FedRAMP sukladnost u zdravstvu: elektronički potpis

Konvergencija između američkih propisа o oblačnim računima i europskih standarda sigurnosti zdravstvenih podataka redefinira kriterije odabira digitalnih alata u medicinskom sektoru. Za organizacije koje djeluju na sjecištu američkog federalnog tržišta i europskog tržišta — bolnice, farmaceutske laboratorije, transnacionalni zdravstveni davatelji usluga — FedRAMP sukladnost u zdravstvu sa elektroničkim potpisom postala je strateška neophodnost, a ne samo proces koji se trebao završiti.

Ovaj članak rasgrađuje temelje programa FedRAMP, njegov odnos sa HDS certifikacijom (Hébergeur de Données de Santé) francuskom, i način na koji se sigurni elektronički potpis uklanja u ovaj dvostruki regulatorni okvir. Namijenjen je IT direktorima, DPO-ima, direktorima medicinskih poslova i odgovornicima za sukladnost koji trebaju donositi tehnološke odluke s važnim pravnim i operativnim posledicama.

Razumijevanje programa FedRAMP i njegovih zahtjeva za zdravstveni sektor

Što je FedRAMP?

Federal Risk and Authorization Management Program (FedRAMP) je američki vladini program kreiran 2011. godine pod autoritetom Office of Management and Budget (OMB). Standardizira procjenu sigurnosti, autorizaciju i kontinuirani nadzor usluga u oblaku namijenjenih američkim federalnim agencijama. 2023. godine je potpisana FedRAMP Authorization Act, konačno kodificirajući program u federalnom zakonu (44 U.S.C. § 3607).

Za dobivanje FedRAMP autorizacije, pružatelj usluga u oblaku (CSP) mora dokazati sukladnost sa sigurnosnim kontrolama definiranim u NIST SP 800-53. Tri razine utjecaja postoje: Low, Moderate i High. U federalnom zdravstvenom sektoru — što uključuje Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — razina High je često obavezna, zbog osjetljivosti PHI podataka (Protected Health Information) pokrivenih zakonom HIPAA.

HIPAA, FedRAMP i lanac sukladnosti dokumenata

Artikulacija između HIPAA (Health Insurance Portability and Accountability Act iz 1996.) i FedRAMP-a kreira dvostruki zahtjev za SaaS rješenja elektroničkog potpisa implementirana u federalnom zdravstvenom kontekstu. HIPAA nameće stroga pravila o privatnosti (Privacy Rule) i sigurnosti (Security Rule) PHI podataka, dok FedRAMP certificira da infrastruktura u oblaku na kojoj se rješenje oslanja poštuje audibilne i kontinuirane sigurnosne standarde.

Konkretno, pružatelj koji nudi rješenja za elektronički potpis u zdravstvu federalnim ustanovama trebao bi:

• Dobiti ili se oslanjati na ATO (Authority to Operate) FedRAMP-a dodijeljen od strane sponzorske agencije ili kroz Joint Authorization Board (JAB);
• Potpisati Business Associate Agreement (BAA) HIPAA sa klijentskim ustanovama;
• Osigurati audit logging svakog čina potpisa, u skladu sa zahtjevima za integritet dokumenata;
• Garantirati pohranom podataka u geografskim regijama koje su odobrene.

Razine FedRAMP-a i njihov utjecaj na elektronički potpis

Odabir razine FedRAMP izravno uvjetuje tehničku arhitekturu rješenja za potpis. Na razini High, zahtjevi uključuju:

• Enkripcija AES-256 za podatke u mirovanju i TLS 1.2+ za podatke tijekom prijenosa;
• Obavezna multifaktorska autentifikacija (MFA) za sve administratorske pristupe;
• Nepromjenjivi auditi sa minimalnom zadržavanjem od 3 godine;
• Skeniranje ranjivosti mjesečno i testiranje penetracije godišnje od strane akreditiranih trećih strana (3PAO — Third-Party Assessment Organization);
• Kontinuirano upravljanje incidentima sigurnosti sa obavijestom u roku od 1 sata za US-CERT.

Ti tehnički zahtjevi stvaraju standard sigurnosti dokumenata koji često premašuje standard koji se traži samo u europskom okviru, čineći dvostruku sukladnost FedRAMP/HDS posebno zahtjevnom.

