Protéger l'information sur la santé dans le cabinet médical
Avec l'utilisation accrue de la technologie de l'information dans les soins de santé, votre cabinet médical doit continuer à trouver des moyens de maintenir la sécurité de l'information de santé protégée (PHI) des patients qu'ils servent.
Qu'est-ce que la sécurité HIPAA?
La Loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA) fait référence à l'établissement de garanties pour les RPS dans n'importe quel format électronique.
Cela inclut toute information utilisée, stockée ou transmise électroniquement. Toute installation définie par HIPAA comme une entité couverte a la responsabilité d'assurer la confidentialité et la sécurité de l'information de ses patients ainsi que le maintien de la confidentialité de leurs informations de santé protégées.
Les entités visées sont, par la loi, tenues d'élaborer des politiques et des procédures conformes à la règle de sécurité et de tenir des registres écrits de ces politiques et procédures ainsi que des enregistrements d'accès, actions, activités et évaluations requis par la règle de sécurité.
Règles pour maintenir la sécurité HIPAA
Les règles pour maintenir la sécurité HIPAA comprennent des garanties pour trois domaines clés.
- Élaborer un processus officiel de gestion de la sécurité, y compris l'élaboration de politiques et de procédures, des vérifications internes, un plan d'urgence et d'autres mesures de protection pour assurer la conformité du personnel du cabinet médical.
- Assigner la responsabilité de la sécurité à une personne désignée pour gérer et superviser l'utilisation des mesures de sécurité et la conduite du personnel.
- Mettre en œuvre des fonctionnalités qui garantissent que le personnel dispose d'une formation appropriée et d'une autorisation appropriée pour accéder aux informations de santé protégées.
- Définir les niveaux d'accès pour tout le personnel et déterminer comment il est accordé
- Exiger que tous les membres du personnel médical, y compris la direction, suivent une formation sur la sécurité et reçoivent des rappels périodiques et une formation des utilisateurs afin qu'ils se tiennent au courant des lois et des lignes directrices.
- Protégez les informations de santé protégées dans un lieu sécurisé et espace de travail pour les employés (ceci inclut l'utilisation de verrous, clés et badges qui déverrouillent les portes) qui limitent l'accès aux personnes non autorisées et aux intrus.
- Élaborer des politiques pour vérifier les autorisations d'accès, le contrôle de l'équipement et le traitement des visiteurs. Élaborez et fournissez de la documentation, y compris des instructions sur la façon dont votre cabinet médical peut aider à protéger les informations de santé protégées (par exemple, déconnecter l'ordinateur avant de le laisser sans surveillance)
- Fournir une protection contre le feu et d'autres dangers
- Élaborer des politiques et des procédures pour le transfert, l'enlèvement, l'élimination et la réutilisation des renseignements électroniques protégés sur la santé.
- Établir une identification unique de l'utilisateur, y compris les mots de passe et les numéros d'identification
- Adopter un contrôle de déconnexion automatique
- Enregistrer et examiner l'activité du système à des fins d'audit
- Utiliser des contrôles de cryptage pour protéger les données transmises sur un réseau
- Autoriser uniquement les utilisateurs autorisés à accéder aux informations de santé protégées
- Protection contre l'accès non autorisé à des informations de santé protégées
Plus d'informations sur la règle de sécurité HIPAA de HHS.gov
Bien que la Règle de sécurité HIPAA offre de nombreuses directives sur les sauvegardes administratives, physiques et techniques qui devraient être en place, elle ne traite pas tous les détails.
HHS.gov fournit des documents éducatifs conçus pour donner un aperçu des normes de sécurité. Les informations supplémentaires fournies incluent Sécurité 101 pour les entités couvertes, Exigences pour les politiques, les procédures et la documentation, l'analyse des risques et la gestion des risques, et les normes de sécurité pour les petits fournisseurs.