FedRAMP samvinnuframboð í heilbrigðisgeiranum: rafræn undirritun

Samleitin á milli reglugerða um bandarískan skjalaflokka og evrópskra staðla um öryggi heilbrigðisgagna endurskilgreinir viðmiðanir fyrir val tölvutækja í læknisgeiranum. Fyrir stofnanir sem starfa við gatnamót bandaríska alríkismarkaða og evrópskra markaða — sjúkrahús, lyfjafyrirtæki, þjónustuaðilar heilbrigðisþjónustu yfir landamæri — hefur FedRAMP samvinnuframboð í heilbrigðisgeiranum með rafrænni undirritun orðið stefnumótandi nauðsyn, ekki aðeins athugasemd sem þarf að merkja.

Þessi grein leysir upp grundvallaratriði FedRAMP-áætlunarinnar, hvernig hún tengist HDS-vottun (Hébergeur de Données de Santé) frönsku, og hvernig ströng rafræn undirritun sæt sig inn í þennan tvöfalda regluverkið. Hún beinist að CIO, DPO, forstjórum læknisstjórnar og samræmisstjórum sem verða að taka ákvarðanir um tæknileg val með meiriháttar lagalegum og rekstrarlegum afleiðingum.

Skilningur á FedRAMP áætluninni og kröfum hennar fyrir heilbrigðisgeirann

Hvað er FedRAMP?

Federal Risk and Authorization Management Program (FedRAMP) er bandarísk stjórnarprógram sem var stofnað 2011 undir yfirráðum Office of Management and Budget (OMB). Það staðlainnir mat á öryggi, heimild og stöðug eftirlit með skjalaflokka þjónustu sem eru ætlaðir bandarískum alríkisstofnunum. Árið 2023 var undirritaður FedRAMP Authorization Act, sem lögfesti áætlunina endanlega í alríkislögum (44 U.S.C. § 3607).

Til að fá FedRAMP heimild verður skjalageirnir þjónustuveitandi (CSP) að sanna samvinnuframboð sitt með öryggistveimótum sem skilgreind eru í NIST SP 800-53. Þrír áhrifastig eru til: Low, Moderate og High. Í alríkis heilbrigðisgeiranum — sem nær til Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — er stigið High oft krafist, vegna viðkvæmni PHI (Protected Health Information) gagna sem falla undir HIPAA lög.

HIPAA, FedRAMP og skjalasöfnunarsamræmi

Tengsl HIPAA (Health Insurance Portability and Accountability Act frá 1996) og FedRAMP skapa tvöfalda þvingun fyrir SaaS lausnir rafrænnar undirritunnar sem dreifðar eru í samhengi alríkis heilbrigðisstarfa. HIPAA setur strangar reglur um trúnað (Privacy Rule) og öryggi (Security Rule) PHI, en FedRAMP vottar að skjalageirinn sem lausnin byggir á hlítir stöðvum öryggismóta sem eru endurskoðanleg og stöðug.

Í ætilegri lausn gæti skjalageirn sem leggur til lausnir rafrænnar undirritunnar í heilbrigðisgeiranum til bandarískra alríkisstarfa:

• Fá eða treysta á ATO (Authority to Operate) FedRAMP sem gefin er út af styrktarskrifstofni eða í gegnum Joint Authorization Board (JAB) ;
• Undirrita Business Associate Agreement (BAA) HIPAA við stofnanir viðskiptavina ;
• Tryggja audit logging fyrir hvern undirritunarageiringu, samkvæmt kröfum um heilleika gagna ;
• Garantera búseturíkis gagna á samþykktu landafræðilegu svæði.