HDS i FedRAMP: dvostruka sukladnost za transnacionalne aktere

HDS certifikacija: francuski referentni okvir

U Francuskoj je pohrana zdravstvenih podataka ograničena člankom L.1111-8 Kodeksa javnog zdravstva, upotpunjeno dekretom br. 2018-137 od 26. veljače 2018. Svaki pružatelj pohrane koji obrađuje zdravstvene podatke osoba u karakteru za račun zdravstvenih profesionalaca ili ustanova trebao bi dobiti HDS certifikaciju izdanu od strane organizacije akreditirane od COFRAC-a.

HDS certifikacija počiva na šest aktivnosti pohrane (fizička infrastruktura, virtualna infrastruktura, platforma pohrane, administracija i eksploatacija, sigurnosna kopija, управления infrastruktury) i oslanja se na referentne okvire ISO/IEC 27001 i ISO/IEC 27701. Za rješenje elektroničkog potpisa sukladno europskim propisima, pohrana kod aktera s HDS certifikacijom nije opciono kada potpis sadrži podatke o zdravlju.

Točke konvergencije i divergencije između FedRAMP-a i HDS-a

Usporedba između dva referentna okvira pokazuje značajne točke sličnosti, ali i primjetne razlike:

Zajedničke točke:

• Zahtjev za dokumentiranim upravljanjem sigurnosnim rizicima;
• Strogu kontrolu pristupa i princip minimalnih privilegija;
• Plan kontinuiteta poslovanja (PCA/BCP) i plan oporavka nakon katastrofe (PRA/DRP) redovito testiran;
• Praćenje pristupa osjetljivim podacima.

Glavne razlike:

• Pohrana podataka: HDS je geografski neutralan, ali implicitno favorizira EU; FedRAMP obično zahtjeva pohranu na američkom tlu (FedRAMP High često nameće namjenske GovCloud instance);
• Model audita: FedRAMP koristi 3PAO akreditirane od strane samog programa; HDS se oslanja na organizacije akreditirane za certificiranje od COFRAC-a;
• Ciklus obnove: FedRAMP nameće kontinuirani nadzor (ConMon) sa mjesečnim izvještajima; HDS zahtjeva audit obnove svakih tri godine.

Te razlike nepokretnost rješenja koja rade na oba tržišta da održe odvojena oblačna okruženja ili se oslanjaju na hyperscale pružatelje koji imaju AWS GovCloud FedRAMP High ATO i HDS certificiranu infrastrukturu u Europi.

Elektronički potpis kao alat sukladnosti u zdravstvenim workflow-ima

Dokazna vrijednost i integritet dokumenata

U reguliranom okruženju kao što je zdravstvo, pravna vrijednost elektroničkog potpisa počiva na dva stupa: integritet dokumenata (bez izmjene nakon potpisa) i pouzdana identifikacija potpisnika (autentifikacija). Ta dva zahtjeva su u jezgri kako eIDAS propisa tako i NIST standarda koje koristi FedRAMP.

Uredba eIDAS br. 910/2014 razlikuje tri razine potpisa: jednostavni (SES), napredniji (AdES) i kvalificirani (QES). U europskom zdravstvenom sektoru, napredniji elektronički potpis (AdES), u skladu s normama ETSI EN 319 132 za formate XAdES, CAdES i PAdES, obično se preporučuje za osjetljive medicinske dokumente (informirani pristanci, elektronske recepte, datoteke kliničkog istraživanja).

U Sjedinjenim Državama, primjenjivi okvir je ESIGN Act (Electronic Signatures in Global and National Commerce Act iz 2000.) i UETA (Uniform Electronic Transactions Act), koji priznaju pravnu valjanost elektroničkih potpisa bez nametanja specifičnog tehničkog formata. Međutim, u FedRAMP kontekstu, tehnički zahtjevi sigurnosti (enkripcija, audit trail, MFA) faktički nameću razinu ekvivalentnu europskom AdES-u.

Autentifikacija zdravstvenih profesionalaca i digitalni identitet

Jedan od specifičnih izazova zdravstvenog sektora je jaka autentifikacija profesionalaca. U Francuskoj, Karta Zdravstvenog Profesionalca (CPS) i njen digitalni ekvivalent e-CPS, upravljani od strane ANS (Agencija za Digitalni Numerički zdravstvo), predstavljaju temelj digitalnog identiteta koji se prepoznaje za pristup zdravstvenim sustavima i potpisivanje medicinskih dokumenata. Integracija e-CPS-a u rješenje elektroničkog potpisa omogućava postizanje razine kvalificiranog potpisa (QES) za slučajeve koji trebaju najveću dokaznu vrijednost.

