¿Cómo se mantiene la información médica segura y privada?
Las salvaguardas físicas, técnicas y administrativas protegen la privacidad, la seguridad y la integridad de la información registrada de los pacientes. Al mismo tiempo, estas salvaguardias permiten el acceso adecuado a los proveedores de atención de la salud para la atención de los pacientes. Las salvaguardias físicas incluyen:
- Uso de dispositivos o almacenamiento encriptados
- Restringir el acceso físico solo al personal autorizado
- Conservar copias y realizar copias de seguridad de datos
- Mantener protocolos de contingencia de emergencia
- Desechar correctamente los dispositivos obsoletos.
Las protecciones técnicas incluyen firewalls y modos de transmisión seguros para la comunicación, como redes privadas virtuales (VPN) o capa de sockets seguros (SSL) y técnicas de cifrado.
Las salvaguardias administrativas incluyen:
- Requerir documentación de las políticas de seguridad del departamento
- Capacitar al personal sobre las políticas de seguridad
- Realizar pistas de auditoría de todos los registros del sistema mediante la identificación y la actividad del usuario
- Aplicar políticas para el almacenamiento y la retención de datos electrónicos y copias de seguridad de todos los sistemas
- Proporcionar métodos específicos para informar de incidentes y resolver problemas de seguridad
- Documentar responsabilidad, sanciones y acciones disciplinarias por cualquier violación de políticas y procedimientos.
- Aprobación de la junta de revisión institucional (IRB) para cualquier estudio que involucre PHI o sujetos humanos
Los registros médicos electrónicos (EMR) deben incorporar los siguientes componentes dentro de las políticas y procedimientos de seguridad de sus sistemas:
- autorización
- autenticación
- disponibilidad
- confidencialidad
- integridad de los datos
- no repetición.
Los métodos de autorización o control de acceso incluyen bases de datos o listas de inicio de sesión único que asignan derechos y privilegios a los usuarios para acceder a ciertos recursos. También incluyen cierre de sesión automático de la cuenta después de un período específico de inactividad para evitar el acceso de usuarios no válidos, cambios frecuentes de contraseña y controles de acceso físico (es decir, tarjetas de identificación basadas en chip).
La autenticación verifica la identidad de un usuario en un sistema informático mediante contraseñas de inicio de sesión, certificados digitales, tarjetas inteligentes y datos biométricos. La autenticación solo verifica la identidad de un individuo. No define sus derechos de acceso (autorización).
El EMR debe estar disponible continuamente y los administradores del sistema deben defenderse de varias amenazas. Deben proporcionar tolerancia a fallos para sus sistemas (hardware duplicado, archivos de datos, energía y sistemas de red). También deben mantener los servidores físicamente seguros e incorporar detección preventiva de virus e intrusiones.
Para mantener la confidencialidad, los administradores deben bloquear el acceso y la visualización de datos médicos por parte de terceros no autorizados. Las redes conmutadas y el cifrado de datos pueden ayudar a evitar el acceso físico.
Es esencial mantener la integridad de los datos al transferir información. Esto se hace verificando que la información llegó tal como se envió y no se modificó de ninguna manera. Los métodos para mantener la integridad de los datos incluyen la detección de intrusiones, como el cable de disparo y el resumen de mensajes, o el hash para detectar cualquier alteración de los datos.
La no repetición proporciona un registro de la transacción. Esto garantiza que un mensaje transferido ha sido enviado y recibido por las partes que afirman haberlo enviado y recibido. Los métodos de no repetición incluyen firmas digitales y registros de auditoría del sistema de toda la actividad del usuario.
Si aún tiene preguntas sobre cómo se asegura y protege su información médica, consulte a su médico y a cualquier centro donde reciba pruebas o procedimientos médicos.