Ochrona informacji medycznych w Biurze Medycznym
Wraz ze wzrostem wykorzystania technologii informacyjnej w opiece zdrowotnej, biuro medyczne musi nadal znajdować sposoby na utrzymanie bezpieczeństwa chronionych informacji zdrowotnych (PHI) pacjentów, którym służą.
Co to jest HIPAA Security?
Ustawa o bezpieczeństwie przenoszenia i odpowiedzialności za ubezpieczenie zdrowotne (HIPAA) odnosi się do ustanawiania zabezpieczeń dla PHI w dowolnym formacie elektronicznym.
Obejmuje to wszelkie informacje wykorzystywane, przechowywane lub przesyłane elektronicznie. Każdy obiekt zdefiniowany przez HIPAA jako podmiot objęty ochroną jest odpowiedzialny za zapewnienie prywatności i bezpieczeństwa informacji o nim, jak również zachowanie poufności chronionych informacji zdrowotnych.
Podmioty objęte ochroną są prawnie zobowiązane do opracowywania zasad i procedur zgodnych z zasadą bezpieczeństwa oraz do przechowywania pisemnych zapisów tych zasad i procedur oraz rejestrów dostępu, działań, działań i ocen wymaganych przez regułę bezpieczeństwa.
Zasady utrzymania bezpieczeństwa HIPAA
Zasady utrzymania bezpieczeństwa HIPAA obejmują zabezpieczenia dla trzech kluczowych obszarów.
Zabezpieczenia administracyjne
- Opracowanie formalnego procesu zarządzania bezpieczeństwem, w tym opracowanie polityk i procedur, audyt wewnętrzny, plan awaryjny i inne zabezpieczenia w celu zapewnienia zgodności ze strony personelu medycznego biura.
- Przypisanie odpowiedzialności za bezpieczeństwo wyznaczonej osobie w celu zarządzania i nadzorowania stosowania środków bezpieczeństwa i postępowania personelu.
- Zaimplementuj funkcje zapewniające odpowiednie przeszkolenie personelu i odpowiednią autoryzację dostępu do chronionych informacji zdrowotnych.
- Określ poziomy dostępu dla wszystkich pracowników i określ, w jaki sposób jest przyznawany
- Wymagaj, aby wszyscy pracownicy gabinetu medycznego, w tym kierownictwo, przechodzili szkolenie z zakresu bezpieczeństwa i mieli okresowe przypomnienia oraz edukację użytkowników, aby byli na bieżąco z przepisami i wytycznymi.
- Pliki chronione informacjami zdrowotnymi w bezpiecznym miejscu i obszarach roboczych dla pracowników (w tym korzystanie z zamków, kluczy i plakietek, które otwierają drzwi), które ograniczają dostęp do nieuprawnionych osób i intruzów.
- Opracuj zasady weryfikacji uprawnień dostępu, kontroli sprzętu i obsługi odwiedzających. Opracuj i dostarcz dokumentację, w tym instrukcje dotyczące tego, w jaki sposób Twoje biuro medyczne może pomóc w ochronie chronionych informacji zdrowotnych (na przykład wylogowanie z komputera przed pozostawieniem go bez nadzoru)
- Zapewnić ochronę przed ogniem i innymi zagrożeniami
- Opracuj zasady i procedury dotyczące przesyłania, usuwania, usuwania i ponownego wykorzystania elektronicznych chronionych informacji zdrowotnych.
- Ustanowić unikalną identyfikację użytkownika, w tym hasła i numery pinów
- Zastosuj automatyczną kontrolę wylogowania
- Zarejestruj i sprawdź aktywność systemu do celów audytu
- Wykorzystaj kontrolę szyfrowania, aby chronić przesyłane dane przez sieć
- Zezwalaj tylko autoryzowanym użytkownikom na dostęp do chronionych informacji o stanie zdrowia
- Zabezpiecz przed nieuprawnionym dostępem do chronionych informacji zdrowotnych
Więcej informacji na temat zasady bezpieczeństwa HIPAA od HHS.gov
Chociaż zasada bezpieczeństwa HIPAA zawiera wiele wytycznych dotyczących administracyjnych, fizycznych i technicznych zabezpieczeń, które powinny obowiązywać, nie uwzględnia wszystkich szczegółów.
HHS.gov dostarcza dokumenty edukacyjne zaprojektowane w celu uzyskania wglądu w standardy bezpieczeństwa. Dodatkowe informacje obejmują Zabezpieczenie 101 dla podmiotów objętych usługą, wymagania dotyczące zasad, procedur i dokumentacji, analizę ryzyka i zarządzanie ryzykiem oraz standardy zabezpieczeń dla małych dostawców.