FedRAMP stig og áhrif þeirra á rafreina undirritun

Val á FedRAMP stigi skilyrðir beint tækniarkitektúr rafrænnar undirritunarlausnar. Á stigi High innihalda kröfur það sem segir:

• AES-256 dulkóðun fyrir gögn í hvíld og TLS 1.2+ fyrir gögn við flutning ;
• Margatvinna auðkenning (MFA) skyldubundin fyrir alla stjórnendaaðgang ;
• Óbreytanlegir endurskráðir og varðveisla lágmark 3 ára ;
• Mánaðarleg skoðun á galla og árlegir prófanir á innildri frá opinberum aðilum (3PAO — Third-Party Assessment Organization) ;
• Stöðug umsjón með öryggislösun með tilkynningu innan 1 klst til US-CERT.

Þessar tæknikröfur skapa skjalageirinn öryggisstaðal sem oft kemst fram úr því sem nauðsynlegt er í eingöngu evrópsku samhengi, sem gerir tvöfalda samræmi FedRAMP/HDS sérstaklega krefjandi.

HDS og FedRAMP: tvöfaldr samræmi fyrir þjóðverjaðigar aðila

HDS vottun: frönsk viðmið tilvísanir

Í Frakklandi er geymsla heilbrigðisgagna stjórnað af kafla L.1111-8 í Code de la santé publique, bættur við með tilskipun n°2018-137 frá 26. febrúar 2018. Allir geymir sem meðhöndlar heilbrigðisgögn á persónulegum grunni fyrir hönd fagfólks eða heilbrigðisstofnana verða að fá HDS vottun sem gefin er út af viðurkenndu aðilum af COFRAC.

HDS vottun byggir á sex geymslustarfemi (líkamlega innviði, sýndarinnviði, geymslusvið, stjórnun og rekstur, öryggisafrit, ytri stjórnun) og byggir á ISO/IEC 27001 og ISO/IEC 27701 viðmiðum. Fyrir rafreina undirritunarlausn sem samræmist evrópskum reglugerum, að vera geymd af aðila sem hefur HDS vottun er ekki valkvætt þegar undirritaðir skjöl innihalda heilbrigðisgögn.

Samhliðanokkun og ósamvinna milli FedRAMP og HDS

Samanburður á milli tveggja viðmiða sýnir umtalsverða samleitni en einnig athyglisverða ósamvinna:

Sameiginleg atriði:

• Krafa um skjalageirinn stjórnun á öryggisáhættu ;
• Strangir aðgangseftirlitir og meginregla um minnsti forréttindi ;
• Áætlun um framhald atvinnurekstrar (PCA/BCP) og áætlun um endurstarf eftir hamfarir (PRA/DRP) prófaðar reglulega ;
• Rakstöðugildi aðgangs að viðkvæmum gögnum.

Stærsti munur:

• Búseta gagna : HDS er hlutlaus landfræðilega en hlynni óbeint ESB ; FedRAMP krefst almennt geymslu á bandarísku yfirráðasvæði (FedRAMP High setur oft GovCloud fremur til) ;
• Endurskoðunarsmír : FedRAMP notar 3PAO viðurkennd af áætluninni sjálfri ; HDS treystir á vottunargögnun viðurkennda af COFRAC ;
• Endurnýjunarlotubit : FedRAMP krefst stöðugs eftirlits (ConMon) með mánaðarlegum skýrslum ; HDS krefst endurskoðunar endurnýjunar á þriggja ára fresti.

Þessi ósamsömulag neyðir lausnir sem starfa á báðum mörkuðum til að viðhalda aðskildum skjalaflokkaarkitektúrum eða nota hyperscale birgja sem hafa bæði AWS GovCloud FedRAMP High ATO og HDS vottaða innviði í Evrópu.

Rafræn undirritun sem samræmistæki í heilbrigðiskjósum

Sönnunargildi og heilleiki skjala

Í stjórnaðri umhverfi eins og heilbrigðisþjónustu byggir sannargildið lagalegs rafrænnar undirritunarlausnar á tveimur stöðum: heilleika skjala (engin breyting eftir undirritun) og áreiðanleg auðkenning undirritara (auðkenning). Þessi tvö atriði eru kjarninn bæði í eIDAS reglunum og NIST stöðlum sem FedRAMP notar.

eIDAS reglugerð n°910/2014 gerir greinarmun á þremur stigum undirritunarlausnar: einföld (SES), háþróuð (AdES) og hæf (QES). Í evrópskum heilbrigðisgeiranum er rafræn undirritun háþróuð (AdES), samkvæmt ETSI EN 319 132 stöðlum fyrir XAdES, CAdES og PAdES sniðið, almennt mælt með fyrir viðkvæma lækniskjöl (upplýst samþykki, rafrænar lyfjavísanir, rannsóknargögn klíníka).

