Exigences HIPAA pour les journaux du système

Exigences HIPAA pour les journaux du système


La Loi sur la transférabilité et la responsabilité d'assurance maladie (HIPAA) a été introduit par le gouvernement en 1996. Cette série de règlements couvre de nombreux domaines de l'assurance-maladie, y compris la couverture pour les travailleurs qui ont perdu ou changé d'emploi, la définition de normes pour les dossiers de santé électroniques et confidentialité des données du patient. Les exigences technologiques sont détaillées pour le stockage, la transmission, la création et la destruction des données du patient. Les entités visées par ces règlements comprennent les professionnels de la santé, les institutions et les sociétés d'assurance-maladie.

Accès physique

L'accès physique au serveur contenant les journaux système avec des informations sur la santé du patient doit être limitée au nombre minimum de personnes qui ont besoin d'un accès pour remplir leur fonction de travail. L'accès physique doit être limité par des dispositifs appropriés tels que des portes verrouillées ou racks de serveurs. les méthodes de contrôle d'accès acceptables comprennent des touches physiques, la numérisation des empreintes digitales, la numérisation et la rétine badges physiques. Journaux contenant des informations d'accès à qui, quand et pourquoi les serveurs étaient accessibles physiquement sont encouragés à utiliser en passant audits HIPAA. Les visiteurs qui ont eu accès à une zone avec des informations HIPAA doivent être affectés d'une escorte pour la durée de la visite.

Stockage de l'information requise

Les fichiers journaux doivent conserver uniquement les données nécessaires pour le personnel technique pour effectuer leur fonction. Si des informations de santé personnelles sont stockées, les données de masquage (dissimulation d'une partie des données pour la rendre inutilisable) doit être utilisé, si possible, pour éviter la perte de données personnelles. La perte de fichiers journaux contenant des renseignements médicaux personnels doivent être signalés au ministère de la Santé et des Services sociaux. Destruction des fichiers journaux doit être conforme aux exigences de suppression sécurisée contenues dans les réglementations HIPAA. les contrôles d'accès suffisants doivent être en place pour garantir l'information de santé personnelle ne soit pas modifié par inadvertance.

Les données en transit

La transmission de données, tels que les journaux de serveur à l'extérieur du réseau interne de l'entité propriétaire du serveur, exige que les données soient chiffrées. normes de cryptage communes, telles que Secure Socket Layer (SSL), répondent aux exigences de la réglementation. Transfert d'un journal de serveur à partir d'un dispositif interne à l'autre ne nécessite pas que les données soient cryptées en transit.

garanties

sessions de formation annuelles sont nécessaires pour les personnes ayant un accès, soit physiquement, soit par l'intermédiaire de l'ordinateur, les journaux de serveur. Ces sessions de formation doivent inclure des informations détaillant ce qui est des renseignements personnels sur la santé et la façon de traiter correctement cette forme de données. Les politiques et procédures doivent être créées afin de documenter la manipulation correcte des fichiers contenant des informations couvertes par le HIPAA. Les garanties, telles que les signatures numériques ou des sommes de contrôle, doivent être utilisées pour valider les fichiers avec des informations HIPAA pour conserver leur intégrité originale.