Il disaster recovery è un requisito per qualsiasi applicazione che utilizza qualsiasi ePHI?

1

I requisiti HIPAA sembrano indicare che un piano di disaster recovery è un'implementazione richiesta, definita all'interno dello standard HIPAA Contingency Plan nella sezione Controlli di sicurezza amministrativa della regola di sicurezza HIPAA.

Che dire se l'applicazione in questione non è di importanza critica, utilizza una copia del sistema di registrazione e non l'originale, e se diventa non disponibile non influenzerà i servizi di base di un'entità sanitaria? In altre parole, HIPAA afferma che se ho un'azienda sanitaria e creo una piccola applicazione per migliorare un processo aziendale interno che utilizza un estratto del mio database ePHI principale che devo fornire un piano di DR e rendere quella piccola applicazione completamente recuperabile al meglio spese?

    
posta Robert Pellerin 01.11.2013 - 00:11
fonte

1 risposta

1

Per prima cosa, non sono un avvocato, e questo non è un consiglio legale. Consultare un consulente legale qualificato prima di implementare qualsiasi soluzione.

L'intento della regola di disponibilità è di assicurarsi che i tuoi pazienti abbiano sempre le migliori possibilità di accesso completo ai tuoi servizi. Quindi se questo non è veramente "mission critical", non sarebbe specifico per il paziente. In questo caso, lavorerei sodo per de-identificare i dati in modo che non siano più coperti dalle regole HIPAA. Quindi diventa un non problema.

Se si tratta di un processo specifico per il paziente, allora è un servizio che si è tenuti a fornire, e penso che cada sotto la regola.

Il problema è che anche se questo strumento è "solo un ottimizzatore", i tuoi pazienti potrebbero diventare dipendenti dai tuoi processi migliorati e dai tempi di risposta. Ciò si estende anche ai tempi di risposta per le attività di aggiudicazione e di fatturazione. Potresti farla franca se pubblichi uno SLA che comprende i tempi di risposta più lenti possibili. Quindi, se la funzione ottimizzata normalmente funziona in un secondo, e la tua funzione non ottimizzata viene eseguita in dieci secondi, pubblica uno SLA di 15 secondi, che coprirebbe entrambi.

    
risposta data 01.11.2013 - 01:20
fonte

Leggi altre domande sui tag