w jaki sposób przechowywane są informacje medyczne bezpieczne i prywatne?
fizyczne, techniczne i administracyjne zabezpieczenia chronią prywatność, bezpieczeństwo i integralność zapisanych informacji o pacjencie. Jednocześnie zabezpieczenia te umożliwiają odpowiedni dostęp do podmiotów świadczących usługi zdrowotne w zakresie opieki nad pacjentami. Zabezpieczenia fizyczne obejmują:
- Korzystanie z zaszyfrowanej pamięci masowej lub urządzeń
- ograniczanie fizycznego dostępu tylko do upoważnionego personelu
- przechowywanie kopii i wykonywanie kopii zapasowych danych
- utrzymywanie protokołów awaryjnych
- prawidłowe usuwanie przestarzałych urządzeń.
zabezpieczenia techniczne obejmują zapory sieciowe i bezpieczne tryby transmisji do komunikacji, takie jak Wirtualne Sieci Prywatne (VPN) lub secure sockets layer (SSL) i techniki szyfrowania.
zabezpieczenia administracyjne obejmują:
- Wymaganie dokumentacji działowych zasad bezpieczeństwa
- szkolenie personelu w zakresie zasad bezpieczeństwa
- prowadzenie ścieżek audytu wszystkich dzienników systemowych według identyfikacji i aktywności użytkowników
- egzekwowanie zasad przechowywania i przechowywania danych elektronicznych oraz tworzenie kopii zapasowych wszystkich systemów
- dostarczanie konkretnych metod zgłaszania incydentów i rozwiązywania problemów związanych z bezpieczeństwem
- dokumentowanie odpowiedzialności, sankcji i działań dyscyplinarnych za każde naruszenie zasad i procedur.
- zatwierdzenie przez Institutional review board (IRB) każdego badania z udziałem PHI lub ludzi
elektroniczna dokumentacja medyczna (EMRs) musi zawierać następujące elementy w swoich politykach i procedurach bezpieczeństwa systemu:
- autoryzacja
- uwierzytelnianie
- dostępność
- poufność
- integralność danych
- brak informacji.
Metody autoryzacji lub kontroli dostępu obejmują bazy danych pojedynczego logowania lub listy przypisujące prawa i uprawnienia użytkowników do dostępu do określonych Zasobów. Obejmują one również automatyczne wylogowanie konta po określonym okresie nieaktywności, aby uniemożliwić dostęp nieprawidłowym użytkownikom, częste zmiany haseł i fizyczną kontrolę dostępu (np. karty identyfikacyjne oparte na chipach).
uwierzytelnianie weryfikuje tożsamość użytkownika w systemie komputerowym za pomocą haseł logowania, certyfikatów cyfrowych, kart inteligentnych i danych biometrycznych. Uwierzytelnianie weryfikuje tylko tożsamość osoby. Nie definiuje ich praw dostępu (autoryzacji).
EMR musi być stale dostępny, a administratorzy systemu muszą bronić się przed różnymi zagrożeniami. Muszą zapewnić odporność na awarie swoich systemów (zduplikowany sprzęt, archiwa danych, systemy zasilania i sieciowe). Muszą również zapewnić bezpieczeństwo fizyczne serwerów i zawierać zapobiegawcze wykrywanie wirusów i włamań.
aby zachować poufność, administratorzy muszą zablokować nieautoryzowanym osobom trzecim dostęp do danych medycznych i ich przeglądanie. Przełączane sieci i szyfrowanie danych mogą pomóc w zapobieganiu fizycznemu dostępowi.
podczas przesyłania informacji istotne jest zachowanie integralności danych. Odbywa się to poprzez sprawdzenie, czy informacje dotarły tak, jak zostały wysłane i nie zostały w żaden sposób zmodyfikowane. Metody utrzymania integralności danych obejmują wykrywanie włamań, takie jak tripwire i message digest, lub haszowanie w celu wykrycia jakiejkolwiek zmiany danych.
Nierepublikowanie zapewnia zapis transakcji. Zapewnia to, że przesłana wiadomość została wysłana i odebrana przez strony, które twierdzą, że ją wysłały i odebrały. Metody niepublikowania obejmują podpisy cyfrowe i dzienniki audytu systemu całej aktywności użytkownika.
jeśli nadal masz pytania dotyczące sposobu zabezpieczenia i ochrony Twoich informacji medycznych, skontaktuj się z lekarzem i placówką, w której otrzymasz testy lub procedury medyczne.