Í Bandaríkjunum er viðeigandi rammi ESIGN Act (Electronic Signatures in Global and National Commerce Act frá 2000) og UETA (Uniform Electronic Transactions Act), sem viðurkenna lagagildi rafrænnar undirritunarlausnar án þess að setja tiltekin tæknisnið. Hins vegar, í samhengi FedRAMP, setja tæknikröfur um öryggi (dulkóðun, endurskráning, MFA) í raun fyrir því stig sem jafngildir evrópskum AdES.

Auðkenning heilbrigðisfræðinganna og stafræn auðkenni

Ein af sérstaklega áskorun heilbrigðisgeirann er strong auðkenning fagfólks. Í Frakklandi mynda Kort um starf heilbrigðisfræðra (CPS) og jafngildi hennar stafrænt e-CPS, stýrt af ANS (Agence du Numérique en Santé), grundvöll stafrænnar auðkennis fyrir aðgang að heilbrigðiskerfum og undirrita lækniskjöl. Samþætting e-CPS í rafrænri undirritunarlausn gerir kleift að ná stigi hæfaðs undirritunarlausnar (QES) fyrir tilvik sem krefjast hæsta sönnunargildis.

Á bandarísku hlið er PIV (Personal Identity Verification, FIPS 201) jafngildur alríkisauðkenningsstaðall. Alríkisstofnanir heilbrigðis krefjast oft PIV auðkenningar fyrir mjög viðkvæmar viðskipti, sem krefst þess að undirritunarlausnir innihaldi tengla sem samkvæm eru þessari innviði.

Fyrir stofnanir sem leitast við að skilja allt úrval tiltækra valkosta, bæran samanburð á rafrænni undirritunarlausnum gerir kleift að meta þau auðkenningarstig sem hver vettvangur studdir.

Stjórnun á lífsferli heilbrigðisskjala

FedRAMP/HDS samræmi stöðvar ekki við undirritun. Það nær til allra skjalageirinn lífsferlis:

• Framboð og sniðmátunarheiti : sniðmát um upplýst samþykki, innlagnirformúlir eða klínískar rannsóknir verða að vera útgáfusettar og endurskráðar ;
• Undirritun og tímasetning : hver undirritun verður að vera með hæfum tímastimpli (RFC 3161) sem tryggir nákvæma dagsetningu athafnarinnar ;
• Sannföngur geymsla : varðveisla sönnunar fyrir undirritun (endurskráningarskýrslir, skírteini, sátt skjalsins) verður að hlíta lagalegum geymslutímabilum — lágmark 10 ár fyrir lækniskjöl í Frakklandi (kafla R.1112-7 CSP), 6 ár fyrir HIPAA skrár ;
• Afturköllun og ógilding : OCSP (Online Certificate Status Protocol) eða CRL (Certificate Revocation List) aðferðir verða að gera kleift að yfirfara gildi skírteina á tímapunkti undirritunarlausnar.

Þessi nálgun á heilan lífsferil skjala fellur undir víðara framtak rafrænna undirritunarlausnar fyrir fyrirtæki sem leitast við að efla skjalageirinn ferla á samræmiðan hátt.

