La portabilidad de seguro de salud y Accountability Act (HIPAA ) fue presentado por el gobierno en 1996. Este conjunto de normas cubre muchas áreas diferentes de seguro de salud , incluyendo la cobertura de los trabajadores que han perdido o cambiado de trabajo , la definición de normas para los registros de salud electrónicos y la privacidad de los datos del paciente. Requisitos tecnológicos se detallan para el almacenamiento , transmisión, creación y destrucción de los datos del paciente . Las entidades cubiertas por estas regulaciones incluyen profesionales de la salud , instituciones y compañías de seguros de salud. Acceso
acceso físico físico al servidor que contiene los registros del sistema con la información de salud del paciente debe limitarse a un número mínimo de personas que requieren acceso para realizar su función de trabajo . El acceso físico debe ser restringido por medio de dispositivos apropiados, tales como puertas cerradas o racks de servidores. Los métodos aceptables de control de acceso son las teclas físicas , escaneo de huellas digitales , escaneo de retina y distintivos físicos. Registros que contiene información de acceso sobre quién , cuándo y por qué los servidores se accede físicamente se les anima para su uso al pasar auditorías HIPAA . Los visitantes han tenido acceso a una zona con información de HIPAA deben asignar una escolta para la duración de la visita.
Almacenamiento de Información
archivos de registro
requeridos debe mantener sólo el datos necesarios para el personal técnico para llevar a cabo su función de trabajo . Si se almacena información personal de salud , enmascaramiento de datos ( ocultamiento de una parte de los datos para inutilizarla ) se debe utilizar , si es posible , para evitar la pérdida de los datos personales . La pérdida de archivos de registro que contienen información personal de salud debe ser reportado al Departamento de Salud y Servicios Humanos . La destrucción de los archivos de registro debe cumplir con los requisitos de borrado seguro contenidos en las regulaciones de HIPAA . Controles de acceso suficientes deben estar en su lugar para garantizar la información personal de salud no se altera involuntariamente .
Datos en tránsito
transmisión de datos, como registros de los servidores externos de la red interna de la entidad que posee el servidor , requiere que los datos a cifrar . Estándares de cifrado comunes , tales como Secure Socket Layer ( SSL) , cumplen con los requisitos del reglamento . La transferencia de un registro de servidor de un dispositivo interno a otro no requiere que los datos sean encriptados en tránsito.
Salvaguardias
sesiones de entrenamiento anuales son necesarias para las personas con acceso , ya sea físicamente oa través de ordenador, de los registros del servidor. Estas sesiones de formación deben incluir detalles de información lo que es información de salud personal y la manera de manejar adecuadamente este tipo de datos. Las políticas y procedimientos deben ser creadas para documentar el manejo adecuado de los archivos que contienen información protegida por HIPAA . Salvaguardias , tales como firmas digitales o sumas de comprobación , se deben utilizar para validar los archivos con la información de HIPAA para conservar su integridad original .