Comment les renseignements médicaux sont-ils protégés et confidentiels?
Les mesures de protection physiques, techniques et administratives protègent la confidentialité, la sécurité et l’intégrité des informations enregistrées sur les patients. En même temps, ces garanties permettent un accès approprié aux fournisseurs de soins de santé pour les soins aux patients. Les garanties physiques comprennent:
- Utilisation du stockage ou des périphériques cryptés
- Restriction de l’accès physique au personnel autorisé uniquement
- Conservation des copies et exécution de sauvegardes de données
- Maintien des protocoles d’urgence
- Élimination correcte des périphériques obsolètes.
Les garanties techniques comprennent des pare-feu et des modes de transmission sécurisés pour la communication tels que les réseaux privés virtuels (VPN) ou les techniques de cryptage et de cryptage secure sockets layer (SSL).
Les mesures de protection administratives comprennent:
- Exiger la documentation des politiques de sécurité ministérielles
- Former le personnel sur les politiques de sécurité
- Effectuer des pistes de vérification de tous les journaux du système par identification et activité de l’utilisateur
- Appliquer des politiques de stockage et de conservation des données électroniques et de sauvegarde de tous les systèmes
- Fournir des méthodes spécifiques pour signaler les incidents et résoudre les problèmes de sécurité
- Documenter la responsabilité, les sanctions et les mesures disciplinaires pour toute violation des politiques et procédures.
- Approbation de la commission d’examen institutionnel (CISR) pour toute étude impliquant des PHI ou des sujets humains
Les dossiers médicaux électroniques (DME) doivent intégrer les éléments suivants dans leurs politiques et procédures de sécurité du système:
- autorisation
- authentification
- disponibilité
- confidentialité
- intégrité des données
- non-répudiation. Les méthodes d’autorisation ou de contrôle d’accès
comprennent des bases de données ou des listes d’authentification unique attribuant aux utilisateurs des droits et des privilèges pour accéder à certaines ressources. Ils comprennent également la fermeture automatique du compte après une période d’inactivité spécifiée pour empêcher l’accès des utilisateurs non valides, les changements fréquents de mot de passe et les contrôles d’accès physiques (par exemple, les cartes d’identité à puce).
L’authentification vérifie l’identité d’un utilisateur auprès d’un système informatique à l’aide de mots de passe de connexion, de certificats numériques, de cartes à puce et de données biométriques. L’authentification vérifie uniquement l’identité d’un individu. Il ne définit pas leurs droits d’accès (autorisation).
Le DME doit être disponible en permanence et les administrateurs système doivent se défendre contre diverses menaces. Ils doivent fournir une tolérance aux pannes pour leurs systèmes (matériel dupliqué, archives de données, alimentation et systèmes de réseau). Ils doivent également assurer la sécurité physique des serveurs et intégrer la détection préventive des virus et des intrusions.
Pour maintenir la confidentialité, les administrateurs doivent empêcher les tiers non autorisés d’accéder aux données médicales et de les consulter. Les réseaux commutés et le cryptage des données peuvent aider à empêcher l’accès physique.
Il est essentiel de maintenir l’intégrité des données lors du transfert d’informations. Cela se fait en vérifiant que les informations sont arrivées telles qu’elles ont été envoyées et n’ont pas été modifiées d’aucune façon. Les méthodes de maintien de l’intégrité des données incluent la détection d’intrusion, telle que tripwire et le résumé des messages, ou le hachage pour détecter toute altération des données.
La non-répudiation fournit un enregistrement de la transaction. Cela garantit qu’un message transféré a été envoyé et reçu par les parties qui prétendent l’avoir envoyé et reçu. Les méthodes de non-répudiation comprennent les signatures numériques et les journaux d’audit du système de toutes les activités des utilisateurs.
Si vous avez encore des questions sur la façon dont vos informations médicales sont sécurisées et protégées, veuillez en informer votre médecin et tout établissement où vous recevez des tests médicaux ou des procédures.