Requisitos HIPAA para Registros del sistema

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) fue presentado por el gobierno en 1996. Este conjunto de normas cubre muchas áreas diferentes del seguro de salud, incluyendo la cobertura de los trabajadores que han perdido o cambiado de trabajo, definición de estándares para los registros de atención de la salud de las personas y privacidad de los datos del paciente. requisitos tecnológicos se detallan para el almacenamiento, transmisión, creación y destrucción de los datos del paciente. Entidades cubiertas por estas regulaciones incluyen profesionales de la salud, instituciones y compañías de seguros de salud.

Acceso físico

El acceso físico al servidor que contiene los registros del sistema con la información de salud del paciente debe estar limitada al número mínimo de personas que requieren acceso para llevar a cabo su función de trabajo. El acceso físico debe restringirse mediante dispositivos adecuados, tales como puertas bloqueadas o los bastidores de servidor. Los métodos aceptables para el control de acceso incluyen teclas físicas, escaneo de huellas digitales, escaneo de retina y distintivos físicos. Registros que contienen información de acceso sobre quién, cuándo y por qué los servidores se accede físicamente se les anima para su uso en las auditorías que pasa HIPAA. Los visitantes han tenido acceso a una zona con información de HIPAA deben asignar una escolta para la duración de la visita.

Almacenamiento de la información necesaria

Los archivos de registro se debe mantener únicamente los datos necesarios que se requieren para el personal técnico para llevar a cabo su función de trabajo. Si la información de salud personal se almacena, enmascaramiento de datos (ocultación de una parte de los datos para inutilizarla) se debe utilizar, si es posible, para evitar la pérdida de datos personales. La pérdida de archivos de registro que contienen información personal de salud debe ser comunicado al Departamento de Salud y Servicios Humanos. La destrucción de los archivos de registro debe cumplir con los requisitos de borrado seguro contenidas dentro de las regulaciones de HIPAA. controles de acceso suficientes deben estar en su lugar para garantizar la información personal de salud no se vea alterado sin querer.

Los datos en tránsito

La transmisión de datos, tales como los registros del servidor fuera de la red interna de la entidad propietaria del servidor, requiere que los datos se cifran. normas de codificación convencionales, tales como Secure Socket Layer (SSL), cumplen con los requisitos de la regulación. La transferencia de un registro del servidor de un dispositivo interno a otro no requiere que los datos se cifran en tránsito.

salvaguardias

Se requieren sesiones anuales de formación para las personas con acceso, ya sea físicamente o por medio de la computadora, a los registros del servidor. Estas sesiones de entrenamiento deben incluir información detallada sobre lo que es información personal de salud y cómo manejar adecuadamente este tipo de datos. Las políticas y procedimientos deben ser creados para documentar el manejo adecuado de los archivos que contienen la información protegida por HIPAA. Salvaguardias, como las firmas digitales o sumas de verificación, se deben utilizar para validar los archivos con la información de HIPAA para conservar su integridad original.