks

HDS sertifikaadi: Prantsuse võrdlusalus

Prantsusmaal tervisandmete hoidmist reguleerib Tervishoiu Koodeksi artikkel L.1111-8, täiendatuna määrusega nr 2018-137 26. veebruaril 2018. Igal hoidjal, kes käsitseb tervishoiuotsuste isiklikke andmeid professionaalide või tervishoiuasutustele konto eest, peab omandama HDS sertifikat , mille väljastas COFRAC akrediteeritud asutus.

HDS sertifikat tugineb kuuele tegevusele — füüsiline taristu, virtuaalne taristu, hoidmise platvormi, administreerimine ja ekspluateerimine, varukoopia, välised teenused — ja tugineb ISO/IEC 27001 ja ISO/IEC 27701 juhendile. Elektroonilise allkirja lahenduse puhul, mis järgib Euroopa regulatsioone, ei ole hoidjaga juures sertifitseeritud HDS asutuse kasutamine valikuline, kui allkirjastatud dokumendid sisaldavad tervishoiuandmeid.

FedRAMP ja HDS konvergentsi ja erinevused

Kahe raamistiku võrdlemine paljastab märkimisväärseid konvergentsi punkte, kuid ka märgatavaid erinevusi:

Ühised punktid:

• Dokumenteeritud turvalisusriskide juhtimise nõue ;
• Ranged juurdepääsu kontrollid ja minimaalne privileegide põhimõte ;
• Äritegevuse jätkamise plaan (PCA/BCP) ja katastroofista taastamise plaan (PRA/DRP), mida testiti perioodiliselt ;
• Tundlike andmete juurdepääsu jälgimine.

Peamised erinevused:

• Andmete geograafiline paigutus: HDS on geograafiliselt neutraalne, kuid toetab varjatult EL-i ; FedRAMP nõuab tavaliselt majutamist USA pinnal (FedRAMP Kõrge nõuab sageli spetsiaalseid GovCloud rajatisi) ;
• Auditi mudel: FedRAMP kasutab programmi poolt akrediteeritud 3PAO ; HDS tugineb COFRAC akrediteeritud sertifikaatide asutustele ;
• Uuendamise tsükkel: FedRAMP kehtestab pideva seire (ConMon) kuu aruannetega ; HDS nõuab kolmekordset ülevaatuse uuendamist.

Need erinevused kohustuslikud lahendused kahel turul kutsuvad üles säilitama eraldatud pilveteenuste arhitektuure või kasutada hüperskaaları pakkujaid, kellel on nii AWS GovCloud FedRAMP Kõrge ATO kui ka sertifitseeritud HDS infrastruktuur Euroopas.

Elektrooniline allkiri järgitavuse tööriistana tervishoiu töövoodes

Tõendusväärtus ja dokumentide terviklikkus

Reguleeritud keskkonna, nagu tervishoiu, jaoks sõltub elektroonilise allkirja õiguslik väärtus kahest sammast: dokumendi terviklikkus (mittekorramine pärast signeeri) ja signatari usaldusväärne kindlakstegemine (autentimine). Need kaks nõudet on eIDAS määruse ja FedRAMP kasutatud NIST standardite pühvõtuses.

Määrus eIDAS nr 910/2014 eristab kolme signeeri taset: lihtsa (SES), täiustatud (AdES) ja kvalifitseeritud (QES). Euroopa tervishoiu sektori jaoks on täiustatud elektrooniline allkiri (AdES), mis vastab ETSI EN 319 132 standarditele XAdES, CAdES ja PAdES formaatide jaoks, üldiselt soovituslik tundlike meditsiiniliste dokumentide jaoks (teavitamata nõusolek, elektrooniline retsept, kliinilise uurimuse registrid).

