Come verificare nuovi account su un database di persone conosciute?

In base al feedback che hai fornito tramite i commenti, quelli che sono stati finora:

@blunders we might have way more phone #s than email, and I'm having a report generated.

e

@blunders No, I believe a good deal of patients would have a phone number in the chart. Home number more likely than cell/text number.

Quindi, fammi vedere se riesco a scavare dal buco che ho fatto ...: -)

Prima lasciatemi dire, conosco ZERO su HIPAA, anche se ho fatto un veloce Google per "autenticazione HIPAA" e sebbene sembrino esserci standard generali, non sembrano esserci specifiche di implementazione; o almeno che sono riuscito a trovare.

La mia opinione è che un paziente stia fornendo un indirizzo e un numero di telefono sapendo che questi canali di comunicazione potrebbero essere usati per trasmettere loro informazioni mediche.

Nella vita reale, se un infermiere chiama un numero sul grafico e la persona che risponde risponde che è quella persona, l'infermiere dirà alla persona che risponde al telefono le informazioni che intendeva fornire solo alla persona autorizzata per HIPPA. Sulla stessa nota, se l'infermiere scopre un problema con il numero di telefono nella tabella e non è in grado di raggiungere la persona per telefono, invierà un avviso all'indirizzo registrato su file; aprendo la possibilità che una persona non autorizzata possa violare le leggi postali e aprire le informazioni inviate per posta all'indirizzo indicato nel file.

Quindi, continuando a farlo, ma ancora una volta non sapendo nulla delle leggi HIPPA, della giurisprudenza, ecc. relative ai requisiti di autenticazione, il mio suggerimento sarebbe di usare il numero registrato come / un livello di autenticazione fatto in tempo reale conoscendo un fine l'utente ha appena richiesto di fornire un codice a quel numero registrato nel database, tramite SMS o un sistema vocale automatizzato.

Un flusso approssimativo dalla testa per un sistema di autenticazione da telefono a web sarebbe:

• L'utente finale tenta di creare un account.
• Inseriscono i numeri di telefono che credono siano già associati ai loro record.
• Il sistema verifica se tali numeri si trovano nel database.
• Se i numeri non sono nel sistema, all'utente vengono dette le altre opzioni; posta, di persona, ecc.
• Se i numeri sono nel sistema, all'utente viene chiesto se desiderano una chiamata o un messaggio di testo inviato al numero già presente nel sistema.
• Il sistema esclude la richiesta e l'utente riceve il codice tramite una chiamata / SMS in entrata al telefono richiesto.
• Quindi l'utente finale inserisce il codice in un modulo sul sito del sito che prevede il codice da quella sessione IP / cookie e viene convalidato in modo da avere accesso al numero su file.

Alcuni siti utilizzano la verifica telefonica e hanno domande frequenti su di esso. Ad esempio: Google e Craigslist ; anche se dopo una rapida ricerca non è stato possibile trovare un'azienda che avrebbe una supervisione HIPAA che utilizza la verifica telefonica per rilasciare i record.

Inoltre, supponendo di avviarlo sarebbe più rapido affidarlo a una verifica del servizio telefonico con un'API, che di nuovo non sapendo nulla di HIPAA, penso che andasse bene finché tutto quello che stanno facendo è ottenere un numero, passare il codice a te e fare la chiamata.

Ancora una volta, sono solo io che cerco di trovare una soluzione invece di dire che non ce n'è. Sarei lieto di ricevere qualsiasi feedback.

