August 9
La portabilità e Accountability Act sull'assicurazione malattie (HIPAA) è stato introdotto dal governo nel 1996. Questo insieme di norme copre molte aree diverse di assicurazione sanitaria, compresa la copertura per i lavoratori che hanno perso o cambiato lavoro, definizione di standard per i record sanitari elettronici e privacy dei dati del paziente. requisiti tecnologici sono dettagliate per l'archiviazione, la trasmissione, la creazione e la distruzione dei dati del paziente. Le entità coperte dal presente regolamento sono gli operatori sanitari, le istituzioni e le compagnie di assicurazione sanitaria.
L'accesso fisico al server che contiene i registri di sistema con le informazioni sulla salute del paziente deve essere vincolato al numero minimo di persone che richiedono l'accesso per svolgere la loro funzione di lavoro. L'accesso fisico deve essere limitato da appositi dispositivi quali porte chiuse o server rack. metodi accettabili per il controllo dell'accesso sono tasti fisici, scansione delle impronte digitali, scansione della retina e distintivi fisici. Registri contenenti informazioni di accesso su chi, quando e perché i server sono stati fisicamente accessibili sono incoraggiati per l'uso in superare le verifiche HIPAA. I visitatori dotati di accesso a una zona con informazioni HIPAA deve essere assegnato una scorta per tutta la durata della visita.
I file di log dovrebbe mantenere solo i dati necessari per il personale tecnico di svolgere la loro funzione di lavoro. Se informazioni sanitarie personali sono memorizzati, i dati mascheramento (nascondere di una porzione di dati da renderlo inutilizzabile) dovrebbe essere utilizzato, se possibile, per evitare la perdita dei dati personali. La perdita di file di log che contengono informazioni personali sulla salute devono essere segnalati al Dipartimento di Salute e Servizi Umani. La distruzione dei file di log deve essere conforme ai requisiti di cancellazione sicura contenute all'interno delle normative HIPAA. controlli di accesso sufficienti devono essere in atto per garantire informazioni sanitarie personali non è alterata involontariamente.
Trasmissione di dati, come ad esempio i log del server al di fuori della rete interna del soggetto che possiede il server, richiede i dati da cifrare. standard di crittografia comuni, come Secure Socket Layer (SSL), soddisfano i requisiti del regolamento. Trasferimento di un log del server da un dispositivo a un altro interno non richiede i dati da cifrare in transito.
sessioni di formazione annuali sono necessari per gli individui con accesso, fisicamente o per via telematica, per i log del server. Queste sessioni di formazione devono includere informazioni in dettaglio che cosa è informazioni sanitarie personali e come gestire correttamente questo tipo di dati. Le politiche e le procedure devono essere creati per documentare la corretta gestione dei file che contengono informazioni coperte da HIPAA. Misure di salvaguardia, come ad esempio le firme digitali o somme di controllo, devono essere utilizzati per convalidare i file con le informazioni HIPAA per mantenere la loro integrità originaria.