Il disaster recovery è un requisito per qualsiasi applicazione che utilizza qualsiasi ePHI?

Question

Il disaster recovery è un requisito per qualsiasi applicazione che utilizza qualsiasi ePHI?

#1 da (1 voti)

1

I requisiti HIPAA sembrano indicare che un piano di disaster recovery è un'implementazione richiesta, definita all'interno dello standard HIPAA Contingency Plan nella sezione Controlli di sicurezza amministrativa della regola di sicurezza HIPAA.

Che dire se l'applicazione in questione non è di importanza critica, utilizza una copia del sistema di registrazione e non l'originale, e se diventa non disponibile non influenzerà i servizi di base di un'entità sanitaria? In altre parole, HIPAA afferma che se ho un'azienda sanitaria e creo una piccola applicazione per migliorare un processo aziendale interno che utilizza un estratto del mio database ePHI principale che devo fornire un piano di DR e rendere quella piccola applicazione completamente recuperabile al meglio spese?

hipaa

posta Robert Pellerin 01.11.2013 - 00:11

fonte

1 risposta

Leggi altre domande sui tag hipaa

Esistono servizi Web che utilizzano qualsiasi altra forma di autenticazione, oltre alle password? [chiuso] Converti un certificato codificato DER in certificato codificato PEM

score 1 · Answer 1

Per prima cosa, non sono un avvocato, e questo non è un consiglio legale. Consultare un consulente legale qualificato prima di implementare qualsiasi soluzione.

L'intento della regola di disponibilità è di assicurarsi che i tuoi pazienti abbiano sempre le migliori possibilità di accesso completo ai tuoi servizi. Quindi se questo non è veramente "mission critical", non sarebbe specifico per il paziente. In questo caso, lavorerei sodo per de-identificare i dati in modo che non siano più coperti dalle regole HIPAA. Quindi diventa un non problema.

Se si tratta di un processo specifico per il paziente, allora è un servizio che si è tenuti a fornire, e penso che cada sotto la regola.

Il problema è che anche se questo strumento è "solo un ottimizzatore", i tuoi pazienti potrebbero diventare dipendenti dai tuoi processi migliorati e dai tempi di risposta. Ciò si estende anche ai tempi di risposta per le attività di aggiudicazione e di fatturazione. Potresti farla franca se pubblichi uno SLA che comprende i tempi di risposta più lenti possibili. Quindi, se la funzione ottimizzata normalmente funziona in un secondo, e la tua funzione non ottimizzata viene eseguita in dieci secondi, pubblica uno SLA di 15 secondi, che coprirebbe entrambi.