USA-s on kohaldatav raamistik ESIGN Act (Electronic Signatures in Global and National Commerce Act 2000) ja UETA (Uniform Electronic Transactions Act), mis tunnistavad elektrooniliste allkirjade õiguslikku kehtivust, ilma et nad sätestaksid konkreetset tehnilist vormi. Kuid FedRAMP kontekstis kehtestame turvalisuse nõudmised (korraldamine, auditi jälgimine, MFA) faktiliselt Euroopa AdES tasandile võrdsustavat taset.

Tervishoiuteadlaste autentimine ja digitaalne identiteet

Üks tervishoiu sektori konkreetne väljakutse on tervishoiutöötajate tugev autentimine. Prantsusmaal on Tervishoiuspetsialisti Kaart (CPS) ja selle digitaalne ekvivalent e-CPS, mida haldab ANS (Agence du Numérique en Santé), tervishoiusüsteemidele juurdepääsu aluseks ja meditsiiniliste dokumentide allkirjastamiseks. e-CPS integreerimine elektroonilise allkirja lahendusesse võimaldab saavutada kvalifitseeritud allkirja taseme (QES) juhtudel, mis nõuavad kõrgemat tõendusväärtust.

USA poolel on PIV (Personal Identity Verification, FIPS 201) samaväärne föderaalse identiteedi standard. Föderaalse tervishoiu agentuurid nõuavad sageli PIV autentimist kõrgelt tundlike tehingute puhul, mis kohustab allkirja lahendusi integreerima selle infrastruktuuriga ühilduvaid konektoreid.

Organisatsioonide jaoks, kes soovivad mõista kõiki saadaolevaid valikuid, aitab elektrooniline allkiri lahenduste võrdlus hinnata igale platvormile toetatud autentimise tasemeid.

Tervisandmete dokumentide elutsükli haldamine

FedRAMP/HDS järgitavus ei lõppe signeeri tegevusega. See hõlmab kogu dokumentide elutsükli:

• Loomine ja templating: valitud nõusolekud, vastuvõtu vormid või kliiniliste uurimuste protokollid peavad olema versioonitud ja auditavitatavad ;
• Signeerimine ja ajatempel: iga allkiri peab olema kaasas kvalifitseeritud ajatempliga (RFC 3161), mis garanteerib signeeri tegevuse kuupäeva kindluse ;
• Tõenduslik arhiveerimine: allkirja tõendite säilitamine (auditi aruanne, sertifikaadid, dokumendi räsi) peab järgima õiguslikke kehtivuse aegu — Prantsusmaal minimaalselt 10 aastat meditsiiniliste registrite puhul (artikkel R.1112-7 CSP), 6 aastat HIPAA registrite puhul ;
• Tühistamine ja kehtetuks tunnistamine: OCSP (Online Certificate Status Protocol) või CRL (Certificate Revocation List) mehhanismid peavad võimaldama sertifikaatide kehtivuse kontrollimist allkirja hetkel.

See tervikliku elutsükli lähenemine sisaldub laiemates töövoodes ettevõtte elektrooniline allkiri nõudmiste osas, kes soovivad töödelda dokumentaalset protsesse nõuetekohaselt.

Hindamine ja valikud FedRAMP ja HDS ühilduva lahenduse

Tehniline valiku kriteeriumid

FedRAMP/HDS kahe raamistiku keerukuse näol peab elektroonilise allkirja lahenduse valikule tervishoiusektori jaoks katma mitut dimensiooni:

Infrastruktuur ja majutus:

• Aktiivne HDS sertifikaadi, kontrollitav ANS PSCE registrile ;
• ATO FedRAMP dokumenteeritud ametlikul turul marketplace.fedramp.gov ;
• EL/USA keskkondade eraldus andmete ülekande poliitikate andmekaitse raamistikuga (DPF) ;
• SLA saadavus ≥ 99,9 % koos RTO < 4h ja RPO < 1h situvuse andmetega.