Na američkoj strani, PIV (Personal Identity Verification, FIPS 201) je ekvivalentni standard federalnog identiteta. Federalne zdravstvene agencije često zahtijevaju PIV autentifikaciju za vrlo osjetljive transakcije, što nameće rješenjima za potpis integraciju konektora kompatibilnih s tom infrastrukturom.

Za organizacije koje žele razumijevanja svekolike dostupne opcije, usporedba rješenja za elektronički potpis omogućuje procjenu razina autentifikacije koju podržava svaka platforma.

Upravljanje životnim ciklom zdravstvenih dokumenata

FedRAMP/HDS sukladnost ne završava se činom potpisa. Ona pokriva cijeli životni ciklus dokumenata:

• Kreiranje i templating: Modeli informiranih pristanaka, formulari za prijem ili protokoli kliničkog istraživanja trebali bi biti verzionisani i revidirani;
• Potpis i vremenski žig: Svaki potpis trebao bi biti popraćen kvalificiranim vremenskim žigom (RFC 3161) koji garantira sigurnu datumsku oznaku čina;
• Arhivska pohrana: Čuvanje dokaza o potpisu (audit izvještaj, certifikati, heš dokumenata) trebalo bi poštovati zakonske periode — najmanje 10 godina za medicinske datoteke u Francuskoj (članak R.1112-7 CSP), 6 godina za HIPAA zapise;
• Opoziv i nevalidnost: Mehanizmi OCSP (Online Certificate Status Protocol) ili CRL (Certificate Revocation List) trebali bi omogućiti provjeru valjanosti certifikata u trenutku potpisa.

Taj pristup cjelokupnom životnom ciklusu uklanja se u širu strategiju elektroničkog potpisa za poduzeća koja žele industrijalnosirati svoje procese upravljanja dokumentima u skladu sa regulacijom.

Procjena i odabir rješenja za potpis kompatibilnog sa FedRAMP i HDS

Tehnički kriteriji odabira

Suočavajući se sa složenošću dvostrukog referentnog okvira FedRAMP/HDS, kriteriji odabira rješenja za elektronički potpis za zdravstveni sektor trebali bi pokriti nekoliko dimenzija:

Infrastruktura i pohrana:

• Aktivna HDS certifikacija, provjerava se u PSCE registru ANS-a;
• Dokumentirani FedRAMP ATO dostupan na službenoj tržnici marketplace.fedramp.gov;
• Odvojena okruženja EU/SAD sa politikama prijenosa podataka u skladu sa Data Privacy Framework (DPF);
• SLA dostupnosti ≥ 99,9% sa obvezama RTO < 4h i RPO < 1h.

Funkcionalnosti sukladnosti:

• Nativna podrška za razine AdES (XAdES, PAdES, CAdES) sa vremenskim žigom RFC 3161;
• Konektori e-CPS i PIV za autentifikaciju profesionalaca;
• Dokumentirani REST API za integraciju u zdravstvene IS sustave (DMP, SIH, PACS);
• Nadzorna ploča sukladnosti sa izvozom audit izvještaja u standardnom formatu.

Ugovorne mogućnosti:

• BAA HIPAA dostupna kao standard;
• DPA (Data Processing Agreement) RGPD sukladan članku 28;
• Klauzula revizije koja omogućuje neovisne provjere.

Integracija u zdravstvene informacijske sustave

Integracija rješenja za potpis u kompleksan zdravstveni IS često je ograničavajući čimbenik u primjeni. Sučelja HL7 FHIR (Fast Healthcare Interoperability Resources), sada standard u Sjedinjenim Državama pod utjecajem 21st Century Cures Act, i integracije DMP/Mon Espace Santé u Francuskoj, nameću ograničenja interoperabilnosti koja rješenje za potpis trebalo bi poštovati.

Organizacije već opremljene postojećim rješenjima (DocuSign, Adobe Sign) mogu se koristiti iz migracije na rješenje bolje prilagođeno zahtjevima HDS, omogućujući čuvanje arhiva dokumenata dok se dobija na sukladnosti sa regulacijom.

ROI kalkulator dostupan je na Certyneo-u omogućujući preciznu procjenu povrata na ulaganje u takvu migraciju, uključujući troškove usklađivanja, dobitke u produktivnosti i smanjenje pravnih rizika.

