Wymagania HIPAA danych
Wszelkie informacje umieszczone w dokumentacji medycznej przez pracowników służby zdrowia , takich jak lekarze i pielęgniarki są chronione dane, jak również wszelkie dyskusje między lekarzy i innych pracowników służby zdrowia . Wszelkie informacje rozliczeniowe jest chroniony jako informacja jest w posiadaniu firmy ubezpieczeniowej . Informacja ta jest nazywana chronionych informacji zdrowotnych ( PHI ) . Informacje PHI także takie informacje, jak numer PESEL, adres, numer telefonu lub daty urodzenia . HIPAA chroni za " przeszłość, teraźniejszość i przyszłość fizycznego lub umysłowego stanu zdrowia . "
Zbiory wytycznych w zakresie ochrony danych
zakład, który posiada swoje rekordy np. gabinecie lekarskim lub szpital dalej " objęte jednostki ". Zgodnie z przepisami HIPAA ,pokryte podmiot musi ustalić sposoby , aby chronić swoje osobiste informacje na temat zdrowia . Muszą one ograniczyć ujawniania informacji medycznych , co uznaje się za zasadne . Podmiotów, musi upewnić się, że ludzie, którzy umowy z organizacji ochrony informacji przez tych samych standardów . Procedury ochrony danych i szkolenia na temat procedur musi być opracowany i stosowany w celu ochrony danych przed dostępem osób nieupoważnionych .
Wraz z nieujawniania PHI , rekordy fizyczne muszą być umieszczone w obszarze o ograniczony dostęp . Środki bezpieczeństwa , aby zapobiec nieautoryzowanemu ludzi musi być na miejscu . Przepis ten jest nazywany " Instrument dostępu i sterowania. "
Wymagania danych elektronicznych
HIPAA posiada osobne przepisy dotyczące elektronicznej dokumentacji medycznej , które są przechowywane lub przekazane. To wywołać , " przepis " dla bezpieczeństwa , zdrowia lub informacje osobiste e- PHI. Jakszpitalu lub klinice ma chronić e- PHI nie definiuje szczegółowo . Na ogółpokryte podmiot musi chronić integralność danych elektronicznych , jak również poufności i dostępności. Pokryte jednostka musi wystrzegać się " racjonalnie przewidywanych zagrożeń . "
Przykłady ochrony systemów tworzenia kopii zapasowych może być sprzęt , zapory i hasła bezpieczeństwa do dostępu do danych .
I ogólnej polityki na danych
centrum zdrowia lub firma ubezpieczeniowa musi stworzyć politykę i procedury w celu określenia , kto ma dostęp dane fizyczne i elektroniczne . Jeśli dojdzie do naruszenia , należy podjąć " uzasadnione kroki " w celu naprawienia sytuacji . Pokryte podmiot musi stworzyć politykę i procedury , które zamierzają korzystać i te zapisy muszą być przechowywane przez okres sześciu lat od ostatniej daty były one skuteczne. Imperium