我还有一些关于 HIPPA 合规性的问题。
我正在考虑向我的家庭医生客户介绍 RDS 服务器的想法。如果他们使用家用电脑进行远程访问,这些电脑是否必须加密?
目前使用 VPN 加载 Medent(一种软件包),它不会在本地存储数据,但有潜力。在这种情况下,PC 应该加密,对吗?
是否有人知道我可以使用哪些资源来进一步了解 HIPPA 合规性?
谢谢!
答案1
我认为,任何接触数据的系统都需要加密,这是合理的,因为不仅需要保护数据的存储,还需要保护数据的访问。
以下是有关 HIPAA 的远程办公和家庭办公的一些资源:
http://www.all-things-medical-billing.com/hipaa-compliance-and-the-home-office.html
http://smallbusiness.chron.com/hipaa-telecommuting-1168.html
答案2
以下是法律,读起来会比较枯燥。
http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/hitechrfi.pdf
据我了解,法律并不要求您实施任何特定制度,而是要求制度能够预见和保护医疗信息的隐私。保护医疗信息的隐私意味着什么,由您来解释。
在您的示例中,您的客户端通过 VPN 连接到服务器,我假设流量已加密,以获取医疗信息。您的问题是计算机是否需要对其驱动器进行加密?
对我来说,这取决于数据是否存储在计算机驱动器上(文件保存、复制粘贴、临时文件)。如果是,那么我建议加密。
此外,访问控制也是一个考虑因素。如果操作系统和/或软件配置为自动解密驱动器并存储密码,则将绕过加密和密码,从而允许不代表公司的个人未经授权访问数据。这将扩展到用户将写有密码的便签贴在显示器上或键盘下。
总之,您问的是 HIPPA 的要求是什么。根据我的理解,这些要求是公司或组织制定程序以合理地防止未经授权泄露私人医疗信息。我认为您正在寻找的是解决此问题的最佳实践。Lance 的链接非常适合回答这个问题。最终目标是防止医疗信息泄露。