AGGIORNAMENTI BASATI SUI COMMENTI:

@blunders [...] As for phones, medical offices will generally not use phones for anything more specific than "please call us back" without requesting and receiving explicit approval to leave personal information in a voice mailbox. At least that's the case with the 2 or 3 of my family's doctors where the question has come up. And when you're at the point of clarifying phone permissions, you're at the point (physical, live voice) of giving them the login info that user3916 wants to pass anyway. – gowenfawr

La mia risposta:

@gowenfawr: [...] As for the "call us back"... when you call back, how do they even know it's you. My guess is they just do that as a professional form, than a level of authentication. – blunders

Questo è quello che ti sento dire: hai una struttura medica con registri computerizzati per l'intera serie di pazienti. Si desidera consentire agli utenti Web di provare e impostare account con una mappatura uno a uno tra il paziente effettivo e i propri record. Il tuo obiettivo è quello di consentire che ciò avvenga online senza ricorrere a metodi fuori banda come le informazioni sull'account di posta ordinaria o che richiedono una visita in ufficio.

Ci sono due domande qui:

1. Riesci a unire uno a uno un utente rispetto al record del paziente in base a ciò che sa?
2. Ti puoi fidare della verifica basata esclusivamente su ciò che sanno?

La risposta ad entrambi tende ad essere "non proprio". Poiché i pazienti possono utilizzare nomi o varianti diversi (ho tracce cartacee sia come "Greg" che "Gregory"), potrebbero esserci discrepanze nei nomi. L'aggiunta di elementi come la data di nascita aiuta, ma non è ancora a prova di collisione. E probabilmente hai più pazienti con lo stesso nome - Ho lavorato con così tante Jennifer Chens nel corso degli anni che non è divertente.

... motivo per cui il set di record dei pazienti ha tutti una qualche forma di ID univoco del paziente, si spera che sia univoco per la struttura o il gruppo di medici ad ombrello. Se l'utente lo sa, può semplicemente inserirlo. Ma in molti casi non lo sapranno o lo avranno a portata di mano. Nella migliore delle ipotesi, può essere visualizzato su documenti che ricevono per posta ... ma ciò risale a ciò che volevi evitare.

Infine, nulla di cui un utente sa può essere considerato privato. Non sono legalmente autorizzato ad accedere ai dati medici di mia moglie, ma so tutto ciò che potresti chiedere per identificarla. E in questo giorno ed età non è impossibile scoprire quel livello di dettaglio sugli estranei.

Penso che scoprirai che lo standard in quest'area è di spedire la posta con una password iniziale. Mi sono registrato per alcuni siti correlati (assicurativi) medici dove era così che funzionava. La posta ordinaria all'indirizzo del record viene considerata come una seconda forma di autenticazione attendibile, sebbene, naturalmente, non lo sia davvero. Come hai sottolineato, è abbastanza facile per un membro della famiglia o addirittura estraneo intercettare quella posta.

Dato che stai parlando di cartelle cliniche, devi stare attento ad evitare le forme più colpevoli di accesso improprio ("Conosco il compleanno di John, così posso entrare nella sua cartella clinica"). Ciò potrebbe significare il ricorso alla posta di lumaca, che riduce la colpevolezza se non l'esposizione.

Potresti lavorare su un protocollo Single Sign-On per avviare la creazione dell'account.

1. Registri un numero di carta nel tuo sistema (questa carta deve avere una password segreta su di essa, potenziale con quelle aree "per scrostare" su di esso per nascondere la password)
2. Invia la carta attraverso la migliore modalità di autenticazione che puoi trovare (posta ordinaria, incontro faccia a faccia, alla fine puoi comunicare loro l'accesso tramite telefono / email)
3. Il client imposta il suo account utilizzando le credenziali fornite e chiede di cambiare la password. Se la carta è stata modificata, il cliente deve contattarti per rifiutare qualsiasi account creato / creato con quel numero. Dopo ogni utilizzo della password, deve essere revocato per evitare la creazione di un account duplicato.

Se questo protocollo non può essere impostato, hai ancora la possibilità di consentire al client di configurare e account, cercando di far corrispondere la sua identità, ma richiedendo conferma per l'attivazione. Quindi potrebbe chiedere l'attivazione. A questo punto, la chiameresti dal tuo numero di telefono in memoria per confermare la sua identità.

Finalmente, l'autenticazione si basa sulla forza del collegamento che puoi stabilire con il tuo cliente per la prima volta. Più debole è, più probabile è l'usurpazione.

