医疗保健在长期备份保留方面超支对于医院应该保留多长时间的备份，存在着一系列戏剧性的观点：有些医院保留备份30天，而有些医院则永久保留备份。许多人认为长期保留是由于法规要求，但事实并非如此。超过需要的保留时间会产生显著的成本影响，并导致资本支出比必要的高出50-70%。在医院全面关注优化和降低成本的今天，这是一个值得进一步探索和检验的课题。根据迄今为止的研究和对所有相关法规的审查，我们发现：超过90天的备份没有其他价值。通过减少60-90天的备份保留时间，可以实现显著的节约。更长的备份保留时间会带来高达70%的不必要的资本成本，并阻碍向更经济高效的体系结构的迁移。通过设置策略，可以大大缩短电子邮件保留时间，以减少责任和成本。让我们更详细地探讨这些要点。相关规定是什么？HIPAA要求覆盖的实体和业务合作伙伴具有患者健康信息（PHI）的备份和恢复过程，以避免数据丢失。未对持续时间作出规定（CFR 164.306，CFR 164.308）。州法规规定PHI必须保留多长时间，通常为6至25年，有时更长。保留规定是指PHI记录本身，而不是其备份。这是一个重要的区别，也是引起混乱和争论的根源。在缺乏深入了解的情况下，医院通常会选择长期的备份保留，这会带来巨大的成本影响，但没有相应的价值。我们如何将适用的法规转化为政策？实际上有两种策略在起作用：功率因数保留和备份保留。PHI保留应由数据治理和/或应用程序数据所有者负责。备份保留是管理系统和数据的可恢复性的IT策略。我还没有遇到过一家医院，在法规允许的情况下积极清理PHI。不这样做是有充分理由的：旧记录作为分析数据集的一部分仍然有价值，但前提是它们存在于实时系统中。如果PHI从未被清除，那么一年前备份中的记录也将出现在昨晚的备份中。那么，一年前，甚至六个月前的备份有什么价值呢？长期保留备份会增加资金需求和数据保护系统的复杂性，并限制了医院向新的数据保护体系结构过渡的能力，这些体系结构提供了更低的总体拥有成本，而所有这些都不会降低额外的风险或增加附加值。医院系统的正确备份保留期是什么？大多数人都认为正确的答案是60-90天。30天可能会暴露出一些不需要的系统更改的风险，这些更改需要在系统（如果不是数据）级别返回；给出的示例包括后来导致引导错误的更改。超过90天，很难确定数据或系统有价值的场景。遗留应用程序呢？大多数医院都有一个遗留应用程序的列表，这些应用程序包含未导入到当前主要EMR系统或其他替换应用程序中的旧PHI。这些应用程序的存在纯粹是为了参考目的，而且它们经常面临其他挑战，例如遗留操作系统和缺乏支持，这增加了风险。对于只存在于遗留系统中的PHI，我们只有两个选择：让那些过时的应用继续服务，或者将这些记录迁移到一个更现代化的平台上，复制接口和数据结构。一直走这条道路的医院已经非常成功地通过停用遗留应用程序，使用Harmony、Mediquant、CITI和遗留数据访问解决方案来降低风险。电子邮件呢？医院有很大的自由来定义他们的电子邮件政策。大多数人同意PHI不应该出现在电子邮件中，并通过政策和流程积极预防。如果电子邮件中没有PHI，每个医院都可以定义他们希望的任何电子邮件保留策略。大多数医院不限制电子邮件的保留时间，尽管许多医院确实限制了用户邮箱的最终大小。然而，有一种趋势，往往是由法律引导，以减少电子邮件的历史。它通常是分阶段逐步实施的：一年后，他们会在十年内切断电子邮件历史记录，然后再缩短到八到六年，以此类推。要实现这些变革，需要高层领导之间的大量协作和团结，但目标与法律、金融和It的利益一致。法律减少了可发现的信息；金融减少了成本和风险；并且减少了基础设施的复杂性和重量。我所遇到的最短的电子邮件历史是在底特律的医疗系统工作两年：一旦用户邮箱中的一个项目使用了两年，它就会被策略从系统中删除。他们也只保留备份30天。它们是我遇到过的最精简的医疗保健数据保护体系结构。结束语令人着迷的是，为同样的客户需求提供服务的医院在备份保留方面得出了如此不同的结论。这应该是一个信号，在PHI和email中都有真正的优化潜力。查看更多：如何遵循3-2-1备份规则VN:F[1.9.22_1171]评级：4.8/5（16票）医疗备份与记录保留，根据16个评级，5分中有4.8分