Mat og val á undirritunarlausn samkvæm FedRAMP og HDS

Tæknilegir valviðmiðar

Frammi fyrir flókinni tvöföldri FedRAMP/HDS viðmiðun verða valviðmiðar rafrænrar undirritunarlausnar fyrir heilbrigðisgeirann að ná til margra stærða:

Innvi og geymsla:

• Virk HDS vottun, sem er aðgengileg á ANS PSCE skipulaginu ;
• FedRAMP ATO skjalageirinn, staðfest á opinbera vettvangi marketplace.fedramp.gov ;
• Aðskilnaðar umhverfum ESB/US með stefnu um gagnaflutninga sem er samkvæm Data Privacy Framework (DPF) ;
• SLA fyrir aðgengi ≥ 99,9 % með skuldbindingu RTO < 4h og RPO < 1h.

Samræmiseiginleikar:

• Stuðningur á innfæddri AdES stigi (XAdES, PAdES, CAdES) með RFC 3161 tímasetningum ;
• Tenglar e-CPS og PIV fyrir auðkenningu fagfólks ;
• Skjalageirinn REST API fyrir samþættingu í heilbrigðiskerfum (DMP, SIH, PACS) ;
• Samræmisupplýsingaflóki með útflutningur endurskráningarskýrslna á stöðluðu sniði.

Samningsbundin getu:

• HIPAA BAA aðgengilegt sem venjulega ;
• RGPD DPA (Data Processing Agreement) samkvæmt kafla 28 ;
• Endurskoðunarákvæði sem gerir óháðum sannprófunum kleift.

Samþætting í heilbrigðisgeirann upplýsingakerfum

Samþætting rafrænnar undirritunarlausnar í flókin heilbrigðiskerfi er oft takmarkandi þáttur samþykktar. HL7 FHIR viðmót (Fast Healthcare Interoperability Resources), sem er nú staðall í Bandaríkjunum samkvæmt þrýstingi 21st Century Cures Act, og DMP/Mon Espace Santé samþættingar í Frakklandi, setja samvinnukröfur sem undirritunarlausn verður að virða.

Stofnanir sem eru nú búnar núverandi lausnum (DocuSign, Adobe Sign) geta notið góðs af flutningi til lausnar sem passar betur til HDS krafna, sem gerir kleift að varðveita skjalageirinn skjöl á meðan hlakið til samræmis með reglugerum.

ROI reiknirinn sem aðgengilegur er á Certyneo gerir kleift að meta nákvæmlega endurkomu af slíkri flutningi, með samþættingu kostnaðar við samræmi, framleiðni hagnaðar og minnkun lagalegrar áhættu.

Lagaleg rammi sem gildir um rafreina undirritun í heilbrigðisstarfi: FedRAMP, HDS og eIDAS

Grundvallar evrópsk texti

Í frönsku og evrópskum rétti byggir sannargildið lagalegra rafrænna undirritunarlausnar á kafla 1366 frá Code civil, sem segir að „rafræn ritun hefur sömu sönnunargildi og ritun á pappírsumboði, þó svo að auðkenni sé fullnægjandi sannað sá sem hún kemur frá og hún sé stofnuð og geymd á skilyrðum sem tryggja heilleika hennar". Kafli 1367 Code civil tilgreinir að undirritun „felst í notkun áreiðanlegra skilgreiningar aðferðar sem tryggir tengsl hennar við athöfn sem hún er fest á".

Á evrópskum vettvangi er Reglugerð (EU) n°910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) grundvallarstöð gagnkvæmrar viðurkenningar rafrænna undirritunarlausnar milli aðildarlanda. Hún skilgreinir þrjú undirritunarstig (SES, AdES, QES) og setur meginregluna um að rafræn hæf undirritun „hefur lagaleg áhrif jafngild handskrifaðri undirritun" (kafli 25, §2). eIDAS 2.0 reglugerðin (Reglugerð (EU) 2024/1183), sem tók gildi í maí 2024, útvíkkar þennan ramma með innleiðingu Evrópsku stafrænni auðkenningarveskinu (EUDI Wallet), beint gildandi heilbrigðisgeiranum fyrir auðkenningu sjúklinga og fagfólks.

