3.7/5 - (3 голоса)

Персональные медицинские данные пациента (protected health information PHI), предметом защиты HIPAA. К такой информации относится:

  • информация о здоровье пациента, как физическом, так и психологическом,
  • история его обращений в медицинские учреждения,
  • финансовая информация относительно медицинских услуг,
  • личные данные пациента — все контактные данные, фото и другие детали, с помощью которых можно каким-либо образом идентифицировать личность пациента.

Требования правил безопасности

Общие положения и требования правил безопасности распространяются на 5 основных областей.

  • Физические меры безопасности
  • Административные меры безопасности
  • Организационные мероприятия
  • Технические меры безопасности
  • Политики, процедуры и требования к документации

Задачей правил безопасности, заключается в обеспечении гарантии конфиденциальности информации, а также доступности и целостности информации о состоянии здоровья пациента (Protected Health Information, PHI). Благодаря этому формируется правильный подход управления рисками различных организаций.

Всем кто занимается хранением и обработкой информации о состоянии здоровья, должны определить шаги которые необходимо проделать для выполнения этих правил.

Организациям в здравоохранении требуются не малые ресурсы для реализации правил и работоспособности своих систем. Отдел безопасности должен сотрудничать с консультантами по HIPAA и юристом организации.

Административные меры безопасности

HIPAA определяет соблюдение следующих правил для любой организации

  1. Управление безопасностью. Сюда входит регулярный анализ рисков; соответствующие меры безопасности для управления рисками; политика санкций, направленная на принудительное соблюдений требований; регулярный просмотр записей в журналах, содержащих информацию о выполняемых действиях.
  2. Назначение лиц, ответственных за безопасность. Должен быть назначен человек, отвечающий за вопросы безопасности.
  3. Меры безопасности, связанные с человеческим фактором. Следующие компоненты рассматриваются применительно к конкретной организации: процедуры авторизации, установление уровня допуска, процедуры увольнения.
  4. Управление доступом к информации. Обязательным компонентом является изоляция работы информационных центров здравоохранения. А эти компоненты рассматриваются применительно к конкретной организации: процедуры авторизации доступа, установления факта доступа и процедуры модификации.
  5. Понимание необходимости мер безопасности и обучение. Эти компоненты рассматриваются применительно к конкретной организации: периодическое обновление положений безопасности; защита от вредоносного программного обеспечения; мониторинг входа в систему и управление паролями.
  6. Процедуры, связанные с возникновением инцидентов безопасности. Политики и процедуры, относящиеся к инцидентам безопасности, являются обязательными.
  7. План на случай возникновения непредвиденных обстоятельств. Эти компоненты являются обязательными: план создания резервных копий информации, план восстановления после стихийных бедствий и план действий в чрезвычайных обстоятельствах. Следующие компоненты рассматриваются применительно к конкретной организации: периодическая проверка и пересмотр планов, оценка относительной важности определенных приложений.
  8. Оценка. Необходимо проводить периодическую оценку защиты на местах в ответ на изменения в окружении.
  9. Контракты, связанные с ведением бизнеса, и другие мероприятия. Необходимо наличие контрактов, определяющих соответствующие меры безопасности, с любой организацией, совместно использующей PHI.

Физические меры безопасности

Правила безопасности HIPAA учитывают влияние общих физических мер безопасности, используемых в организации, на безопасность компьютеров и сетей. Поэтому сюда включены существенные требования для физической защиты.

  1. Управление доступом в помещение. Следующие компоненты рассматриваются применительно к конкретной организации: планы, разработанные на случай возникновения непредвиденных обстоятельств; план безопасности помещений; контроль доступа и подтверждения подлинности, процедуры для регистрации ремонтных работ и модификаций физических средств защиты.
  2. Используемые рабочие станции. Политика для определения физических параметров рабочих станций, с которых можно обращаться к PHI.
  3. Безопасность рабочих станций. Физические меры безопасности для всех рабочих станций, с которых можно обращаться к PHI.
  4. Контроль устройств и носителей информации. Эти компоненты являются обязательными: процедуры для размещения PHI и носителей, на которых она хранится, удаление PHI перед повторным использованием носителей. А эти компоненты рассматриваются применительно к конкретной организации: записи о перемещении аппаратных средств и носителей, создание резервных копий PHI перед этим перемещением.

Технические меры безопасности

Правила безопасности HIPAA содержат требования к техническим мерам безопасности. Определенные механизмы безопасности, которые организация выбирает для выполнения положений, могут отличаться в зависимости от оценки риска, произведенного организацией (и от прочих факторов). Ниже приведены эти требования.

  1. Управление доступом. Эти компоненты являются обязательными: назначение каждому пользователю уникального идентификатора, реализация процедур доступа в чрезвычайных обстоятельствах. Следующие компоненты рассматриваются применительно к конкретной организации: автоматический выход из системы и шифрование/дешифрование PHI.
  2. Управление аудитом. Включает реализацию механизмов для записи и исследования любой деятельности в системе, которая содержит PHI.
  3. Целостность. Разработка механизмов аутентификации электронной PHI.
  4. Аутентификация личности или объекта. Разработка механизмов подтверждения подлинности личности тех, кто пытается получить доступ к PHI.
  5. Безопасность при передаче данных. Способы выявление неправомочных модификаций PHI в процессе передачи и способы шифрования PHI.

Организационные меры безопасности

Правила безопасности HIPAA содержат организационные требования, выполнение  которых приводит к изменению контрактов с контрагентами и спонсорами. Взаимодействия с предприятиями, которым необходимо использовать PHI, обязаны применять меры по соблюдению безопасности. Органы здравоохранения, должны предписывать контрагентам соблюдения требований по защите PHI.

Политики, процедуры, и требования к документации

Политики, процедуры и документация должны поддерживаться на должном уровне в каждой организации. Срок хранения документации 6 лет, с даты создания. Сотрудникам, которые будут обеспечивать безопасность должны быть доступны все процедуры и документация для реализации. Политики и процедуры организации нуждаются в обновлении в ответ на изменения в окружении или эксплуатационных требованиях.

Наша компания предоставляет услуги по реализации правил и политик для соответствия требованиям HIPPA, обращайтесь [email protected]