La Loi sur la responsabilité Health Insurance Portability et (HIPAA ) a été introduit par le gouvernement en 1996. Cet ensemble de règles couvre de nombreux domaines de l'assurance-maladie , y compris la couverture des travailleurs qui ont perdu ou changé d'emploi , la définition de normes pour les dossiers de santé électroniques et la confidentialité des données des patients. Les exigences technologiques sont détaillées pour le stockage , la transmission , la création et la destruction des données du patient. Les entités visées par ces règlements sont des professionnels de la santé , les institutions et les sociétés d'assurance-maladie . Accès accès physique au serveur physique contenant les logs du système de l'information de santé du patient doit être limitée au nombre minimum de personnes qui doivent avoir accès à accomplir leur fonction . L'accès physique doit être limité par des dispositifs appropriés tels que des portes verrouillées ou racks de serveurs. Méthodes acceptables pour le contrôle d'accès comprennent touches physiques , le balayage des empreintes digitales , scan de la rétine et des badges physiques. Les bûches qui contiennent des informations d'accès pour savoir qui , quand et pourquoi les serveurs sont physiquement accessibles sont invités pour une utilisation en passant audits HIPAA . Visiteurs fournis avec accès à une zone avec des informations HIPAA doivent être affectés d'une escorte pour la durée de la visite. Stockage des informations obligatoires fichiers journaux devrait maintenir seulement la données nécessaires pour le personnel technique pour effectuer leur fonction . Si les renseignements personnels sur la santé est stocké , le masquage des données ( cache d'une partie des données pour la rendre inutilisable ) doit être utilisé , si possible, pour éviter la perte de données personnelles. Perte de fichiers journaux contenant des renseignements personnels sur la santé doit être signalé à la Direction des services de santé et humains . Destruction des fichiers journaux doit être conforme aux exigences de suppression sécurisée contenues dans la réglementation HIPAA . Les contrôles d'accès suffisants doivent être mis en place pour garantir renseignements médicaux personnels n'est pas modifié par inadvertance. Données en transit transmission de données, tels que les journaux des serveurs externes du réseau interne de l' entité propriétaire du serveur, exige que les données soient cryptées . Normes de cryptage les plus courants , tels que Secure Socket Layer ( SSL) , répondent aux exigences de la réglementation . Transfert d'un journal du serveur à partir d'un dispositif interne à l'autre n'exige pas que les données soient cryptées en transit . Garanties sessions de formation annuelles sont nécessaires pour les personnes ayant accès , que ce soit physiquement ou via un ordinateur , les logs du serveur . Ces sessions de formation doivent comprendre une description détaillée de l'information ce qui est des renseignements personnels sur la santé et la façon de gérer correctement ce type de données. Politiques et procédures doivent être créées afin de documenter la manipulation de fichiers contenant des informations couvertes par HIPAA . Les garanties , telles que les signatures numériques ou des sommes de contrôle , doivent être utilisées pour valider les fichiers avec les informations HIPAA pour conserver leur intégrité d'origine .
|