Devo proteggere con password una "copia elettronica" di informazioni sanitarie fornite a un paziente su e-media?

Naviga le tue risposte
9

Sto faticando a trovare una buona documentazione sui requisiti relativi alla sicurezza e alla crittografia delle informazioni cliniche dei pazienti quando vengono consegnati a un paziente in formato elettronico. Portali pazienti, ecc. Implicitamente hanno autenticazione. Tuttavia, quali sono i requisiti, se del caso, in relazione alla crittografia e alla protezione tramite password di una copia soft di informazioni cliniche trasmesse al paziente su un CD, Thumb Drive, ecc.?

In generale, abbiamo scambio sicuro e controllo di crittografia / integrità. Quindi la mia domanda si concentra maggiormente sui mandati esistenti per l'applicazione delle password, ecc., Su una copia elettronica di queste informazioni.

In questo momento sto esplorando questo argomento nel contesto dell'implementazione di soluzioni conformi alle MU per fornire copie elettroniche delle informazioni cliniche dei pazienti su richiesta. Quindi questo include una cartella clinica completa / ccd, un riepilogo della visita, le istruzioni per lo scarico, ecc.

Grazie! (la mia prima domanda è stata pubblicata e ho recensito titoli simili e non ho trovato una corrispondenza per la mia richiesta)

    
posta 22.12.2011 - 19:30
fonte

2 risposte

5

Ho appena ricevuto un avviso da Google che mi informa che dal momento che il servizio Google Health verrà chiuso il 1 ° gennaio 2012, dovrei scaricare il mio dati e chiudo il mio account. Prima dell'avvio del download, mi ha chiesto di confermare questo messaggio:

You have chosen to download your profile as ZIP. The downloaded file will include all data in your profile, including PDF, CCR, CSV, notices as XML, and files. This may take a few minutes to prepare and download, so please be patient.

Your Google Health profile may contain sensitive information, including health records. If you download sensitive information to a shared or unsecured computer or device, others might see it. You are responsible for protecting the information that you download, and for deciding with whom to share it.

Are you sure you want to download a copy of your personal health profile to the computer or device you are using?

Ho scaricato e aperto il file. I file PDF non sono stati crittografati e contengono il mio nome e la data di nascita, che si qualificherebbe come PII (informazioni di identificazione personale) e PHI (informazioni sulla salute personale).

Ora non sono un avvocato (anche se ne ho giocato uno in TV ... una lunga storia), ma devo chiedere: se Google non protegge con password un PDF contenente PII e amp; PHI consegnato digitalmente al paziente, perché dovrebbe essere richiesto a chiunque altro di farlo?

    
risposta data 23.12.2011 - 04:12
fonte
2

Disclaimer standard: non sono un avvocato.

Il tuo esempio ha menzionato un CD o una pen drive. Considera questo: dal momento in cui metti i dati sul disco al momento in cui li consegni a un paziente, i dati sono la TUA responsabilità di proteggere. Quindi hai due opzioni:

Sicurezza fisica . Pensalo come un corriere della banca con una valigetta incatenata al polso. La persona che ha masterizzato il CD / ha creato la pen drive deve fisicamente fissarla sulla sua persona o in un caveau finché non viene consegnata al paziente. In alternativa, devono consegnarlo immediatamente dopo averlo bruciato.

Dovresti avere istruzioni di lavoro e simili per definire questo processo, addestrare le persone su di esso e assicurarti che rispettino le regole. Sembra una seccatura? Lo è.

Sicurezza elettronica . Proteggere con password la cosa. Ora non importa che il dottor Bob lo lasci mentre è in bagno o lo lascia su una scrivania.

Una volta che arriva alle mani del paziente, non è più coperto da HIPAA perché non è un'entità coperta. Possono fare quello che vogliono con esso. Ma per il loro bene sarebbe bello se fosse protetto.

Nota: Google Health aggira questo problema non bruciando una copia da sé ma semplicemente consegnandola immediatamente e in modo sicuro al computer della persona.

    
risposta data 28.12.2011 - 14:54
fonte

Leggi altre domande sui tag

Come immagazzino i parametri di Diffie-Hellman in un certificato X.509? Il download di un PDF da un'applicazione basata su browser è localmente un problema HIPAA?