Järgitavuse omadused:

• Algne tugi AdES tasemete jaoks (XAdES, PAdES, CAdES) koos RFC 3161 ajatempliga ;
• e-CPS ja PIV konnektor tervishoiutöötajate autentimiseks ;
• Dokumenteeritud REST API haigla SI-st integreerimiseks (DMP, SIH, PACS) ;
• Vastavuste armatuurlaud standardse formaadiga auditiaruannete eksportimiseks.

Lepingulised võimalused:

• HIPAA BAA, mis on saadaval standardina ;
• DPA (Data Processing Agreement) RGPD, mis vastab artiklile 28 ;
• Auditi klausula võimaldades sõltumatud teostused.

Integreerimine tervishoiu infosüsteemidesse

Allkirja lahenduse integreerimine kompleksesse tervishoiu SI-sse on sageli adoptsiooni piiravaks teguriks. HL7 FHIR (Fast Healthcare Interoperability Resources) liidestused, nüüd USA standard 21st Century Cures Act survel, ja DMP/Mon Espace Santé integreerimised Prantsusmaal, kehtestab omaduste piirangud, mida allkirja lahendus peab täitma.

Organisatsioonid, jotka on juba varustatud olemasolevate lahendustega (DocuSign, Adobe Sign), võivad kasu saada migreerumisest lahendusele, mis on paremini kohandatud HDS nõuetele, mis võimaldab säilitada dokumendi arhiive, samal ajal paranemine nõuete järgitavuses.

Saadaval olev ROI kalkulaator Certyneo lehel võimaldab täpselt hinnata sellise migratsiooni investeeringu tasuvust, integreerides järgitavuse kuludega seotud, produktiivsuse kasv ja õiguslike riskide vähenemine.

Rakendatav õiguslik raamistik elektroonilise allkirja jaoks tervishoius: FedRAMP, HDS ja eIDAS

Euroopa põhilised tekstid

Prantsuse ja Euroopa õiguses sõltub elektroonilise allkirja õiguslik väärtus Tsiviilkoodeksi artiklist 1366, mis sätestab, et "elektrooniline tekst on sama tõendusväärtusel kui kirjalik dokument paberil, tingimusel, et saab korrektselt tuvastada isiku, kellelt see pärineb, ja see on koostatud ja säilitatud tingimustes, mis tagavad selle terviklikkuse." Tsiviilkoodeksi artikkel 1367 täpsustab, et elektrooniline allkiri "seisneb usaldusväärse identifitseerimise protsessi kasutamises, mis garanteerib selle seose dokumendiga, millele see on kinnitatud."

Euroopa tasandil on Määrus (EL) nr 910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) elektrooniline allkirja vastastikuse tunnustamise alus liikmesriikide vahel. See määratleb kolm allkirja taset (SES, AdES, QES) ja kehtestab põhimõtte, mille kohaselt kvalifitseeritud elektrooniline allkiri "on juriidiliselt samaväärseid kirjalikku alla kirjutamist" (art. 25, §2). Määrus eIDAS 2.0 (Määrus (EL) 2024/1183), mis jõustus mai 2024, laiendab seda raamistikku Euroopa Digitaalsete Identiteetide Rahakoti (EUDI Wallet) juurutamisega, mida kohaldatakse otse tervishoiu sektori patsientide ja töötajate identifitseerimisele.

Tehniliste võrdlusalused publikeerisid ETSI: ETSI EN 319 101 (üldpoliitika), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ja ETSI EN 319 142 (PAdES). Need standardid määratlevad pikaajalise säilitamise allkirja vormingud (LTA — Long Term Archive), mis on olulised allkirjade tõendatavuse tagamiseks 10 kuni 30 aastate jooksul.

