Wie werden medizinische Informationen sicher und privat gehalten?
Physische, technische und administrative Sicherheitsvorkehrungen schützen die Privatsphäre, Sicherheit und Integrität aufgezeichneter Patienteninformationen. Gleichzeitig ermöglichen diese Sicherheitsvorkehrungen einen angemessenen Zugang zu Gesundheitsdienstleistern für die Patientenversorgung. Physische Schutzmaßnahmen umfassen:
- Verwendung verschlüsselter Speicher oder Geräte
- Beschränkung des physischen Zugriffs auf autorisiertes Personal
- Aufbewahrung von Kopien und Durchführung von Datensicherungen
- Aufrechterhaltung von Notfallprotokollen
- Ordnungsgemäße Entsorgung veralteter Geräte.
Technische Schutzmaßnahmen umfassen Firewalls und sichere Übertragungsmodi für die Kommunikation wie virtuelle private Netzwerke (VPN) oder Secure Sockets Layer (SSL) und Verschlüsselungstechniken.
Administrative Schutzmaßnahmen umfassen:
- Dokumentation der Abteilungssicherheitsrichtlinien erforderlich
- Schulung des Personals zu Sicherheitsrichtlinien
- Durchführung von Audit-Trails aller Systemprotokolle nach Benutzeridentifikation und -aktivität
- Durchsetzung von Richtlinien zur Speicherung und Aufbewahrung elektronischer Daten und Sicherung aller Systeme
- Bereitstellung spezifischer Methoden zur Meldung von Vorfällen und zur Lösung von Sicherheitsproblemen
- Dokumentation der Rechenschaftspflicht, Sanktionen und Disziplinarmaßnahmen für Verstöße gegen Richtlinien und Verfahren.
- Genehmigung des Institutional Review Board (IRB) für jede Studie mit PHI oder menschlichen Probanden
Elektronische Patientenakten (EMRs) müssen die folgenden Komponenten in ihre Systemsicherheitsrichtlinien und -verfahren aufnehmen:
- autorisierung
- Authentifizierung
- Verfügbarkeit
- Vertraulichkeit
- Datenintegrität
- Nichtverweigerung.
Autorisierungs- oder Zugriffskontrollmethoden umfassen Single-Sign-On-Datenbanken oder -Listen, die Benutzerrechte und -berechtigungen für den Zugriff auf bestimmte Ressourcen zuweisen. Dazu gehören auch die automatische Kontoabmeldung nach einer bestimmten Zeit der Inaktivität, um den Zugriff durch ungültige Benutzer zu verhindern, häufige Passwortänderungen und physische Zugangskontrollen (d. H. chipbasierte ID-Karten).
Die Authentifizierung überprüft die Identität eines Benutzers gegenüber einem Computersystem mithilfe von Anmeldekennwörtern, digitalen Zertifikaten, Smartcards und biometrischen Daten. Die Authentifizierung überprüft nur die Identität einer Person. Es definiert nicht ihre Zugriffsrechte (Autorisierung).
Der EMR muss ständig verfügbar sein, und Systemadministratoren müssen sich gegen verschiedene Bedrohungen verteidigen. Sie müssen Fehlertoleranz für ihre Systeme (duplizierte Hardware, Datenarchive, Stromversorgung und Netzwerksysteme) bereitstellen. Sie müssen auch Server physisch sicher halten und präventive Viren- und Einbruchserkennung integrieren.
Um die Vertraulichkeit zu wahren, müssen Administratoren den Zugriff und die Anzeige medizinischer Daten durch unbefugte Dritte verhindern. Switched Networks und Datenverschlüsselung können helfen, physischen Zugriff zu verhindern.
Es ist wichtig, die Datenintegrität bei der Übertragung von Informationen aufrechtzuerhalten. Dies geschieht, indem überprüft wird, ob die Informationen so angekommen sind, wie sie gesendet wurden, und in keiner Weise geändert wurden. Methoden zur Aufrechterhaltung der Datenintegrität umfassen Intrusion Detection wie Tripwire und Message Digest oder Hashing, um Änderungen der Daten zu erkennen.
Nonrepudiation liefert eine Aufzeichnung der Transaktion. Dies stellt sicher, dass eine übertragene Nachricht von den Parteien gesendet und empfangen wurde, die behaupten, sie gesendet und empfangen zu haben. Nonrepudiation Methoden umfassen digitale Signaturen und System-Audit-Protokolle aller Benutzeraktivitäten.
Wenn Sie noch Fragen dazu haben, wie Ihre medizinischen Daten gesichert und geschützt werden, wenden Sie sich bitte an Ihren Arzt und jede Einrichtung, in der Sie medizinische Tests oder Verfahren erhalten.