Questo è un problema di autenticazione. Anche se ho bisogno di rispolverare la mia EHR, questo è un problema difficile da risolvere senza una parte fidata. L'unica soluzione possibile che io possa pensare, che sarebbe davvero facile da fare male, sarebbe quella di fare una sfida / risposta sulle informazioni che già possiedi.

Ad esempio, qualcuno vuole registrarsi con il proprio nome utente / codice fiscale e qualche altra informazione. Sulla base delle informazioni che hai già sulla persona, devono rispondere correttamente a una serie di domande su se stessi. Come se tu abbia mai ricevuto il tuo rapporto annuale di credito, nei 3 siti dell'ufficio devi selezionare gli indirizzi precedenti e altre informazioni PII.

Una volta registrato, vorrai comunque inviare la posta ordinaria per far sapere loro che il loro account online è stato attivato per contribuire a ridurre la situazione di "follia". Però, devo credere che la situazione sarà a basso rischio.

Ad ogni modo, quello che sai è ancora un fattore di autenticazione e dovrei pensare che sarebbe molto più complicato di quanto valga la pena impostare piuttosto che qualcosa di più tradizionale. Spero che ti abbia dato un'opzione su come può funzionare. Sono sicuro che qualcuno ne possa trovare uno migliore.

Ci stai pensando male. Non dovresti concedere l'accesso elettronico a un file medico senza il consenso del paziente. Questa non è solo una questione di meccanismo tecnico per l'autenticazione; c'è un problema molto più fondamentale di consenso del paziente . Stai cercando di risolvere un problema sociale con la tecnologia, che è spesso un errore. Stai cercando di risolverlo con metodi tecnici, ma questo non è principalmente un problema tecnico . Questo è un problema sociale e legale, e dovrebbe essere risolto principalmente attraverso criteri e metodi procedurali .

Quindi, ci sono due passaggi. Innanzitutto, è necessario ottenere il consenso del paziente per attivare l'accesso elettronico al record del paziente. Quindi, è necessario raccogliere informazioni sufficienti per autenticare il paziente.

Il primo passo probabilmente significa che quando il paziente entra nel tuo ufficio per una visita, dovrà firmare un modulo che indica il consenso a rendere le informazioni accessibili elettronicamente. Questo non dovrebbe essere un peso per te; probabilmente i tuoi pazienti devono già firmare un mucchio di moduli quando entrano nel tuo studio medico, quindi perché non farlo fare allo stesso tempo? In alternativa, se non interagisci mai con il tuo paziente di persona, probabilmente ti stai facendo spedire dei moduli firmati, quindi perché non aggiungere questo al modulo che il paziente ti firma e ti manda?

Dato che la raccolta del consenso richiede un'interazione di persona o richiede al paziente di firmare un modulo, la raccolta delle informazioni di autenticazione dovrebbe essere semplice. Perché non aggiungere un altro campo al modulo chiedendo loro di fornire il proprio indirizzo email? In alternativa, se hai il loro numero di telefono ma non il loro indirizzo email, potrebbe essere possibile eseguire il bootstrap dal numero di telefono attraverso un sistema di call-back: ricevono una email, accedono a un sito Web per richiedere l'accesso elettronico, ottengono un richiamata automatica al loro numero di telefono registrato, la chiamata telefonica automatizzata comunica loro un PIN personalizzato limitato nel tempo e utilizzabile nella pagina Web per autenticarsi, quindi registra una password per creare il proprio account sul sito Web . Tuttavia, potrebbe essere troppo difficile, e potrebbe essere più semplice chiedere agli utenti di fornire il proprio indirizzo email sul modulo.

In breve, sono preoccupato che il modo in cui hai inquadrato la domanda suggerisce che il tuo approccio non protegge adeguatamente la privacy del paziente e non è conforme alle norme e agli standard accettati nel settore medico in merito alla protezione delle informazioni mediche personalmente identificabili.