Pravni okvir primjenjiv na elektronički potpis u zdravstvu: FedRAMP, HDS i eIDAS

Temeljni europski tekstovi

U francuskom i europskom pravu, pravna vrijednost elektroničkog potpisa počiva na članku 1366 Građanskog kodeksa, koji propisuje da « elektronički dokument ima istu dokaznu vrijednost kao dokument na papirnom nosaču, pod uvjetom da se može pravilno identificirati osoba s kojom je nastao i da je uspostavljen i čuvan na način koji jamči njegovu integritet ». Članak 1367 Građanskog kodeksa pojašnjava da elektronički potpis « sastoji se od korištenja pouzdanog postupka identificiranja koji osigurava njegovu povezanost sa činom kojem se pripisuje ».

Na europskoj razini, Uredba (EU) br. 910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) predstavlja temelj međusobnog priznavanja elektroničkih potpisa između država članica. Ona definira tri razine potpisa (SES, AdES, QES) i uspostavlja princip prema kojem je elektronički kvalificirani potpis « pravnog učinka ekvivalentnog ručnom potpisu » (čl. 25, st. 2). Uredba eIDAS 2.0 (Uredba (EU) 2024/1183), stupila je na snagu u svibnju 2024., proširuje ovaj okvir s uvođenjem Europskog Portfelja za Digitalni Identitet (EUDI Wallet), koji se izravno primjenjuje na zdravstveni sektor za identifikaciju pacijenata i profesionalaca.

Tehnički referentni standardi objavljeni su od ETSI: ETSI EN 319 101 (opća politika), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 142 (PAdES). Ti standardi definiraju formate dugoročnog arhiviranja potpisa (LTA — Long Term Archive), od iznimne važnosti za osiguranje provjerivosti potpisa tijekom razdoblja pohrane od 10 do 30 godina.

Zaštita zdravstvenih podataka: RGPD i sektorski propis

Uredba (EU) 2016/679 (RGPD) klasificira zdravstvene podatke kao « osobne podatke koji se odnose na zdravlje » koji spadaju u posebne kategorije (čl. 9), čija je obrada u principu zabranjena osim explicit iznimki (pristanak, neophodnost za zdravstvenu skrb, javni interes u području javnog zdravstva). Svako rješenje za potpis koje obrađuje zdravstvene podatke trebalo bi poštovati principe minimizacije, ograničenja svrhe i sigurnosti (čl. 5 i 32 RGPD), te odrediti podprocesora putem DPA-e sukladno članku 28.

U francuskom pravu, članak L.1111-8 Kodeksa javnog zdravstva nameće korištenje pohrane s HDS certifikacijom za bilo koju pohranu zdravstvenih podataka osoba u karakteru. Prekršaj te obveze podleže kaznenim sankcijama (članak L.1115-1 CSP).

Američki okvir: HIPAA, FedRAMP i ESIGN Act

U Sjedinjenim Državama, HIPAA Security Rule (45 CFR Part 164) nameće administrativne, fizičke i tehničke jamstva za zaštitu ePHI (electronic Protected Health Information). Pružatelji rješenja u oblaku trebali bi potpisati obavezan Business Associate Agreement (BAA).

FedRAMP Authorization Act (kodificiran 2022., 44 U.S.C. § 3607) čini obaveznom FedRAMP sukladnost za svaku uslugu u oblaku koju koristi federalna agencija. Kršenja sukladnosti mogu dovesti do opoziva ATO i isključivanja sa federalnog tržišta. ESIGN Act (15 U.S.C. § 7001 i dalje) jamči pravnu valjanost elektroničkih potpisa u komercijalnim i federalnim transakcijama, bez nametanja specifičnog tehničkog formata ali pod uvjetom poštovanja autentifikacijskih zahtjeva.

Konačno, direktiva NIS2 (Direktiva (EU) 2022/2555), implementirana u francusko pravo zakonom br. 2023-703 od 1. augusta 2023., pojačava obveze kibernetske sigurnosti za bitne entitete, kategorija u kojoj se nalazi većina većih zdravstvenih ustanova. Ona nameće obavijest o incidentu u roku od 24 sata kompetentnim vlastima (ANSSI u Francuskoj) i angažira odgovornost upravitelja u slučaju kršenja.

Scenariji korištenja: FedRAMP, HDS i elektronički potpis u zdravstvu

Scenarij 1: Univezitetska bolnička grupa koja upravljala transatlantskim protokolima klinčkog istraživanja

Bolnička grupa sa oko 1 200 kreveta, partner federalne američke agencije za medicinska istraživanja (tip NIH-affiliated institution), provodi klinička istraživanja faze III s centrima istraživanja u Francuskoj i Sjedinjenim Državama. Svaki unos pacijenta zahtjeva elektronički potpisanu informirani pristanak, arhiviran tijekom 15 godina u skladu sa zahtjevima ICH E6(R2) Dobrih Praksi Klima.