Tæknilegu viðmiðanir eru birtar af ETSI: ETSI EN 319 101 (almennari stefna), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 142 (PAdES). Þessi staðlar skilgreina langtíma undirritunarsniðið (LTA — Long Term Archive), sem nauðsynlegar eru til að tryggja sannprófun undirritunarlausnar á geymslutímabilum 10 til 30 ára.

Verndun heilbrigðisgagna: GDPR og aðalgeirinn réttur

Reglugerð (EU) 2016/679 (GDPR) flokkar heilbrigðisgögn sem „persónuupplýsingar varðandi heilbrigði" sem falla undir sérstakar flokkanir (kafli 9), en meðhöndlun þeirra er almennt bönnuð nema um skýrra undantekning (samþykki, nauðsyn fyrir umönnun, hátt framboð á heilbrigðisgeiranum) sé að ræða. Allar lausnir sem meðhöndla heilbrigðisgögn verða að hlíta meginreglum um minnkun, takmarkanir á tilgangi og öryggi (kafli 5 og 32 GDPR) og tilnefna undirverktaka í gegnum DPA samkvæmt kafla 28.

Í frönsku rétti kveður kafli L.1111-8 Code de la santé publique á um notkun geira sem er HDS vottaður fyrir alla geymslu heilbrigðisgagna á persónulegum grunni. Brot á þessari skyldu geta falið í sér sakamálum (kafli L.1115-1 CSP).

Bandaríski ramminn: HIPAA, FedRAMP og ESIGN Act

Í Bandaríkjunum setur HIPAA Security Rule (45 CFR Part 164) tryggingar stjórnunar, efnislegs og tæknu fyrir verndun ePHI (electronic Protected Health Information). Birgjar skjalageirinn lausna verða að undirrita skyldubundið Business Associate Agreement (BAA).

FedRAMP Authorization Act (lögfest 2022, 44 U.S.C. § 3607) gerir FedRAMP samvinnuframboð skylda fyrir allar skjalaflokka þjónustu sem notuð er af alríkisstofnun. Brot á samræmi geta leitt til afturköllunar ATO og útilokunar frá alríkismarkaði. ESIGN Act (15 U.S.C. § 7001 og fram yfir) tryggir sannargildið rafrænnar undirritunarlausnar í viðskiptum og alríkisframkvæmdum, án þess að setja tiltekið tæknisnið en með fyrirvara um virðingu fyrir auðkenningu kröfum.

Að lokum, NIS2 direktívan (Directive (EU) 2022/2555), flutt í frönsku lög með lögum n°2023-703 frá 1. ágúst 2023, styrkir öryggiskröfur fyrir nauðsynlega einingar, flokka sem flestir heilbrigðisgeirinn stofnanir af umtalsverðri stærð falla undir. Hún setur fram tilkynningu um athöfn innan 24 klst til gildra yfirvalda (ANSSI í Frakklandi) og hefur í för með sér ábyrgð stjórnenda ef um vanþóknun kemur.

Notkunartilvik: FedRAMP, HDS og rafræn undirritun í heilbrigðisgeiranum

Tilvik 1: Háskóli sjúkrahúsa flokks sem sér um klíníska rannsóknarsamtök umfangsmikil samevrópsk

Háskóli sjúkrahúsa um 1 200 rúmum, samstarfsaðili bandarískrar alríkisstofnunar fyrir læknisrannsóknir (t.d. NIH-affiliated stofnun), stundaði klínísku rannsóknir III áfanga sem felast í rannsóknarsteðum í Frakklandi og Bandaríkjunum. Hver innlögn sjúklings krefst rafrænna undirritaðs og endurskráðs upplýsts samþykkis í 15 ár samkvæmt kröfum ICH E6(R2) frá Good Clinical Practice.

