Wraz z częstszym korzystaniem z technologii informacyjnej w opiece zdrowotnej, biuro medyczne musi nadal znajdować sposoby na utrzymanie bezpieczeństwa chronione informacje zdrowotne (PHI) pacjentów, którym służą.
Czym jest ochrona HIPAA?
Bezpieczeństwo związane z przenośnością i ubezpieczeniem zdrowotnym (HIPAA) odnosi się do ustanowienia zabezpieczeń dla PHI w dowolnym formacie elektronicznym.
Obejmuje to wszelkie informacje wykorzystywane, przechowywane lub przesyłane elektronicznie. Każdy obiekt zdefiniowany przez HIPAA jako podmiot objęty ochroną jest odpowiedzialny za zapewnienie prywatności i bezpieczeństwa informacji o nim, jak również zachowanie poufności chronionych informacji zdrowotnych.
Podmioty objęte ochroną są prawnie zobowiązane do opracowywania zasad i procedur zgodnych z zasadą bezpieczeństwa oraz do przechowywania pisemnych zapisów tych zasad i procedur oraz zapisów dotyczących dostępu, działań, działań i ocen wymaganych przez zasadę bezpieczeństwa.
Zasady utrzymania bezpieczeństwa HIPAA
Zasady utrzymania bezpieczeństwa HIPAA obejmują zabezpieczenia dla trzech kluczowych obszarów.
Zabezpieczenia administracyjne
- Opracowanie formalnego procesu zarządzania bezpieczeństwem, w tym opracowanie polityk i procedur, audyt wewnętrzny, plan awaryjny i inne zabezpieczenia w celu zapewnienia zgodności przez personel medyczny gabinetu.
- Przeznacz odpowiedzialność za bezpieczeństwo wyznaczonej osobie w celu zarządzania i nadzorowania stosowania środków bezpieczeństwa i postępowania personelu.
- Zaimplementuj funkcje zapewniające odpowiednie przeszkolenie personelu i odpowiednią autoryzację dostępu do chronionych informacji zdrowotnych.
- Określ poziomy dostępu dla wszystkich pracowników i określ, w jaki sposób jest przyznawany
- Wymagaj, aby wszyscy pracownicy gabinetu medycznego, w tym kierownictwo, przechodzili szkolenie z zakresu bezpieczeństwa i mieli okresowe przypomnienia oraz edukację użytkowników, aby byli na bieżąco z przepisami i wytycznymi.
Zabezpieczenia fizyczne
- Informacje zdrowotne chronione plikami w bezpiecznym miejscu i obszarach roboczych dla pracowników (w tym korzystanie z zamków, kluczy i plakietek, które otwierają drzwi), które ograniczają dostęp do nieuprawnionych osób i intruzów.
- Opracuj zasady weryfikacji uprawnień dostępu, kontroli sprzętu i obsługi odwiedzających. Opracować i dostarczyć dokumentację, w tym instrukcje dotyczące tego, jak urząd medyczny może pomóc w ochronie chronionych informacji zdrowotnych (na przykład wylogowanie z komputera przed pozostawieniem go bez nadzoru)
- Zapewnienie ochrony przed pożarem i innymi zagrożeniami
- Opracowanie zasad i procedur dotyczących transferu, usuwania, usuwanie i ponowne wykorzystywanie elektronicznych chronionych informacji zdrowotnych.
Zabezpieczenia techniczne
- Ustanowić unikalną identyfikację użytkownika, w tym hasła i numery pinów
- Przyjąć automatyczną kontrolę wylogowania
- Zarejestrować i zbadać aktywność systemu do celów audytu
- Wykorzystać kontrolę szyfrowania w celu ochrony przesyłanych danych przez sieć
- Zezwalać tylko autoryzowanym użytkownikom na dostęp do chronionych informacji zdrowotnych
- Ochrona przed nieuprawnionym dostępem do chronionych informacji zdrowotnych
Więcej informacji na temat zasad bezpieczeństwa HIPAA od HHS.gov
Podczas gdy zasada bezpieczeństwa HIPAA zawiera wiele wytycznych dotyczących administracyjnych, fizycznych i technicznych zabezpieczeń, które powinny być stosowane, nie zajmuje się każdym Szczegół.
HHS.gov dostarcza dokumenty edukacyjne zaprojektowane w celu uzyskania wglądu w normy bezpieczeństwa. Dodatkowe informacje obejmują Zabezpieczenie 101 dla podmiotów objętych usługą, wymagania dotyczące zasad, procedur i dokumentacji, analizę ryzyka i zarządzanie ryzykiem oraz standardy zabezpieczeń dla małych dostawców.