Prije primjene rješenja sukladan FedRAMP/HDS, proces se oslanjao na papirnate potpise digitalizirane, generirajući prosječne kašnjenja od 4 do 7 radnih dana po slučaju unosa i stopu greške od 12% (nepotpuni formulari, nedostajući potpisi). Nakon pokretanja rješenja za elektronički potpis avansiran, pohranjen na infrastrukturi s HDS certifikacijom u Europi i s ATO FedRAMP Moderate za američke centre:

• Smanjenje vremena za unos sa 4-7 dana na manje od 24 sata (dobit od 80 do 85%);
• Stopa greške u dokumentaciji smanjena na manje od 1% zahvaljujući automatiziranim workflow-ima validacije;
• Audit sukladnost: 100% pristanaka arhivirano sa vremenskim žigom RFC 3161 i dokazom potpisa izvozivim u 1 kliku za FDA/ANSM inspekte.

Scenarij 2: Editor medicinskog softvera koji certificira svoju rješenja kod federalnih agencija SAD-a

PMV francuska specijalizirana za software za upravljanje elektroničkim medicinskim dokumentima želi prodati svoju rješenja bolnicama Veterans Affairs (VA) u Americi. Pristup ovom federalnom tržištu zahtjeva FedRAMP High ATO, s obzirom da rješenje uključuje modul za elektronički potpis na receptima i operacijskim izvještajima.

Poduzeće se konsultira sa SaaS editorom koji se specijalizira na potpise već s FedRAMP High ATO kao tehnički podprocesora, što omogućuje korištenje programa nasljjeđivanja sukladnosti (inherited controls) smanjujući za 40% površinu kontrola koju trebalo revizorirati od strane vlastitog 3PAO. Ukupni trošak certifikacijske procedure je tako smanjen od 35 do 50% uspoređeno s nezavisnom certifikacijom, a rok dobivanja ATO skraćen sa 18 mjeseci na cirka 10 mjeseci.

Scenarij 3: Mreža laboratoria za medicinska istraživanja koja dématérialise svoje izvještaje o biologiji

Mreža od 45 privatnih laboratorija za medicinska istraživanja, raširenih na nekoliko francuskih regija, trebala bi staviti elektroničke potpise medicinskih biologa odgovornih na svaki izvještaj o rezultatima, u skladu s člankom L.6211-9 Kodeksa javnog zdravstva. Oko 8 000 izvještaja je proizvedeno svakodnevno, trebano rješenje trebalo bi podporiti masovno potpisivanje dok se osigurava individualna autentifikacija svakog biologa preko svojeg e-CPS-a.

Integracija rješenja za potpis kompatibilnog s e-CPS, pohranjena kod pružatelja s HDS certifikacijom, omogućuje:

• Potpis od 8 000 dokumenata/dan sa vremenom obrade manjim od 3 sekunde po dokumentu;
• Cjelokupan audit trail izvoziv za inspekte ANSM-a i Vrhovnog zdravstvenog autoriteta;
• Smanjenje troškova ispisa i poštanskog slanja od otprilike 60 000 € godišnje na razini mreže, prema uobičajenim vrijednostima u sektorskim izvještajima o dématérializaciji bolnica (ANAP izvještaj 2024.).

Zaključak

FedRAMP sukladnost u zdravstvenom sektoru s elektroničkim potpisom predstavlja jedan od najsloženijih regulatornih izazova za organizacije koje rade u transatlantskoj skali. Zahtijeva istovremeno znanje američkih (FedRAMP, HIPAA, ESIGN Act) i europskih (eIDAS, HDS, RGPD, NIS2) referentnih okvira, kao i tehničku arhitekturu sposobnu odgovoriti zahtjevima oba okruženja bez kompromisa na sigurnosti ili pravnoj vrijednosti potpisanih činova.

Organizacije koje steknu dvostruku sukladnost brže se prilagođavaju, steknu kredibilnost pred institucionalnim partnerima i pokazuju otpornost prema regulatornim audit-ima. Elektronički potpis, daleko od toga da bude jednostavno sredstvo dématérialacije, postaje strukturirajući mehanizam za vladovanje dokumentima u zdravstvu.

Certyneo prati zdravstvene aktere u primjeni workflow-a za potpis sukladen HDS, eIDAS i kompatibilan sa zahtjevima FedRAMP. Kontaktirajte naše stručnjake za analizu vaše regulatory situacije i personalizirani prikaz.