Tervisandmete kaitse: RGPD ja sektorite seadusandlus

Määrus (EL) 2016/679 (RGPD) klassifitseerib tervishoiuandmed "tervishoiuga seotud isikuandmeteks", mis on eriklassi (art. 9) alla kuuluvad, mille töötlemine on põhimõtteliselt keelatud, välja arvatud selge erandite korral (nõusolek, vajalikkus hoolduseks, avalik huvi tervishoiu valdkonnas). Igal lahenduse, mida töödelda tervishoiuandmeid, peavad järgima minimeerimise, funktsioonide piiramisel ja turvalisuse põhimõtteid (art. 5 ja 32 RGPD), ja määrama alamtöötleja läbi artikli 28 kohaselt DPA.

Prantsuse õiguses kehtestab Tervishoiu Koodeksi artikkel L.1111-8 sertifitseeritud HDS hoidja kasutamise nõude kõikidele tervishoiu isikuandmete puhul, mis salvestatakse professionaalidele või tervishoiuasutustele. Selle nõude rikkumine on karistatav kriminaalseadusega (artikkel L.1115-1 CSP).

USA raamistik: HIPAA, FedRAMP ja ESIGN Act

USA-s kehtestab HIPAA Security Rule (45 CFR Part 164) administratiivset, füüsilist ja tehnilist garantiiasid ePHI (electronic Protected Health Information) kaitseks. Pilveteenus lahenduste pakkujad peavad allkirjastama kohustusliku Business Associate Agreement (BAA).

FedRAMP Authorization Act (kodifitseeritud 2022. aastal, 44 U.S.C. § 3607) muudab FedRAMP järgitavuse kohustuslikuks igale föderaalse agentuuriga kasutatud pilveteenus. Järgitavuse rikkumised võivad kaasa tuua ATO tühistamise ja föderaalse turust välistamise. ESIGN Act (15 U.S.C. § 7001 ja jne) garanteerib elektrooniliste allkirjade õiguslikku kehtivust kommertsiaal- ja föderaalses tehingus, ilma et kehtestaks konkreetse vormi, kuid reguleerimise nõutava tingimuse all.

Lõpuks NIS2 direktiiv (Direktiiv (EL) 2022/2555), mille muutis Prantsusmaa seadus nr 2023-703 1. augustil 2023, tugevdab küberturvalisuse kohustusi olulistele asutustele, kategooriasse kuuluvad enamik märkimisväärse suurusega tervishoiuasutusi. Kohustab teatama intsidentist 24 tunni jooksul pädevastele asutustele (ANSSI Prantsusmaal) ja võtab vastutuse juhid asemel puudujäägi korral.

Kasutamise stsenaariumid: FedRAMP, HDS ja elektrooniline allkiri tervishoius

Stsenaarium 1: Ülikooli haiglakomplex hallitseb transtatlantilisi kliinilisi uuringute protokolle

Umbes 1 200 voodiga haiglakompeks, USA föderaalse meditsiiniliste uurimuste agentuuriga partner (NIH-affiliated institutsiooni tüüpi), viib läbi kolmanda faasi kliinilisi uuringuid, kuululema uurimuskeskuste vahel Prantsusmaal ja USA-s. Iga patsendi kaasamine nõuab elektrooniliselt allkirjastatud teavitamata nõusolekut, mida säilitatakse 15 aastat vastavalt ICH E6(R2) Hea Kliniliste Praktika nõuetele.

Enne FedRAMP/HDS kooskõlastatud lahenduse juurutamist põhines protsess paberil allkirjastatud digitaliseeritud dokumentidel, genereerides keskmist 4-7 tööpäeva viivitust ühe kaasanud dokumendi kohta ja 12% dokumentide vigade määra (mittetäielikud vormid, puuduvad allkirjad). Pärast turvaliselt elektrooniline allkirja lahenduse juurutamist, majutatud HDS sertifitseeritud infrastruktuuris Euroopas ja omamise FedRAMP Keskmiste ATO USA keskuste jaoks:

• Kaasamisviivituse vähenemine 4-7 päevast vähem kui 24 tundi (80-85% kasv) ;
• Dokumentide vigade määr langenud alla 1% tänu automatiseeritud valideerimise töövoole ;
• Auditi vastavus: 100% nõusolekust arhiveeritud RFC 3161 ajatempliga ja tõendi eksport allkirjast 1 klõpsu jooksul FDA/ANSM inspektsioonidele.

