Der Health Insurance Portability and Accountability Act (HIPAA ) wurde von der Regierung im Jahr 1996 eingeführt . Dieses Regelwerk deckt viele verschiedene Bereiche Krankenversicherung, einschließlich der Deckung für Arbeitnehmer, die verloren haben oder den Job gewechselt , Definition von Standards für elektronische Patientenakten und die Privatsphäre der Patienten -Daten. Technologische Anforderungen für die Speicherung, Übertragung , Schöpfung und Zerstörung von Patientendaten detailliert. Entities durch diese Regelungen abgedeckt sind Angehörige der Gesundheitsberufe , Institutionen und Krankenkassen. Physical Access
Physikalische Zugriff auf den Server , die die System-Logs mit Patienten Gesundheitsinformationen ist auf die minimale Anzahl der Menschen, die Zugang zu ihren Arbeitsplätzen Funktion auszuführen benötigen eingeschränkt werden. Der physische Zugang muss durch geeignete Vorrichtungen wie verschlossene Türen oder Server-Racks eingeschränkt werden. Akzeptierte zur Steuerung des Zugriffs umfassen physikalische Tasten , das Scannen von Fingerabdrücken , Netzhaut -Scanning und physische Abzeichen. Protokolle, die Zugang zu Informationen darüber, wer , wann und warum die Server wurden physisch zugegriffen werden für den Einsatz im Vorbeigehen HIPAA Prüfungen gefördert. Besucher mit Zugang zu einem Gebiet mit HIPAA Angaben muss eine Eskorte für die Dauer des Besuchs zugeordnet werden.
Lagerung der erforderlichen Informationen
Protokolldateien sollten halten nur die notwendigen Daten für technisches Personal benötigt, um ihren Job auszuüben. Wenn persönliche Gesundheit Informationen gespeichert werden, sollten die Daten Maskierung ( Ausblenden eines Teils der Daten unbrauchbar machen ) verwendet , wenn möglich, zu Verlust der persönlichen Daten zu verhindern. Verlust von Protokolldateien mit persönlichen Gesundheitsinformationen müssen an das Department of Health and Human Services gemeldet werden. Zerstörung von Log-Dateien müssen auf die sichere Löschen Anforderungen innerhalb der HIPAA-Vorschriften enthaltenen entsprechen. Ausreichender Zugang Kontrollen müssen vorhanden sein, um zu gewährleisten persönlichen Gesundheitsinformationen nicht verändert unabsichtlich.
Daten in Transit
Übertragung von Daten , wie z. B. Server-Logs außerhalb von dem internen Netz des Unternehmens im Besitz der Server erfordert, dass die Daten verschlüsselt werden. Gemeinsame Verschlüsselung Standards wie Secure Socket Layer ( SSL) , erfüllen die Anforderungen der Verordnung . Übertragen einer Server-Log von einem Gerät zu einem anderen internen erfordert nicht die Daten verschlüsselt werden auf der Durchreise.
Safeguards
Jährliche Schulungen sind für Personen mit Zugang erforderlich , entweder physisch oder über den Computer , um den Server-Logs . Diese Schulungen müssen Informationen Detaillierung , was persönliche Gesundheitsinformationen und wie man richtig mit dieser Form der Daten . Richtlinien und Verfahren erstellt werden, um den richtigen Umgang mit Dateien, die Informationen von HIPAA abgedeckt dokumentieren. Schutzmaßnahmen , wie digitale Signaturen oder Prüfsummen , muss verwendet werden, um Dateien mit HIPAA Informationen zu validieren , um ihre ursprünglichen Integrität zu behalten.