Fyrir innleiðingu á lausn sem samræmist FedRAMP/HDS byggði ferlið á handskrifuðum undirritunarlausum gögnum sem afrituð voru, sem gengu til að mynda 4 til 7 virka daga á hvert innlagnardagatal og 12% villum (óhull formúlir, gleymir undirritun). Eftir dreifingu rafrænnar undirritunarlausnar háþróað, geymda á geira HDS vottuð innviði í Evrópu og með FedRAMP Moderate ATO fyrir bandarískar stofnanir:

• Minni innlögnartími 4-7 dagar til innan við 24 klst (80 til 85% hagnaðu) ;
• Villuhraðar gagna sem færð til minna en 1% með sjálfvirkum staðfestingarflæði ;
• Endurskráningar samræmi : 100% af samþykkjum geymdum með RFC 3161 tímasetningu og sönnun fyrir undirritun sem hægt er að flytja út á 1 smelli fyrir FDA/ANSM endurskoðanir.

Tilvik 2: Útgefandi læknisvara sem sannprófar lausn sína hjá bandarískum alríkisstofnunum

Bresk lítil fyrirtæki sem sérhæfir sig í hugbúnaði til stjórnunar skjalageirinn rafræna læknisfræðilegum möppum ætlar að selja lausn sína til sjúkrahúsa Veterans Affairs (VA) í Bandaríkjunum. Aðgangur að þessum alríkismarkaði krefst FedRAMP High ATO, vitandi að lausnin inniheldur undirritunarlausnareiningu fyrir lyfjavísanir og aðgerðaskýrslur.

Fyrirtækið beitir utanaðkomandi útgefanda SaaS undirritunarlausnar sem nú er með FedRAMP High ATO sem undirverktaki, sem gerir því kleift að njóta erfðalegra samræmi áætlunar (inherited controls) sem minnkar um 40% yfirboð á eftirlitum sem endurskoðandi 3PAO þess verður að meta. Heildarkostnaður samræmisferils minnkar þannig um 35 til 50% samanborið við óháðan samræmisstaðla og ATO útfærsla skammtíminn styttist frá 18 mánuðir í um 10 mánuði.

Tilvik 3: Netkerfar læknisvara prófunarrannsókna sem dufthera endurskráningarskýrslu sína um líffræðigreiningu

Nettæki 45 læknisvara prófunarrannsókna einkaaðila, útbreiðst yfir margar frönsku svæði, verður að setja undirritun læknisfræðingna sem bera ábyrgð á hverri skýrslu um niðurstöðu, samkvæmt kafla L.6211-9 Code de la santé publique. Með um 8 000 endurskráningarskýrslum framleiddum á dag verður völd lausn að styðja massaundirritun á meðan auðkenning hvers læknisfræðings er tryggð í gegnum e-CPS.

Samþætting rafrænnar undirritunarlausnar samkvæm e-CPS, geymda hjá HDS vottuðum birgja, gerir kleift:

• Undirritun 8 000 skjala/dag með endurvinnsluáð lægri en 3 sekúndum á hverja skjal ;
• Endurskráningar lota fullnægjandi fyrir ANSM og Haute Autorité de Santé endurskráningarkönnun ;
• Minni prentun og sendingarkostnaðar um 60 000 € á ári fyrir nettækinu, samkvæmt gefjum almenn sést í skjarðum frá heilbrigðisgeiranum (ANAP skýrsla 2024).

Niðurstöður

FedRAMP samvinnuframboð í heilbrigðisgeiranum með rafrænni undirritun táknar ein og sem flókinust reglugerðaríðkandi fyrir stofnanir sem starfa á saman-Atlantíku stigum. Það kallar á samtímis tökum á bandarísku viðmiðum (FedRAMP, HIPAA, ESIGN Act) og evrópsku (eIDAS, HDS, GDPR, NIS2) auk tækniarkitektúrs sem getur mætt kröfum beggja umhverfanna án málamiðlunar um öryggi eða sannargildið lagalegra undirrita athafna.

Stofnanir sem gera sér grein fyrir þessari tvöföldri samræmi öðlast sveigjanleika samninginum, trúverðug meðal stofnana samstarfsaðila og endingu frammi fyrir endurskránum endurskoðanum. Rafræn undirritun, langt frá því að vera einfalt dufthera tækið, verður að skipulagðu skuldsetningu á skjalag