Stsenaarium 2: Meditsiinilise tarkvara redaktor sertifitseerib oma lahendust USA föderaalsete agentuuride juures

Prantsuse väikeettevõte, mis spetsialiseerub elektronilise meditsiinilise reklamise haldustarkvara, soovib turustada oma lahendust USA haiglates (VA) sõjaväeliste. Juurdepääs sellele föderaalsel turul nõuab FedRAMP Kõrget ATO, teades, et lahenduse integreerimine sisaldab elektroonilise allkirja moodulit retseptide ja operatsiooniliste aruannete jaoks.

Ettevõte pöördub SaaS allkirja toimetaja poole, kellel on juba FedRAMP Kõrge ATO, mis toimib alamtöötlejana, mis võimaldab tal kasu saada järgitavuse pärimise programmist (inherited controls), mis vähendab 40% kontrollide pinda, mida tema oma 3PAO auditeerida peab. Sertifikatsiooni kogukulud vähenevad seega 35-50% võrreldes sõltumatu sertifikaadiga, ja ATO saamisel kuluv aeg lühendatakse 18 kuust umbes 10 kuuks.

Stsenaarium 3: Mediciinil analüüsi labide võrk demateriaalidas oma biokeemia aruanded

45 mediciinil analüüsi laborite võrk, mitmel Prantsusmaa piirkonnale jagatud, peab meditsiini bioloogide allkirjastama elektrooniline tulemusaruanded, vastavalt Tervishoiu Koodeksi artiklile L.6211-9. Umbes 8000 tulemuste aruannetega päevas peab valitud lahendus toetama massallkirja samal ajal garanteerides iga bioloog individuaalse autentimise tema e-CPS kaudu.

HDS sertifitseeritud pakkuja juures majutatud allkirja lahenduse integreerida, mis on e-CPS ühilduv, võimaldab:

• 8000 dokumendi allkirjastamine päevas koos dokumenti töötlemise aegadega alla 3 sekundi ;
• Täielik auditi jälgimine eksportitav ANSM ja Kõrge Tervishoiu Võimu inspektsioonidele ;
• Trükkimise ja postikulude vähenemine umbes 60 000 € aastas võrgu tasandil, vastavalt sektori aruannetes tavaliselt jälgitatavate diapasooni (ANAP aruanne 2024).

Kokkuvõte

FedRAMP järgitavus tervishoiusektoris koos elektrooniline allkirjaga esindab üht keerukamat regulatoorset väljakutset organisatsioonidele, kes opereerivad transatlantilisel tasandil. See nõuab samaaegset teadmiste valdamist USA raamistikest (FedRAMP, HIPAA, ESIGN Act) ja Euroopa raamistikest (eIDAS, HDS, RGPD, NIS2), samuti tehnilist arhitektuuri, mis suudab täita mõlema keskkonna nõudmisi ilma kompromisse turvalisuses või signereeritud tegevuste õiguslikul väärtusel.

Organisatsioonid, kes ette näevad seda kahekordsete järgitavuse, saavad lepingu paindlikkuses, usaldusväärsuses institutsionaalsete partnerite ees ja seisevad auditite silme ees. Elektrooniline allkiri, kaugel jäädes lihtsalt demateriaalse tööriistast, muutub struktuurses dokumendi haldamises tervishoius.

Certyneo toetab tervishoiu osalisi HDS kooskõlastatud, eIDAS kooskõlas ja FedRAMP nõuetega ühilduvate allkirja töövoode juurutamises. Võtke meiega ühendust meie ekspertidega teie regulatoorse olukorra analüüsimiseks ja isikupärastatud demostratsiooni saamiseks.