In che modo le informazioni mediche vengono mantenute sicure e private?
Le garanzie fisiche, tecniche e amministrative proteggono la privacy, la sicurezza e l’integrità delle informazioni registrate sui pazienti. Allo stesso tempo, queste garanzie consentono un accesso adeguato ai fornitori di servizi sanitari per la cura del paziente. Le misure di sicurezza fisiche includono:
- Uso di storage o dispositivi crittografati
- Limitazione dell’accesso fisico solo al personale autorizzato
- Conservazione delle copie e esecuzione di backup dei dati
- Mantenimento dei protocolli di emergenza
- Smaltimento corretto dei dispositivi obsoleti.
Le misure di sicurezza tecniche includono firewall e modalità di trasmissione sicure per la comunicazione, come reti private virtuali (VPN) o secure Sockets layer (SSL) e tecniche di crittografia.
Le garanzie amministrative comprendono:
- la richiesta di documentazione dipartimentale politiche di sicurezza
- Formazione del personale circa le politiche di sicurezza
- Conduzione di audit trail di tutti i registri di sistema da parte dell’utente di identificazione e di attività
- l’Applicazione di criteri per l’archiviazione e la conservazione elettronica dei dati e il backup di tutti i sistemi
- Fornire metodi specifici per segnalare incidenti e risolvere i problemi di sicurezza
- Documentare la responsabilità, sanzioni, e le azioni disciplinari per qualsiasi violazione di norme e procedure.
- Institutional review board (IRB) l’approvazione per qualsiasi studio che ha coinvolto PHI o soggetti umani
Electronic medical record (Emr) deve contenere le seguenti componenti all’interno del loro sistema di procedure e politiche di sicurezza:
- autorizzazione
- autenticazione
- disponibilità
- riservatezza
- l’integrità dei dati
- il non ripudio.
I metodi di autorizzazione o controllo degli accessi includono database o elenchi single sign-on che assegnano diritti e privilegi agli utenti per accedere a determinate risorse. Includono anche la disconnessione automatica dell’account dopo un determinato periodo di inattività per impedire l’accesso da parte di utenti non validi, frequenti modifiche della password e controlli di accesso fisici (ad esempio carte d’identità basate su chip).
L’autenticazione verifica l’identità di un utente in un sistema informatico utilizzando password di accesso, certificati digitali, smart card e dati biometrici. L’autenticazione verifica solo l’identità di un individuo. Non definisce i loro diritti di accesso (autorizzazione).
L’EMR deve essere continuamente disponibile e gli amministratori di sistema devono difendersi da varie minacce. Devono fornire tolleranza ai guasti per i loro sistemi (hardware duplicato, archivi di dati, alimentazione e sistemi di rete). Essi devono anche mantenere i server fisicamente sicuro e incorporare virus preventiva e rilevamento delle intrusioni.
Per mantenere la riservatezza, gli amministratori devono impedire a terzi non autorizzati di accedere e visualizzare i dati medici. Le reti commutate e la crittografia dei dati possono aiutare a prevenire l’accesso fisico.
È essenziale mantenere l’integrità dei dati durante il trasferimento delle informazioni. Questo viene fatto verificando che le informazioni sono arrivate come è stato inviato e non è stato modificato in alcun modo. I metodi per mantenere l’integrità dei dati includono il rilevamento delle intrusioni, come tripwire e message digest, o l’hashing per rilevare qualsiasi alterazione dei dati.
Nonrepudiation fornisce un record della transazione. Ciò garantisce che un messaggio trasferito sia stato inviato e ricevuto dalle parti che affermano di averlo inviato e ricevuto. I metodi di non ripudio includono firme digitali e registri di controllo di sistema di tutte le attività degli utenti.
Se hai ancora domande su come le tue informazioni mediche sono protette e protette, chiedi al tuo medico e a qualsiasi struttura in cui ricevi esami o procedure mediche.