Le chiavi esterne che collegano a una tabella con PHI sono considerate PHI sotto HIPAA?

2

La Tabella 1 ha PHI ed è crittografata. La Tabella 2 non ha PHI, non è crittografata e ha una chiave esterna alla Tabella 1.

Mi piacerebbe raccomandare la massima sicurezza. Se c'è un requisito in HIPAA, non è opzionale e deve essere fatto. Se fa parte di un corpo standard come ISO / IEC 27001, allora dovrà essere fatto per la conformità a tale standard. Se è una pratica migliore, sarebbe l'ideale ma difficile da persuadere per una pratica migliore rispetto all'impatto sulle prestazioni.

1) HIPAA ha dei requisiti per la chiave esterna della Tabella 1 nella Tabella 2?
2) Esiste uno standard come ISO / IEC 27001 che ha un requisito per la chiave esterna della Tabella 1 nella Tabella 2?
3) Esiste una best practice o qualcosa di simile che copra la chiave esterna della Tabella 1 nella Tabella 2?

    
posta Paraplastic2 20.03.2015 - 20:50
fonte

2 risposte

1

Per rispondere alla tua domanda in base ai punti:

1) In senso stretto, no. PHI significa informazioni identificative sul paziente (ad esempio un nome, un indirizzo, un numero di previdenza sociale, ecc.) Combinate con dati clinici (ad esempio diagnosi, codice CPT, risultato del test, ecc.). Una chiave straniera in sé e per sé non è PHI.

2) Non che io sappia per HIPAA - HIPAA è più di linee guida generali che standard chiari e distinti.

3) Sì! Se ti preoccupa che il rilascio di dati particolari possa causare problemi alla tua azienda, ai tuoi clienti o soprattutto alle notifiche di violazione HIPAA: crittografalo! Con HIPAA, è sempre meglio sbagliare dalla parte della crittografia. Se i dati crittografati correttamente sono compromessi, ciò non innesca i requisiti di reporting; che può essere un risparmiatore di vita per un'azienda, specialmente se piccola.

    
risposta data 02.07.2015 - 00:19
fonte
0

Dichiarazione di non responsabilità: ho solo una conoscenza di base di HIPAA.

Penso che finché i dati crittografati non sono accessibili in un formato non criptato, attraverso la chiave esterna è accettabile. Se la tua chiave esterna è un ID di qualche tipo non correlato al PHI specifico, la chiave non dovrebbe essere crittografata.

    
risposta data 01.07.2015 - 23:20
fonte

Leggi altre domande sui tag